Cela ne vous aura sûrement pas échappé, l’ANSSI a publié pour l’ouverture du FIC sa nouvelle version de l’EBIOS RM, cru 2024. Pour rappel, l’EBIOS RM a déjà (presque) 6 ans, et avait fait l’objet d’un appel à contribution fin 2021, auquel Advens avait participé. Qu’apporte cette nouvelle version, non majeure à en croire sa numérotation qui passe en 1.5 ? Quelles sont les nouveautés apportées à EBIOS RM ?
Evolutions majeures ou mise à jour mineure ?
En première lecture, pas grand-chose, les 5 ateliers maintenant bien connus (mais bien maitrisés ?) sont toujours bien présents !
- Pour les plus pressés, rendez-vous en dernière page du guide qui indique les évolutions apportées.
- Pour les plus médisants, ils diront que le changement majeur est le PACS qui (re)devient PTR.
- Pour les plus experts, le diable se cache dans les détails.
Commençons par le principal changement, une conformité annoncée avec la dernière version de l’ISO 27005, sortie en 2023 : cela facilite d’ores et déjà les prochains audits SMSI pour ceux qui utilisent l’EBIOS RM en méthode de gestion des risques. Néanmoins, comme nous vous l’annoncions lors de l’analyse de cette norme, l’ANSSI ayant déjà grandement influencé la nouvelle ISO, la conformité était donc plutôt évidente et facile. Quelques terminologies se sont accordées (telles que le PACS et PTR (Plan de Traitement des Risques)) pour faciliter les liens ainsi que des correspondances apportées notamment dans la partie « Termes et définitions ».
A la lecture de l’annonce de cette conformité, nous avons pris peur de l’introduction de l’EFR (Etat Final Recherché) qui nous avait laissé perplexe l’année dernière sur sa prise en compte et la difficulté qu’il introduisait. Finalement (et heureusement ?) non retenu par l’ANSSI qui garde le « simple » couple SR/OV.
De même, la terminologie particulière sur le choix du traitement du risque n’a pas été suivi, l’ANSSI gardant en proposition ses trois niveaux, plutôt orientés réduction (pardon modification) et maintien (ou prise de risque pour l’ISO).
Enfin, la notion de goût du risque que l’on avait jugé intéressante dans la nouvelle ISO n’est pas (ou peu) abordée non plus dans cette nouvelle version, ce qui est dommage, car cela aurait pu être spécifié avec la nouvelle note ajoutée justement sur la stratégie de traitement du risque, qui reste majoritairement alignée avec notre classique représentation de Farmer.
Au final, les principales différences de l’ISO ne semblent pas avoir été reprises côté ANSSI, ce qui n’enlève en rien sa conformité, ces dernières étant des subtilités, qui pourraient (davantage) complexifier les analyses.
Mais alors, quels sont les changements ?
Et bien, ils sont subtiles et se retrouvent principalement dans toutes les notes et informations de bas de page ajoutées : 33 notes contre 22 en 2018 et 42 informations contre 27, tout de même.
Oui, à la lecture, vous ne verrez pas de différences majeures.
Non, vos modèles d’analyses ne sont pas à refaire.
Mais les moins initiés verront ces nombreux ajouts arriver à point nommé, permettant de répondre à bon nombres de leurs interrogations et les guider de la meilleure des manières. Sans être exhaustif et sans importance, nous pouvons retrouver :
- Comment différencier si un actif est plutôt un bien support (atelier 1) ou une partie prenante (atelier 3) ?
- Des penses bêtes sur les éléments importants à justifier et dont il est important de se rappeler quand on met à jour les analyses (après plusieurs mois sans les avoir ouvertes…).
- Des précisions intéressantes sur le socle de sécurité et notamment le fait de ne pas poursuivre l’analyse s’il est trop loin de la cible (les graphs d’attaques, ça fait pro, mais s’ils sont génériques car la maturité n’est pas là, ils ne servent à rien).
- L’importance des couples SR/OV et lien à mettre en place tout au long de l’étude vis-à-vis des ER et SO notamment pour s’assurer de couvrir tout le périmètre.
- La cartographie de menace numérique devient cartographie de dangerosité de l’écosystème (peut être plus parlant pour les directions).
- Une précision (importante) sur le fait qu’il n’est pas utile de répéter les chemins d’attaque s’ils sont redondants entre scénarios stratégiques.
- Une autre précision sur le fait qu’un risque n’est pas forcément un scénario stratégique (bien que non recommandé par l’agence) mais surtout le fait de pouvoir faire figurer des risques non ciblés (donc accidentel par exemple) dans l’atelier 5 en lien avec le socle de sécurité (un de nos reproches de 2018 auquel on tient particulièrement).
- Plus de finesse dans les étapes de traitement du risque, on retrouve l’influence de l’ISO derrière.
S’il y a une chose à retenir, attardez-vous sur toutes ces notes qui vous permettront (peut-être) de mettre fin à certains débats et de « simplifier » vos analyses (en attendant les prochaines fiches méthodes).