Assises de la sécurité : l’Anssi mise sur l’analyse de risque

Le risque numérique doit être perçu comme un risque à part entière, qu’il faut intégrer à la gestion globale des risques de l’entreprise. C’est le message qu’a voulu faire passer Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), lors de son discours d’ouverture des Assises de la sécurité et des systèmes d’information le 10 octobre 2018 à Monaco.

Revenir aux fondamentaux de l’analyse de risque

Le directeur de l’Anssi a insisté sur l’importance de l’analyse de risque, pour faire sortir la sécurité numérique du seul domaine de la technique et impliquer les décideurs et les responsables métiers.

Pour accompagner les entreprises dans cette démarche, l’Anssi a lancé, lors des Assises, la méthode Ebios Risk Manager, une version « modernisée » et mise à jour de la méthode d’analyse de risque de référence initiée en 1995, adaptée aux enjeux actuels : la prolifération des menaces, l’émergence d’écosystèmes numériques complexes et l’impact du numérique dans tous les secteurs d’activité.

EBIOS Risk Manager place la sécurité numérique au cœur des enjeux stratégiques & opérationnels des organisations.
Découvrez dès maintenant la nouvelle méthode d'analyse des risques numériques #EBIOSRM ! #AssisesSI #TousSecNumhttps://t.co/iXvRiksZhe pic.twitter.com/QuKhMUrtHo

— ANSSI (@ANSSI_FR) 10 octobre 2018

Une méthode articulée autour de cinq ateliers

Élaborée avec des partenaires comme le club Ebios et le Clusif, elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.

La méthode vise à obtenir une synthèse entre conformité et scénarios. L’objectif est à la fois de bâtir un socle de sécurité solide en appliquant les référentiels de sécurité pertinents et d’apprécier les risques en se concentrant sur les menaces intentionnelles et ciblées les plus dangereuses.

Elle s’articule autour de cinq ateliers :

• Cadrage et socle de sécurité
• Sources de risques
• Scénarios stratégiques
• Scénarios opérationnels
• Traitement du risque

« L’objectif est de sortir de la situation actuelle où le responsable de la sécurité des systèmes d’information (RSSI) n’est pas compris et de miser sur la collaboration avec les dirigeants et les acteurs opérationnels, affirme Guillaume Poupard. En fonction du contexte et des outils existants, les organisations peuvent s’approprier la méthode. Elle est plus accessible et plus agile que ce qui existait. Elle peut se décliner pour beaucoup d’acteurs. »

Un label de conformité attendu pour 2019

Afin d’outiller la méthode Ebios Risk Manager, l’Anssi va s’appuyer sur des partenaires externes, éditeurs de logiciels. L’Agence doit lancer en 2019 un label de conformité Ebios Risk Manger, accessible aux éditeurs souhaitant développer une solution logicielle conforme à la méthode.

Par ailleurs, il est prévu que le Centre de formation à la sécurité des systèmes d’information de l’Anssi dispense dans les prochains mois une formation pour les administrations sur cette méthode. Des kits de formation sont également en cours d’élaboration pour permettre l’adoption de la méthode par le plus grand nombre.

Cependant, la méthode risque de rester trop complexe pour les TPE/PME qui manquent de ressources et de compétences dans le domaine de la cybersécurité, reconnaît le directeur de l’Anssi. Pour ces acteurs, l’essentiel reste l’accès à des outils sécurisés et l’application de règles élémentaires. Pour cela, le site cybermalveillance.gouv.fr recense des prestataires de proximité compétents et propose un kit de sensibilisation (1^er volet) sur les questions de l’hameçonnage, des mots de passe, des appareils mobiles et des usages pro-perso. Un deuxième volet est prévu avant l’été 2019.