Impliquer toutes les directions métiers dans la cybersécurité de l’entreprise via la gestion de risque, c’est le pari de la méthode EBIOS Risk Manager, développée par l’ANSSI, le Clusif et le club EBIOS. Elle a été présentée à l’occasion des Assises de la Sécurité 2018.
Rapprocher les risques liés à la cybersécurité à la gestion de risques classique, rapprocher RSSI et direction, telle est l’ambition d’EBIOS Risk Manager, une méthode d’analyse de risques imaginée par l’ANSSI, le Clusif et le club EBIOS et aujourd’hui proposée aux entreprises. « Nous sommes aujourd’hui arrivés à un stade de maturité des décideurs vis-à-vis de la cybersécurité. Ceux-ci se sont déjà pris la foudre ou celle-ci a frappé leurs voisins », estime Guillaume Poupard, directeur général de l’ANSSI « L’anxiété née des attaques WannaCry/NotPetya retombe un peu et on peut à nouveau leur parler de manière sereine. »
Une méthode itérative en 5 « ateliers »
L’agence est partie du constat que le risque numérique n’est toujours pas traité de la même façon que les autres risques auxquels fait face l’entreprise. « Le risque cyber doit désormais être intégré à la démarche globale de gestion de risque des entreprises. Nous avons contribué à l’élaboration de cette méthode, une méthode accessible à tous, et pas seulement aux experts. » La méthode se découpe en 5 ateliers. Le premier porte sur le cadrage et le socle de sécurité, suivi de l’identification des sources de risques, puis la rédaction de scénarios stratégiques, de scénarios opérationnels et enfin un atelier traitement du risque où sont déclinées les mesures de sécurité de tout ce travail amont. La méthode est itérative selon 2 cycles : le cycle stratégique qui relance tout le cycle et le cycle opérationnel qui porte sur les ateliers 4 et 5.
Un moyen de rapprocher RSSI et métiers ?
Guillaume Poupard estime la méthode adaptée aux petites structures qui pourront s’en emparer notamment pour pousser la cybersécurité hors de la DSI, auprès des autres directions. « Les échanges entre la DSI et les RSSI ont connu des progrès très nets ces dernières années, mais ce n’est pas encore le cas avec les directions métier. Les directeurs d’usine, par exemple, ne se sentent pas concernés et sont souvent surpris qu’on les fasse participer à des réunions sur la cybersécurité. Nous pensons qu’en passant par le Risk Management, nous parviendrons à impliquer des profils qui ne le sont pas actuellement. »
Un appel à manifestation d’intérêt avait été lancé il y a quelques mois par l’ANSSI et une dizaine d’éditeurs et prestataires se sont montrés intéressés par la démarche et les éditeurs Egerie Software et All4tec travaillent aujourd’hui à une implémentation de la méthode.
Auteur : Alain Clapaud