Assises de la sécurité : l’Anssi mise sur l’analyse de risque
En plein mois européen de la cybersécurité, Monaco a accueilli du 10 au 13 octobre 2018 la 18e édition des Assises de la sécurité et des systèmes d’information. L’occasion pour l’Anssi de sensibiliser à l’anticipation du risque numérique. Nous y étions.
Le risque numérique doit être perçu comme un risque à part entière, qu’il faut intégrer à la gestion globale des risques de l’entreprise. C’est le message qu’a voulu faire passer Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), lors de son discours d’ouverture des Assises de la sécurité et des systèmes d’information le 10 octobre 2018 à Monaco.
« Il est temps d’arrêter de considérer les risques numériques comme des risques à part. Ils doivent être gérés par tous les acteurs de l’organisation. La cybersécurité, c’est une histoire d’anticipation collective. »
Pour lui, la plupart des entreprises sont arrivées à un stade de maturité où les décideurs sont sensibilisés au risque numérique, notamment depuis Wannacry et NotPetya en 2017.
« L’époque où nous devions répéter « ça peut vous arriver » est révolue, beaucoup d’entreprises ont pris la foudre ou ont vu leurs voisins la prendre, confie-t-il. Désormais, la question n’est plus de savoir s’il y a une menace mais quelle est-elle et comment s’en protéger. »
Revenir aux fondamentaux de l’analyse de risque
Le directeur de l’Anssi a insisté sur l’importance de l’analyse de risque, pour faire sortir la sécurité numérique du seul domaine de la technique et impliquer les décideurs et les responsables métiers.
Pour accompagner les entreprises dans cette démarche, l’Anssi a lancé, lors des Assises, la méthode Ebios Risk Manager, une version « modernisée » et mise à jour de la méthode d’analyse de risque de référence initiée en 1995, adaptée aux enjeux actuels : la prolifération des menaces, l’émergence d’écosystèmes numériques complexes et l’impact du numérique dans tous les secteurs d’activité.
EBIOS Risk Manager place la sécurité numérique au cœur des enjeux stratégiques & opérationnels des organisations.
— ANSSI (@ANSSI_FR) October 10, 2018
Découvrez dès maintenant la nouvelle méthode d'analyse des risques numériques #EBIOSRM ! #AssisesSI #TousSecNumhttps://t.co/iXvRiksZhe pic.twitter.com/QuKhMUrtHo
Une méthode articulée autour de cinq ateliers
Élaborée avec des partenaires comme le club Ebios et le Clusif, elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.
La méthode vise à obtenir une synthèse entre conformité et scénarios. L’objectif est à la fois de bâtir un socle de sécurité solide en appliquant les référentiels de sécurité pertinents et d’apprécier les risques en se concentrant sur les menaces intentionnelles et ciblées les plus dangereuses.
Elle s’articule autour de cinq ateliers :
- Cadrage et socle de sécurité
- Sources de risques
- Scénarios stratégiques
- Scénarios opérationnels
- Traitement du risque
« L’objectif est de sortir de la situation actuelle où le responsable de la sécurité des systèmes d’information (RSSI) n’est pas compris et de miser sur la collaboration avec les dirigeants et les acteurs opérationnels, affirme Guillaume Poupard. En fonction du contexte et des outils existants, les organisations peuvent s’approprier la méthode. Elle est plus accessible et plus agile que ce qui existait. Elle peut se décliner pour beaucoup d’acteurs. »
Un label de conformité attendu pour 2019
Afin d’outiller la méthode Ebios Risk Manager, l’Anssi va s’appuyer sur des partenaires externes, éditeurs de logiciels. L’Agence doit lancer en 2019 un label de conformité Ebios Risk Manger, accessible aux éditeurs souhaitant développer une solution logicielle conforme à la méthode.
Par ailleurs, il est prévu que le Centre de formation à la sécurité des systèmes d’information de l’Anssi dispense dans les prochains mois une formation pour les administrations sur cette méthode. Des kits de formation sont également en cours d’élaboration pour permettre l’adoption de la méthode par le plus grand nombre.
Cependant, la méthode risque de rester trop complexe pour les TPE/PME qui manquent de ressources et de compétences dans le domaine de la cybersécurité, reconnaît le directeur de l’Anssi. Pour ces acteurs, l’essentiel reste l’accès à des outils sécurisés et l’application de règles élémentaires. Pour cela, le site cybermalveillance.gouv.fr recense des prestataires de proximité compétents et propose un kit de sensibilisation (1er volet) sur les questions de l’hameçonnage, des mots de passe, des appareils mobiles et des usages pro-perso. Un deuxième volet est prévu avant l’été 2019.
Gaëlle Carcaly – Journaliste
Les plus lus…
Que prévoit la réglementation en termes de levée de doute sur un site recevant des travailleurs ? …
La réglementation du code du travail impose-t-elle la mise en place d’un panneau de signalisation pour indiquer le point…
Le Bureau d'enquêtes sur les accidents de transport terrestre (BEA-TT) a rendu son rapport, le mercredi 30 octobre 2024,…
À l’occasion de son 8e baromètre de la gestion des risques des PME et ETI françaises, QBE a interrogé…
La 130e édition du Congrès national des Sapeurs-pompiers de France a été l’occasion de présenter quelques nouveautés technologiques. Siemens…
Après avoir passé un mois à l'ancre au large des côtes anglaises en raison d’avaries, le navire vraquier Ruby…