Interview Cyber : Laurent Galvani, consultant cybersécurité senior, commente les apports d’EBIOS RM et du pentest pour l’analyse de risque

« Sans le rapport d’audit et l’expertise technique des pentesters, une analyse de risque ne sera jamais vraiment complète et restera très macro. »

L’analyse des risques en matière de cybersécurité vise à identifier, évaluer et atténuer les risques liés à l’activité numérique et aux systèmes d’information des organisations ou des entreprises. C’est une pratique essentielle dans le management de la sécurité, mais encore faut-il mener cette démarche correctement. En effet, toutes les méthodes ne se valent pas. Il est donc judicieux de recourir à des référentiels reconnus au plus haut niveau, comme la méthode EBIOS RM recommandée par l’ANSSI.

Qui plus est, rares sont les analyses de risques couplées à des campagnes de tests d’intrusions (pentests). Pourtant, sans ce traitement, la protection apportée par les scénarios opérationnels censés prévenir les cyberattaques restera très théorique.

Pour échanger sur l’apport de la méthode EBIOS RM et des pentests dans le contexte de l’analyse des risques cyber, nous avons le plaisir d’inviter Laurent Galvani, consultant cybersécurité senior chez Fidens.

Concrètement, qu’est-ce qu’une analyse de risque cyber ?

L’analyse de risque cyber vise à positionner une organisation -le périmètre variant en fonction du contexte car il peut porter sur une simple application, tout un projet, un service ou toute l’entreprise- et identifier les risques qui vont porter sur ce périmètre précis. Ce qui revient à chercher et comprendre, le risque encouru sur le système d’information et pouvant avoir des impacts sur le chiffre d’affaires ainsi que sur les activités de l’entreprise. Ceux-ci peuvent même être catastrophiques dans certains domaines, comme celui de la santé par exemple, avec l’arrêt ou la perte de contrôle des machines liées au maintien de la vie dans un hôpital. Les actualités montrent régulièrement que ces risques sont bien réels, le CHU de Rennes a ainsi été victime d’une cyberattaque le 21 juin dernier par exemple.

Une fois l’analyse effectuée, les risques sont positionnés sur une échelle afin d’obtenir une évaluation du niveau de gravité (peu de conséquences, danger faible ou majeur), la potentialité de la survenance d’un évènement (peu probable, très probable) … L’idée étant de lister et de hiérarchiser tous les scénarios possibles pour définir une feuille de route et un plan d’action permettant l’amélioration de la sécurité. Cette gestion de la menace permet ainsi de préparer l’organisation aux risques si ces derniers venaient à se matérialiser.

Pourquoi utiliser la méthode EBIOS RM recommandée par l’ANSSI pour l’analyse de risque ?

La méthode EBIOS (pour Expression des Besoins et Identification des Objectifs de Sécurité) RM (pour Risk Manager) propulsée par l’ANSSI (L’Agence Nationale de la Sécurité des Systèmes d’Information), est une méthode de référence française qui permet de déterminer les mesures de sécurité adaptées à la menace, et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque.

Pour y parvenir, cette méthode apporte une compréhension et une responsabilité partagées des risques numériques entre les décideurs et les acteurs opérationnels. L’objectif est de permettre aux dirigeants d’appréhender correctement ces risques au même titre que ceux de nature stratégique, financière, juridique, d’image ou de ressources humaines.

Si nous utilisons régulièrement cette approche, nous ne sommes pas dogmatiques et pouvons choisir une méthode spécifique à l’entreprise cliente si besoin. Notamment dans les secteurs de l’assurance ou de la finance qui sont déjà assez avancés sur le sujet.

Nous pouvons également utiliser le cadre de la norme ISO/CEI 27005 Risk Manager, norme internationale concernant la sécurité de l’information, publiée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI). Elle couvre le volet de la gestion du risque pour la sécurité de l’information et apporte un cadre de bonnes pratiques.

Il faut noter que la dernière mise à jour de cette norme ISO/CEI 27005 Risk Manager date de 2022 et est inspirée de la méthode EBIOS RM. Ce qui permet aux organisations et aux entreprises de bénéficier d’une ligne directrice pour développer, si elles le souhaitent, leur propre méthode de gestion des risques. A la condition qu’elle soit reproductible dans le temps et que les résultats soient comparables.

Comment se déroule la mise en œuvre de cette méthode EBIOS RM ?

Même si la méthodologie EBIOS RM est bien pensée avec un guide de la méthodologie et des fiches pratiques, une véritable expérience est tout de même requise pour définir convenablement le périmètre de l’étude et découper les différents processus. Une formation EBIOS RM est d’ailleurs disponible dans notre catalogue. C’est également le cas dans la tenue des ateliers de management de la cybersécurité (pour déterminer la source des risques par exemple) : se faire accompagner par des experts est fortement recommandé.

Ainsi notre méthode consiste à animer 5 ateliers qui suivent la ligne directrice d’EBIOS RM afin de parfaitement maîtriser cette analyse de risque.

• 1er atelier : rencontrer tous les services et les BU de l’entreprise afin de définir qui fait quoi (fonction, périmètre utilisateur…) et quels sont les outils logiciels et technologies utilisés par les collaborateurs, avec quelles données, sur quel réseau, etc. Ce premier atelier va permettre d’évaluer les craintes : pertes ou modification de certaines données, accès bloqué à un outil en particulier par exemple.

• 2ème atelier : déterminer essentiellement les couples les plus pertinents en matière de sources de risque et d’objectifs visés : qui peut vouloir du mal à mon type d’entreprise, mes datas et dans quel but ?

• 3ème atelier : cartographier l’écosystème de l’entreprise et sa vulnérabilité, que ce soit en interne mais également en externe avec les prestataires ou les clients. Car une menace peut très bien venir de l’interne ou de l’externe en « direct », ou de façon « indirecte » si elle chemine par un des prestataires externes ayant accès au SI de l’organisation, ou disposant d’informations stratégiques la concernant. C’est en positionnant les menaces identifiées qu’il est alors possible d’établir des scénarios stratégiques : quel impact si un ransomware chiffre toutes les données du SI, si un ancien collaborateur emporte avec lui des données clients, etc.

• 4ème atelier : déterminer les scénarios opérationnels. Pour cela, il faut reprendre chacun des scénarios stratégiques et les détailler en modes opératoires. Ces derniers sont distingués selon 4 étapes distinctes : l’étape de reconnaissance (comment l’attaquant va essayer de récupérer des informations pour les étapes suivantes), l’étape d’intrusion, l’étape de contrôle et enfin l’étape d’exécution. Puis il faut déterminer la vraisemblance de survenue de ces différents scénarios.

• 5ème atelier : synthétiser et hiérarchiser les scénarios de risque pour définir un plan d’action, qu’il s’agisse de gouvernance ou de chantiers techniques à mener, à suivre dans le temps et à faire valider par la direction. De manière générale, il est intéressant de fournir deux restitutions de cette analyse du risque cyber : une pour le management et la direction générale (synthétique) et une pour la DSI (avec une granularité plus importante et des plans d’actions précis).

Pourquoi le recours au pentest est complémentaire à l’analyse de risque ?

Le recours aux tests d’intrusions lors du quatrième atelier de l’EBIOS RM (celui des scénarios opérationnels) est essentiel. En effet, cet atelier est relativement technique et doit mettre en lumière les vulnérabilités de l’organisation à différents niveaux (organisationnel et technique). Et comme les experts des tests d’intrusions travaillent sur les 4 étapes distinctes de l’atelier 4 -exactement comme le feraient des cybers attaquants- ils apportent des résultats très précis et factuels, pas uniquement théoriques.

Sans le rapport d’audit et l’expertise technique des pentesters, une analyse de risque ne sera jamais vraiment complète et son traitement restera très macro. Le recours aux tests d’intrusions permet ainsi d’obtenir des scénarios opérationnels efficaces, pertinents, avec une vision très détaillée de la gestion des risques cyber.

De plus, mener une campagne de pentests pendant l’analyse de risque, plutôt que de la programmer plusieurs semaines/mois après, a pour avantage de faire « gagner un tour » à l’organisation. Cela permet également d’obtenir des résultats plus pertinents car il y a toujours des périmètres qui évoluent ou changent avec le temps.

Ce dernier point est important et souligne le fait qu’une campagne de pentests doit s’appréhender dans le temps, avec des tests d’intrusions réguliers et planifiés (au moins une fois par an, voir tous les 6 mois). C’est une approche pragmatique et efficiente, une véritable formation à l’amélioration continue en matière de gestion de la cybersécurité.