Cyber Sécurité : l’ANSSI lance une méthode d’analyse de risque pour les entreprises

Avec EBIOS Risk Manager, l’ANSSI veut promouvoir une démarche collaborative de la prévention des risques numériques qui implique tous les échelons de l’entreprise.

Monaco –  Envoyé spécial – Comme c’est le cas depuis 5 ans,  les Assises de la sécurité (18ème édition) avait réservé la keynote d’ouverture à Guillaume Poupard, le directeur général de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information. Fil de rouge de son intervention : la prévention des risques doit être la priorité d’une démarche de cybersécurité.

 » La généralisation de la supervisions va élever le niveau de sécurité en détectant au plus tôt les attaques » insiste-t-il.

Une démarche qui s’illustre par le lancement de EBIOS Risk Manager, une nouvelle méthode d’analyse de risque.  « C’est  le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS qui  regroupe des experts de la gestion des risques. Elle permet de répondre aux nouveaux enjeux : la prolifération des menaces, l’émergence d’écosystèmes numériques complexes et le bouleversement numérique dans tous les secteurs d’activité » explique Guillaume Poupard.


Guillaume Poupard, ANSSI

Quelle est la spécificité de la méthode ? Une implication au plus niveau de l’entreprise, direction générale et directeurs métiers, pour étudier toutes les voies d’attaque possible. L’idée est de développer une approche collective de la prévention.

 » La méthode se distingue donc par une synthèse entre conformité et scénarios » explique l’ANSSI . Concrètement, elle passe par cinq étapes : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels et enfin traitement du risque.

« C’est une approche collective de la prévention. Il faut sortir de la situation actuelle où le RSSI prêche dans le désert.  Chaque organisation doit  s’approprier la méthode en fonction de son contexte » insiste Guillaume Poupard tout en admettant que les TPE/PME n’ont pas les moyens d’une politique de cybersécurité efficace en interne.  » Il faut sensibiliser aussi les acteurs de l’infogérance » admet-il.

Présentés lors de cinq ateliers pendant les Assises de la Sécurité,  la méthode EBIOS Risk Manager va se propager à travers le Centre de formation à la sécurité des systèmes d’information de l’ANSSI (CFSSI) qui dispensera  une formation aux administrations mais aussi via des kits de formation, en cours d’élaboration, qui seront diffusés à des formateurs externes.

Par ailleurs,  un label sera lancé en 2019 pour les éditeurs qui développeront des logiciels  conformes aux principes et aux concepts de la nouvelle méthode. Certains ont participé à l'expérimentation avant le lancement, selon l'ANSSI.

"Si on n'a pas de bonnes bases méthodologiques, on ne peut pas construire des scénarios de protection.  On arrive à un stade de maturité sur le sujet parce que les dirigeants sont sensibilisés depuis des attaques comme Wanacry" plaide Guillaume Poupard.