Pour gérer vos consentements :

Cyber Sécurité : l’ANSSI lance une méthode d’analyse de risque pour les entreprises

Monaco –  Envoyé spécial – Comme c’est le cas depuis 5 ans,  les Assises de la sécurité (18ème édition) avait réservé la keynote d’ouverture à Guillaume Poupard, le directeur général de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information. Fil de rouge de son intervention : la prévention des risques doit être la priorité d’une démarche de cybersécurité.

» La généralisation de la supervisions va élever le niveau de sécurité en détectant au plus tôt les attaques » insiste-t-il.

Une démarche qui s’illustre par le lancement de EBIOS Risk Manager, une nouvelle méthode d’analyse de risque.  « C’est  le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS qui  regroupe des experts de la gestion des risques. Elle permet de répondre aux nouveaux enjeux : la prolifération des menaces, l’émergence d’écosystèmes numériques complexes et le bouleversement numérique dans tous les secteurs d’activité » explique Guillaume Poupard.


Guillaume Poupard, ANSSI

Quelle est la spécificité de la méthode ? Une implication au plus niveau de l’entreprise, direction générale et directeurs métiers, pour étudier toutes les voies d’attaque possible. L’idée est de développer une approche collective de la prévention.

» La méthode se distingue donc par une synthèse entre conformité et scénarios » explique l’ANSSI . Concrètement, elle passe par cinq étapes : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels et enfin traitement du risque.

« C’est une approche collective de la prévention. Il faut sortir de la situation actuelle où le RSSI prêche dans le désert.  Chaque organisation doit  s’approprier la méthode en fonction de son contexte » insiste Guillaume Poupard tout en admettant que les TPE/PME n’ont pas les moyens d’une politique de cybersécurité efficace en interne.  » Il faut sensibiliser aussi les acteurs de l’infogérance » admet-il.

Présentés lors de cinq ateliers pendant les Assises de la Sécurité,  la méthode EBIOS Risk Manager va se propager à travers le Centre de formation à la sécurité des systèmes d’information de l’ANSSI (CFSSI) qui dispensera  une formation aux administrations mais aussi via des kits de formation, en cours d’élaboration, qui seront diffusés à des formateurs externes.

Par ailleurs,  un label sera lancé en 2019 pour les éditeurs qui développeront des logiciels  conformes aux principes et aux concepts de la nouvelle méthode. Certains ont participé à l’expérimentation avant le lancement, selon l’ANSSI.

« Si on n’a pas de bonnes bases méthodologiques, on ne peut pas construire des scénarios de protection.  On arrive à un stade de maturité sur le sujet parce que les dirigeants sont sensibilisés depuis des attaques comme Wanacry » plaide Guillaume Poupard.

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

3 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

3 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

3 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

3 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

3 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

3 semaines ago