Réalisez une analyse de vos risques en cybersécurité

💼
QU’EST-CE QU’UNE ANALYSE DE RISQUES ? POURQUOI LA MENER ?

L'analyse de risque en cybersécurité est la 1ère étape à réaliser pour sécuriser son SI.

L'objectif de l'analyse de risque est d'évaluer la probabilité et les possibles conséquences que des risques cyber pourraient amener sur l'organisation. L'identification des risques permet de décider des actions à mener et de leurs priorisations afin de réduire ces risques à un niveau acceptable.

🪜
COMMENT FAIRE ?

Plusieurs méthodologies d'analyse de risques existent aujourd'hui, telles que la méthode EBIOS RM (ANSSI), la norme ISO 27005, la méthode MEHARI (CLUSIF), la méthode SP 800-30 (NIST)...

Ces différentes méthodes d'analyse de risque se fondent sur les mêmes principes et étapes :

  1. Etude du contexte et des actifs : quel est le système à l'étude ? Quelles sont ses missions principales ? Sur quoi s'appuie-t-il pour réaliser ses missions ?
  2. Identification des risques : quels sont les éléments critiques de mon SI ? Qui peut porter atteinte à mon système ? Qui a accès à mon système ?
  3. Analyse des risques et évaluation de leur acceptabilité : quelles sont les vulnérabilités de mon système ? Comment un attaquant pourrait-il s'en prendre à mon système ?
  4. Traitement des risques : quelle mesure puis-je mettre en place pour réduire les risques présents sur mon système ?

Il n'existe pas une bonne méthode d'analyse de risques, chacune des méthodes possède des avantages et des inconvénients. L'ISO 27005 et le NIST SP800-30 sont les grands standards internationaux définissant les processus à considérer dans le cadre de la réalisation d'une analyse de risque. La méthode EBIOS Risk Manager est une méthode élaborée par l'ANSSI et est donc particulièrement déployée dans les environnements francophones. Elle est, comme la méthode MEHARI, conforme aux processus identifiées dans l'ISO 27005.

🔎
ZOOM SUR LA METHODE EBIOS AVEC UN EXEMPLE D’ANALYSE DE RISQUES

Téléchargez un exemple d’application de la méthode EBIOS au SI du Club EBIOS en cliquant ci-dessous 👇

Club EBIOS - Exemple analyse de risques.docx1720.9KB

Téléchargez le guide de la méthode EBIOS Risk Manager développée par l’ANSSI pour apprécier vos risques👇

Guide méthode EBIOS Risk Manager.pdf2201.1KB
🔧
ZOOM SUR DES OUTILS POUR VOUS AIDER DANS VOTRE ANALYSE

2 exemples d’outils permettant de faire l’analyse de risque et le suivi / gestion du plan d’actions :

image
image

All4Tec a développé un logiciel EBIOS Risk Manager certifié par l’ANSSI pour mettre en œuvre les différents ateliers de la méthode et produire automatiquement les rapports d’analyse attendus

EGERIE a de même développé un outil disposant des fonctionnalités clés pour vous aider à mener vos analyses de risques cyber