Nous synthétisons dans ce document une démarche d’analyse des risques SSI et l’élaboration du plan d’actions associé menées à bien pour un hopital.
1. Démarche Globale
Afin de mener cette analyse, nous avons adopté la méthodologie EBIOS Risk Manager (RM) proposée par l’ANSSI et qui « permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre».
Nous avons ainsi conduit une analyse des risques intrinsèques et des menaces intentionnelles en animant des ateliers de travail avec des collaborateurs de l’établissement, nous permettant d’aboutir à :
Pour formaliser les évènements redoutés au sens EBIOS, il ne s’agit pas en premier lieu de développer des scenarii pouvant conduire à des impacts mais de commencer par le recensement et la hiérarchisation des situations de dégradation ou d’interruption du fonctionnement du SI qu’on voudra éviter, ou au moins limiter. Cette hiérarchisation est donc structurée en considérant les biens supports et valeurs métiers que nous avons établis précédemment. Afin d’évaluer la gravité des évènements redoutés, nous avons adopté cette échelle :
A laquelle nous avons associé cette matrice d’évolution selon la durée de l’évènement :
Précisons aussi que nous avons également adopté les conventions suivantes pour l’estimation de la vraisemblance et de la criticité des risques, que nous aborderons au paragraphe 5.3
Un tableau de synthèse des évènements redoutés et de leur gravité par processus métier est présenté ci-dessous :
3. Scénario de Risques
Le travail mené à bien sur les scénarii de risques, avec les managers et référents, peut être considéré comme la pierre angulaire de l’édifice que constitue d’une certaine façon une analyse SSI. Comme nous l’avons déjà évoqué plus haut, il va s’appuyer sur les éléments formalisés du socle de sécurité et se développer, par une approche itérative avec les différents acteurs, jusqu’à aboutir à un résultat concret et argumenté. Démarche itérative préconisée par EBIOS pour l’appréciation des risques :
Et c’est bien ainsi que nous avons procédé, pour finalement aboutir à un Top 10 des scenarii de risque (ci-dessous) à travailler, avec une estimation de leur vraisemblance/gravité à date et après mise en œuvre des actions de réduction du risque sur lesquelles nous avons mobilisé le plus de temps de travail collectif (les scenarii de risque – de R0 à R9 – sont colorés selon trois niveaux de criticité, du plus critique en noir, au moins critique en blanc) :
Ci-dessous (volontairement floue par confidentialité), la matrice adoptée pour la formalisation des actions de réduction des risques et en particulier l’affectation de chaque action à un ou plusieurs scénario de risque. Un statut d’avancement (Prévue, Planifiée, Réalisée) et un porteur sont également renseignés pour chaque action :
Nous présentons ci-dessous les thèmes structurant le plan d’actions, sans les actions elles-mêmes :
Et ci-dessous un exemple de restitution pour un scénario de risque, avec les actions qui lui sont associées automatiquement à partir de la matrice page précédente, grâce à la solution Excel + VBA mise en œuvre avec un seul fichier excel comprenant la description de chaque risque, la matrice des actions et la synthèse des risques globale :
La méthodologie que nous venons d’illustrer nous a donc permis d’associer efficacement, en adéquation avec la maturité cyber de l’équipe, une formalisation des scenarii de risques et des actions décidées, dont la plupart bien-sûr contribueront à la réduction de plusieurs risques.
Et nous avons fait le choix de limiter les informations concernant la planification des actions (avec un statut Prévue / Planifiée / Réalisée et un porteur), considérant que l’outil de gestion de projet de l’équipe était beaucoup plus naturellement la solution adéquate pour cela.
1. Démarche Globale
Afin de mener cette analyse, nous avons adopté la méthodologie EBIOS Risk Manager (RM) proposée par l’ANSSI et qui « permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre».
| La méthode EBIOS* Risk Manager repose sur une démarche hiérarchisée, partant du plus fondamental, le « socle de sécurité », puis allant vers des scénarii de risque en considérant des menaces intentionnelles et en les décrivant jusqu’à un niveau opérationnel. Elle vise à obtenir une synthèse entre les exigences du socle de sécurité et de ces scénarii de risque, en associant ces deux approches complémentaires. Sa bonne mise en œuvre garantit la conformité avec la norme ISO 27005, de management du risque SSI. |  |
- Une synthèse des missions, valeurs métiers et biens support (non présentée ci-dessous mais disponible sur demande)
- Une identification des évènements redoutés et leur formalisation dans une matrice de synthèse
- Un top 10 des scenarii de risques avec une estimation de leur vraisemblance, de leur gravité et, le cas échéant, une formalisation des actions décidées pour réduire les risques
- Une matrice de synthèse avec l’ensemble de ces scénarios de risque et leur situation en termes d’actions prévues, planifiées et réalisées.
Pour formaliser les évènements redoutés au sens EBIOS, il ne s’agit pas en premier lieu de développer des scenarii pouvant conduire à des impacts mais de commencer par le recensement et la hiérarchisation des situations de dégradation ou d’interruption du fonctionnement du SI qu’on voudra éviter, ou au moins limiter. Cette hiérarchisation est donc structurée en considérant les biens supports et valeurs métiers que nous avons établis précédemment. Afin d’évaluer la gravité des évènements redoutés, nous avons adopté cette échelle :
A laquelle nous avons associé cette matrice d’évolution selon la durée de l’évènement :
Précisons aussi que nous avons également adopté les conventions suivantes pour l’estimation de la vraisemblance et de la criticité des risques, que nous aborderons au paragraphe 5.3
Un tableau de synthèse des évènements redoutés et de leur gravité par processus métier est présenté ci-dessous :
3. Scénario de Risques
Le travail mené à bien sur les scénarii de risques, avec les managers et référents, peut être considéré comme la pierre angulaire de l’édifice que constitue d’une certaine façon une analyse SSI. Comme nous l’avons déjà évoqué plus haut, il va s’appuyer sur les éléments formalisés du socle de sécurité et se développer, par une approche itérative avec les différents acteurs, jusqu’à aboutir à un résultat concret et argumenté. Démarche itérative préconisée par EBIOS pour l’appréciation des risques :
Et c’est bien ainsi que nous avons procédé, pour finalement aboutir à un Top 10 des scenarii de risque (ci-dessous) à travailler, avec une estimation de leur vraisemblance/gravité à date et après mise en œuvre des actions de réduction du risque sur lesquelles nous avons mobilisé le plus de temps de travail collectif (les scenarii de risque – de R0 à R9 – sont colorés selon trois niveaux de criticité, du plus critique en noir, au moins critique en blanc) :
Ci-dessous (volontairement floue par confidentialité), la matrice adoptée pour la formalisation des actions de réduction des risques et en particulier l’affectation de chaque action à un ou plusieurs scénario de risque. Un statut d’avancement (Prévue, Planifiée, Réalisée) et un porteur sont également renseignés pour chaque action :
Nous présentons ci-dessous les thèmes structurant le plan d’actions, sans les actions elles-mêmes :
Et ci-dessous un exemple de restitution pour un scénario de risque, avec les actions qui lui sont associées automatiquement à partir de la matrice page précédente, grâce à la solution Excel + VBA mise en œuvre avec un seul fichier excel comprenant la description de chaque risque, la matrice des actions et la synthèse des risques globale :
La méthodologie que nous venons d’illustrer nous a donc permis d’associer efficacement, en adéquation avec la maturité cyber de l’équipe, une formalisation des scenarii de risques et des actions décidées, dont la plupart bien-sûr contribueront à la réduction de plusieurs risques.
Et nous avons fait le choix de limiter les informations concernant la planification des actions (avec un statut Prévue / Planifiée / Réalisée et un porteur), considérant que l’outil de gestion de projet de l’équipe était beaucoup plus naturellement la solution adéquate pour cela.
4. Pour poursuivre
Evidemment, l’analyse de risque ci-dessus va évoluer au fur et à mesure de l’avancement des actions, voire de l’apparition de nouveaux risques.
Et il reviendra au RSSI d’animer sa mise à jour, semestrielle par exemple, par une revue des risques et par la prise en compte de l’avancement des actions qui auront pu être menées à bien par les différents porteurs opérationnels.
(figure empruntée à P. De Marconnay – RSSI des HNO)
Références utiles sur le Net :
