Tech Guru Tarek

Synthèse du Collège des Praticiens EBIOS – Évaluation de la dangerosité des parties prenantes

Mardi, j’ai pu assister à la Table ronde du Collège des Praticiens du Club EBIOS sur l’évaluation de la dangerosité des parties prenantes.

La thématique de cette dernière édition était particulièrement intéressante puisqu’il s’agit d’une thématique qu’on retrouve énormément en GRC et qui fait écho au TPRM (Third-Party Risk Management) vu à travers le prisme d’EBIOS.

On peut notamment retrouver ce TPRM dans le quatrième pilier de DORA « La gestion des risques liés aux prestataires tiers de services TIC ». Ou encore dans les contrôles organisationnels l’ISO 27001/27002 (5.19 à 5.23) :

  • 5.19 Information security in supplier relationships
  • 5.20 Addressing information security within supplier agreements
  • 5.21 Managing information security in the ICT supply chain
  • 5.22 Monitoring, review and change management of supplier services
  • 5.23 Information security for use of cloud services

Alors voici la Synthèse de la Table Ronde ! Bonne lecture 🙂

Présentation des intervenants

  • Jean Olive :
    • Vice-président du club EBIOS, co-fondateur de la méthode et praticien depuis 1993 avec EBIOS (première version).
  • Tony Hedoux :
    • Secrétaire général du club EBIOS et Product Owner chez ALL4TEC, éditeur d’outils pour analyses de risque.
  • Nicolas Van Cauter :
    • Responsable des activités de gouvernance à la SSI France de Thalès, avec une expertise sur l’analyse de risque dans le secteur de la défense et pour les grands comptes.
  • Dominique Ciupa :
    • Expert indépendant avec une expérience remontant aux versions EBIOS 2004.
  • Rachid El Alaoui :
    • Cofondateur d’une société éditrice de logiciels pour la GRC « AMN Brains », il revient sur son évolution personnelle depuis des méthodes ad hoc vers l’utilisation d’EBIOS (version 2010).

Définition et frontières entre partie prenante et bien support

Une partie prenante peut être définie comme une entité, interne ou externe, sur laquelle on se concentre lorsqu’on examine les engagements en matière de sécurité.

La notion de responsabilité entre également en jeu : si un système ne relève pas directement de notre responsabilité, alors l’acteur qui en a la charge peut être considéré comme une partie prenante. Il est aussi souligné que, dans la pratique, la séparation entre bien support et partie prenante peut parfois être artificielle.

Par ailleurs, dès lors qu’on ne maîtrise pas les moyens de mise en œuvre de la sécurité, mais qu’on a un levier sur les engagements associés, il devient pertinent de modéliser le bien support en tant que partie prenante.

La distinction entre bien support et partie prenante repose aussi sur la définition du périmètre de l’analyse de risque, à savoir ce qui est directement géré (« interne ») et ce qui ne l’est pas (« externe » au SI, représenté par un éditeur ou un fournisseur, ou même une autre équipe au sein de la DSI dans les grosses organisations).

Enfin, un composant sur étagère, comme une application SaaS ou une solution ERP hébergée localement, présente deux dimensions : une partie configurable et sous contrôle du client (le bien support), et une autre liée aux engagements ou au cycle de vie du fournisseur, ce qui en fait une partie prenante.

Ce qu’il faut retenir

Il est essentiel, en début d’analyse, de délimiter le périmètre tout en restant flexible. Toute modélisation doit rester pragmatique pour éviter des débats interminables sur des distinctions purement théoriques. La flexibilité et la capacité à requalifier un élément en fonction de l’évolution de l’étude sont des points clés.

Discussion sur les critères d’évaluation et les échelles d’évaluation

Critères proposés et pièges à éviter

La métrique de confiance :

Il est important de ne pas confondre un manque de confiance avec une source de risque. La simple absence de confiance envers une partie prenante, sans prise en compte du contexte, peut mener à des conclusions hâtives.

L’échelle de confiance doit être utilisée en complément d’autres critères afin d’éviter toute interprétation biaisée. Un faible niveau de confiance ne signifie pas nécessairement qu’une partie prenante doit être considérée comme malintentionnée ou hostile.

Les critères d’évaluation généraux :

Il est souligné qu’il est essentiel d’intégrer un critère de dépendance, notamment au regard de l’obsolescence technologique. Par exemple, la disparition ou l’indisponibilité d’un fournisseur critique peut avoir un impact significatif.

D’autres critères relèvent de dimensions géostratégiques et économiques. Le contexte géopolitique, par exemple, peut influencer le choix d’un fournisseur, notamment en ce qui concerne la souveraineté des données face à certains acteurs étrangers.

Enfin, une approche reposant sur quatre critères – pénétration, dépendance, maturité et confiance – conformément à la méthode est recommandée pour évaluer la dangerosité d’une partie prenante. Toutefois, il est important de garder une analyse qualitative, argumentée et contextuelle, en évitant les approches purement mathématiques ou automatiques, qui risquent de simplifier à l’excès la complexité de l’évaluation.

Exemples concrets d’application

Utilisation en PME versus grands groupes :

Dans le cas d’une PME et donc des entreprises à petit budget, certains intervenants mentionnent que l’évaluation des parties prenantes peut s’appuyer sur des critères simples menant à une classification binaire : critique ou non critique. Cette approche pragmatique permet de limiter la complexité tout en s’adaptant aux contraintes de ressources humaines et financières.

Cas de logiciels « sur étagère » :

L’exemple d’Office 365 a été cité à plusieurs reprises lors de la Table Ronde : bien que certains éléments comme l’interface utilisateur et les paramètres de configuration soient sous contrôle interne (et donc considérés comme bien support), d’autres aspects relèvent entièrement du fournisseur, notamment le cycle de vie du produit, les mises à jour ou les engagements contractuels. Ces éléments justifient de considérer également le fournisseur du bien support comme une partie prenante.

Ce double traitement – bien support d’un côté, partie prenante de l’autre – permet une meilleure évaluation des responsabilités et des mesures de sécurité attendues vis-à-vis du fournisseur.

Ce qu’il faut retenir

  • L’évaluation doit toujours être accompagnée d’une justification claire et détaillée, afin que, lors d’un suivi ultérieur de l’analyse, il soit facile de comprendre le raisonnement qui a conduit à une classification particulière.
  • La méthode reste qualitative, et il est préférable d’argumenter les choix plutôt que de tenter de quantifier de manière rigide l’impact de chaque critère.
  • Il faut également considérer le rôle et l’implication des autres services (achats, juridiques) pour compléter l’analyse, notamment dans le cas d’acteurs majeurs ou de contrats importants. Chose qui est plus facile à réaliser auprès de petits acteurs étant donné que les plus gros sont restreints par l’illusion du secret.

Débat sur la séparation de l’évaluation de la l’écosystème du reste de l’analyse de risque

Approches complémentaires

Il est souligné que l’évaluation des parties prenantes ne devrait pas être menée indépendamment de la compréhension globale des scénarios d’attaque. En particulier, l’atelier dédié à l’écosystème (souvent désigné comme la première partie de l’atelier 3) dépend directement des éléments produits lors des étapes précédentes, notamment l’identification des valeurs métier, des données sensibles, des sources de risque et de leurs motivations. Étudier l’écosystème sans ces fondations préalables risquerait de conduire à une analyse partielle ou hors contexte.

Une autre approche met en avant la notion de « position d’attaque », qui décrit comment la compromission d’une partie prenante peut transformer la configuration de la menace, en rapprochant un acteur malveillant de son objectif final. Cela souligne l’importance d’évaluer l’écosystème dans une logique dynamique et orientée vers les scénarios d’exploitation.

Enfin, les avis divergent selon le contexte organisationnel. Certaines structures, notamment de taille réduite, préfèrent dissocier l’analyse en deux temps pour alléger la charge de travail. D’autres plaident pour une approche plus intégrée, dans laquelle l’évaluation de la dangerosité s’appuie étroitement sur les scénarios opérationnels afin de rester ancrée dans la réalité métier.

Ce qu’il faut retenir

L’intégration ou la séparation entre l’évaluation des parties prenantes et l’exploitation des scénarios de menace (ateliers ultérieurs) doit être adaptée au contexte et doit s’inscrire dans une suite logique. Dans tous les cas, l’important est de conserver une traçabilité des choix effectués et d’assurer que l’ensemble des acteurs impliqués comprennent bien les enjeux.

Résumé des conclusions et enseignements

Définir précisément le périmètre d’analyse

La distinction entre partie prenante et bien support est souvent floue et dépend du périmètre choisi. Un découpage initial flexible permet de requalifier un élément en fonction de l’évolution de l’analyse.

Importance de l’argumentation et de la justification

Chaque critère d’évaluation (confiance, maturité, dépendance, pénétration) doit être soutenu par des arguments clairs. L’exigence de justifier tous les choix est au cœur de la méthode EBIOS et de la démarche d’homologation.

Limiter l’utilisation de formules mathématiques rigides

Même si des critères peuvent être quantifiés, l’analyse doit rester qualitative et le résultat issu d’un raisonnement qui reste argumenté, permettant d’adapter l’analyse aux réalités du terrain.

Tarek

Une réponse à “Synthèse du Collège des Praticiens EBIOS – Évaluation de la dangerosité des parties prenantes”

  1. Dangerosité des parties prenantes : mon point de vue sur les discussions de la Table Ronde – Tech Guru Tarek

    […] Vous pourrez trouver le compte rendu de cette Table Ronde ici. […]

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.