Connaissez-vous la méthode Ebios ? Un régime à base de produits bio pour soigner son équilibre alimentaire ? Pas du tout. Ebios, c’est l’abréviation de « Expression des besoins et identification des objectifs de sécurité ». Un référentiel français de sécurité informatique qui permet à l’entreprise de confronter les menaces auxquelles elle est exposée à ses besoins de sécurité. Ainsi parvient-elle à identifier les risques, à les prioriser et définir les objectifs de sécurité afin de déjouer les attaques.
A l’heure où les cyberattaques chahutent l’ordre mondial, l’analyse des risques numériques est un sujet stratégique. Didier Spella est spécialiste de la méthode Ebios et l’enseigne en formation continue pour AFNOR Compétences. « Je suis souvent étonné de constater que l’on aborde le risque numérique comme une découverte, alors qu’il a toujours existé. Or, la protection est avant tout une histoire de bon sens. Ne pesons-nous pas, dans nos actes quotidiens les plus anodins, les pour et les contre, pour déjouer les aléas de la vie ? », interroge-t-il. Poursuivant : « La sécurisation de l’information est avant tout une question d’organisation et de sensibilisation. Même si en matière de sécurité, le risque zéro n'existe pas, il s’agit d’anticiper les failles d’un système au même titre que l’on ferme la porte à clé en quittant la maison. »
Méthode Ebios : aller plus loin que le pot de miel
Vol ou fuite de données sensibles, phishing ou hameçonnage, ransomware… Pour lutter contre ces fléaux des temps modernes, deux possibilités : ajouter un ou plusieurs pare-feu pour ralentir l’attaquant, ou opter pour la technologie dite du pot de miel, qui consiste à créer un piège afin de tromper et dérouter les pirates. La méthode Ebios permet d’aller plus loin, et surtout de dimensionner le bouclier aux mesures de la menace. Mais pour cela, il est recommandé de se former. La formation « Certified EBIOS Risk Manager » d’AFNOR Compétences s’articule ainsi en cinq ateliers de deux jours au total :
- - le socle de sécurité pour cerner le périmètre métier et les évènements redoutés
- - l’identification des sources de risque et des objectifs visés
- - les scénarios stratégiques, c’est-à-dire les chemins d’attaque d’une source de risque pour atteindre son objectif
- - les scénarios opérationnels pour définir comment va se dérouler l’attaque
- - le traitement du risque et les solutions adoptées.
Ces cinq ateliers font prendre conscience aux décideurs du niveau de risque acceptable, mais aussi du coût acceptable que cela engendre et surtout de la protection acceptable à mettre en place : pédagogie, sensibilisation aux bonnes pratiques. « Nous avons parfois tendance à envisager nos choix comme des bons ou mauvais choix, mais le pire serait de ne pas en faire du tout, commente Didier Spella. N’oublions pas qu’avant d’être un cybercriminel, l’individu est cyber avant tout, formé dans les plus grandes écoles, rattrapé par l’appât du gain. Et que 30 % des attaques informatiques sont internes à l’entreprise. »
Se former avec AFNOR Compétences : https://competences.afnor.org/formations/certified-ebios-risk-manager