Alors que la sortie de la nouvelle version d’EBIOS – la méthode de référence pour le management des risques numériques – est prévue ce mois-ci, l’ANSSI a lancé un appel à manifestation d’intérêt auprès des éditeurs de logiciels pour participer à son outillage.
Une initiative accueillie avec beaucoup d’enthousiasme par les éditeurs. « Nous nous félicitons évidemment de cette nouvelle » témoigne Jean Larroumets, PDG d’EGERIE Software et de poursuivre « Nous sommes impliqués sur ces sujets depuis des années. Nous avions besoin d’un soutien officiel et d’une reconnaissance de l’autorité nationale que représente l’ANSSI. Cette labellisation nous a souvent été demandée par les utilisateurs finaux. Cela devrait apporter une lisibilité plus forte sur les offres proposées sur le marché, valoriser tous les efforts que nous avons consentis et renforcer l’appropriation de la méthode tout comme la démarche de pilotage par les risques par les utilisateurs finaux. »
Depuis 1995, l’ANSSI et ses partenaires ont fait évoluer EBIOS. À la rentrée, une nouvelle version de cette méthode sera donc proposée pour répondre de façon « agile, réaliste et collaborative aux évolutions de la menace, au plus près des besoins des organisations. Cette nouvelle édition de la méthode garantira une approche concrète et actuelle du management du risque numérique, adaptée à toutes les organisations. » souligne l’ANSSI.
Bien que la société EGERIE Software ne soit pas encore labellisée, elle figure parmi les précurseurs dans le domaine. Le nom de sa solution, lancée en 2012, est déjà un premier signe… « Risk Manager 2.5 ». Ca ne s’invente pas…
« Notre solution se veut collaborative et automatisée de pilotage intégré de la cybersécurité qui permet de construire de façon dynamique les analyses de risques cyber grâce à un moteur d’analyse et des bibliothèques. Risk Manager permet de prédire et de calculer les risques réels, d’auto-diagnostiquer, de planifier et suivre les mesures de sécurité, d’assurer la conformité aux normes et réglementations, de construire des plans d’actions et de produire automatiquement des rapports, registres et indicateurs. » explique Jean Larroumets. L’organisation, la collectivité ou l’entreprise dispose, grâce à cet outil d’un panorama complet et actualisé de son niveau de cybersécurité sur l’ensemble de sa structure via une cartographie personnalisée de sa situation à risque, mise à jour automatiquement et des plans de traitements pour réduire, partager, maintenir, et éviter les risques identifiés.
Pas de solution ou de produit à développer donc. Simplement des logiciels à faire évoluer dans le cadre de cette labellisation. « Nous avons déjà lancé les évolutions de nos logiciels au début de l’été pour répondre à l’évolution des besoins et des usages de nos clients. Nous sommes donc conformes à l’esprit, aux principes et aux concepts de la méthode EBIOS attendue pour viser très rapidement le label EBIOS « Risk Manager ». » ajoute Jean Larroumets.
La nouvelle méthode EBIOS devrait arborer une approche plus innovante et prometteuse avec à la clé des indicateurs plus visuels, plus intuitifs, plus illustratifs et ce afin d’impliquer tous les acteurs de l’entreprise ou de l’organisation, et leur permettre de se projeter à différents niveaux.
Véritable outil d’aide à la décision, l’analyse de risques permet de disposer de ces indicateurs d’aide à la gouvernance, et de suivi sur l’ensemble du système essentiel aux dirigeants. « Grâce à ces indicateurs, les experts peuvent se concentrer sur la corrélation et l’agrégation des données intégrées par les collaborateurs impliqués et responsabilisés, en mode distribué. Ils sont ainsi plus pertinents et efficaces dans leurs rapports d’analyses. Un outil qui permet de capitaliser l’existant sur les analyses de risques futures. » ajoute le PDG.
Cette nouvelle version d’EBIOS s’annonce comme la méthode d’analyse et de traitement indispensable et incontournable pour permettre aux dirigeants d’appréhender le risque cyber, au même titre que d’autres menaces stratégiques pour leur organisation, avec une compréhension partagée entre le niveau décisionnel et opérationnel. Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite donc s’appuyer sur des partenaires externes, éditeurs de logiciel. L’objectif est évidemment d’accroitre l’adoption de la méthode EBIOS par le plus grand nombre.
A ne pas oublier enfin les perspectives européennes. Des équivalences de ce futur label sont attendues et espérées…
Il faut également penser impact métier pour parler de cybersécurité. « C’est en parlant des répercussions concrètes sur la vie et la pérennité de l’entreprise que l’on peut sensibiliser et avoir les moyens d’agir. En parlant des impacts d’une attaque sur la chaine de production, les livrables, les fournitures clients… tout cela parlera aux membres du COMEX. » commente un DSI.
Le prédictif au travers de la threat intelligence doit en effet être plus poussé. « Travailler sur la cybersécurité cognitive, et l’intelligence afin d’anticiper les menaces est un axe d’effort majeur. » ajoute le Général Watin-Augouard.
Un rapport public dédié à la cyber-resilience réalisé par la section sécurité et risques du Conseil Général de l’Economie du Ministère de l’Economie et des Finances évoque deux recommandations opérationnelles : améliorer la cyber résilience des organismes publics et disposer de compétences nécessaires en cybersécurité. « Nous appelons à faciliter l’émergence de produits et solutions innovants en matière de cybersécurité. »
De l’innovation, il y en a déjà beaucoup en France. « Mais il faut désormais structurer cette offre et consolider ce marché. Nous ne pouvons pas acheter une solution ou un produit pour chaque nouveau problème. L’ergonomie et l’efficacité de ces derniers restent encore perfectibles. Les éditeurs de solutions sécurité et leurs laboratoires de R&D doivent y consacrer plus de ressources. Il faut aller plus loin qu’une simple logique de rachat. » clame Alain Bouillé ajoutant qu’il y a une responsabilité des éditeurs et de la R&D. « Ils doivent avoir un train d’avance sur les hackeurs. Il sera compliqué à l’avenir de faire reposer le dernier rempart de la cybersécurité sur l’utilisateur. »