XMCO prône une approche de la sécurité par les risques techniques ; c’est pourquoi nous avons rejoint le Club EBIOS début 2019.
Tous les deux mois, le Club EBIOS rassemble ses membres autour de thématiques prédéfinies pour des présentations et des discussions dans le domaine de la gestion des risques. Cet article propose un résumé des différents sujets ayant été abordés.
[distance1]Programme de la réunion courante
La réunion courante du 14 mars était composée des présentations suivantes :
- Présentation du standard FAIR (Factor Analysis of Information Risk) par Christophe FORET et Denis ROYER (C-RISK)
- Préalables à la constitution de bases de connaissance pour élaborer les kill chains par Sylvain CONCHON (CONIX) et Jean CAIRE (RATP)
- EBIOS Risk Manager, de la méthode à la pratique par Anne-Catherine VIE (ALL4Tec)
[distance1]Le standard FAIR : l’analyse quantitative des risques
Lien vers la présentation : https://club-ebios.org/site/wp-content/uploads/ClubEBIOS-2019-03-14-FORET-ROYER.pdf
FAIR, standard de l’OpenGroup mis au point en 2005 par Jack Jones, tire ses origines de la quantification des risques réalisée dans l’actuariat (particulièrement dans le domaine de l’assurance). Cette méthode se concentre donc sur une estimation quantitative des niveaux de risque.
Pour cela, ce standard propose deux éléments :
- une méthode présentant les quatre étapes à suivre pour la réalisation d’une appréciation des risques :
- Cadrage (correspondant globalement au premier atelier de la méthode EBIOS) ;
- Collecte et estimation ;
- Calculs Monte-Carlo ;
- Présentation (des résultats et prise de décision).
- une taxonomie qui décompose le risque sous la forme d’un arbre en le présentant comme une quantité financière décrivant la perte prévue pour un scénario donné sur une période de temps spécifique.
Le risque est d’abord découpé en deux aspects : vraisemblance d’un côté, conséquences de l’autre. Chacun est à nouveau décomposé selon plusieurs niveaux de sorte à obtenir un ensemble de composantes à valoriser soit d’un point de vue financier, soit d’un point de vue purement numérique (représentant un nombre d’occurrences sur la période spécifiée ou une probabilité de réalisation).
Ce découpage ne reflète pas une invention intégrale de l’OpenGroup, mais reprend des éléments que l’on retrouve par ailleurs, notamment dans les annexes de l’ISO 27005, seule norme de gestion de risques en sécurité de l’information. La particularité et le parti pris de cette méthode sont la volonté de réaliser une analyse quantitative de toutes ces composantes de sorte à obtenir un niveau de risque correspondant à une valeur financière, alors que de nombreuses méthodes utilisent plutôt une analyse qualitative, voire semi-quantitative des risques.
Une fois le cadrage de l’étude réalisé, la valorisation de chacune de ces composantes sera basée sur trois éléments : un minimum, un maximum ainsi qu’un intervalle de confiance en ces deux précédentes. L’étape suivante consiste à réaliser des simulations à l’aide de la méthode Monte-Carlo pour générer un graphe de répartition des probabilités de perte financière selon chaque scénario de risque, mettant en exergue, pour chacun, la valeur la plus probable de cette perte.
Les discussions ayant suivi cette présentation ont mis en évidence des questions qui n’ont pas encore obtenu de réponse, notamment sur la pertinence de la méthode Monte-Carlo (plutôt que d’autres modèles statistiques ou probabilistes), ainsi que la validité de la méthode pour considérer des scénarios sur lesquels aucune donnée (ni interne, ni externe) n’est disponible. Comment, en 2009, aurait-on analysé le risque correspondant au scénario de Stuxnet en suivant la méthode FAIR ? Un premier élément de réponse a tout de même été donné : le niveau de précision dans le découpage suivant la taxonomie de l’OpenGroup est à adapter à chaque situation : il est, selon les cas, plus judicieux de ne pas aller jusqu’au troisième niveau de profondeur de l’arbre.
[distance1]La constitution de bases de connaissance pour élaborer les kill chains
Lien vers la présentation : https://club-ebios.org/site/wp-content/uploads/ClubEBIOS-2019-03-14-CONCHON-CAIRE.pdf
Cette présentation de réflexions autour des cyber kill chains a été introduite par une simple question : qui dans la salle utilise réellement les kill chains dans ses appréciations des risques et qui sait en faire ?
Pour rappel, la cyber kill chain décrit le cycle de vie d’une attaque en sécurité de l’information. C’est un enchaînement d’actions élémentaires décrivant la structure du mode opératoire d’une source de menace. La représentation de cette chaîne permet alors une analyse détaillée d’un scénario d’attaque. Il existe plusieurs modèles représentant cette séquence d’attaque, comme les sept étapes décrites par Lockheed Martin ou encore le modèle « Connaître — Rentrer — Trouver — Exploiter » utilisé dans la fiche méthode 7 de la méthode EBIOS Risk Manager.
La première réponse proposée à la question initiale est : personne. En réalité, il est d’abord nécessaire d’établir une grammaire et une méthode d’une part, et d’autre part des bases de connaissances et des modèles.
Concernant la définition d’une grammaire et d’une méthode, trois propositions sont faites.
La première consiste à assumer le fait qu’il n’y a pas que l’informatique dans les systèmes d’information, incluant notamment les aspects humains et physiques. Premier problème : ces deux derniers éléments ne sont pas pris en compte dans EBIOS Risk Manager.
La seconde proposition consiste à identifier des scénarios sur la base d’actions élémentaires produisant un effet associées à des pré-conditions et des post-conditions. Cette grammaire serait identique à toutes les étapes du chemin d’attaque. Second problème : ce modèle ne permet pas de prendre en compte un certain nombre de cas (une action peut produire plusieurs effets, plusieurs actions peuvent être requises pour produire un unique effet, un effet peut en produire directement un autre, etc.).
Une troisième proposition consiste à faire l’analogie entre la kill chain et le schéma narratif. Une situation initiale est modifiée par un élément perturbateur produisant des péripéties jusqu’à ce qu’un élément de résolution permettent l’atteinte d’une situation finale. L’objectif est dans ce cas d’utiliser la kill chain pour assurer la cohérence globale entre le début et la fin du scénario.
Par ailleurs, il est nécessaire de définir des bases de connaissances et des modèles pour mettre en œuvre la méthode.
Le modèle proposé contient alors des modes d’action associés à des pré-conditions. L’exemple donné propose d’abord un découpage en strates (anthropique, cybernétique et physique) en déterminant tous les cas possibles quant à la position de l’attaquant. Des catégories de scénarios d’attaques sont ensuite définies en s’assurant d’y associer pour chacune la position de l’attaquant. Il s’agit alors de définir une partition de scénarios pour chaque strate. Dans l’exemple de la strate cybernétique, on divise chaque scénario en trois parties :
- On connaît un élément ;
- On prend le contrôle d’un élément ;
- On attaque un élément depuis un autre.
Il s’agit finalement d’énumérer tous ces scénarios selon les éléments analysés jusqu’ici. Dans l’exemple simple qui est donné, cela représente déjà une vingtaine de scénarios.
Pour mettre en œuvre ce type de modèle, il est donc nécessaire de se baser sur des bases de connaissances. Encore faut-il pouvoir en déterminer un découpage cohérent. La proposition effectuée est de se baser sur le modèle fonctionnel de la kill chain. Cette description du « Quoi » est ensuite décomposée en fonctions (le « Comment ») qui, une fois suffisamment détaillées, permettront de fabriquer une base de connaissances et notamment de se rattacher à d’autres, telles que celle définie par le MITRE (ATT&CK).
[distance1]EBIOS Risk Manager : un premier client lourd en cours de labellisation
Lien vers la présentation : https://club-ebios.org/site/wp-content/uploads/ClubEBIOS-2019-03-14-VIE.pdf
L’ANSSI a annoncé lors du FIC 2019 son processus de labellisation des outils permettant de réaliser des appréciations des risques selon la méthode EBIOS Risk Manager. La première phase se concentre sur les outils « clients lourds » avec l’objectif d’avoir des outils labellisés avant la fin du premier semestre de cette année. Les solutions SaaS seront abordées dans un second temps, prévues pour 2022.
La présentation débute par un rappel de cet historique et des différences entre EBIOS Risk Manager et la version précédente de la méthode, avant de montrer les fonctionnalités de l’outil avec l’implémentation de l’exemple @rchimed d’EBIOS 2010. Celui-ci présente des graphiques conformes à ce qui est présenté dans la méthode (particulièrement concernant les ateliers 3 et 4) et propose un positionnement des actions élémentaires des scénarios opérationnels dans la cyber kill chain. L’outil répond à ses principaux objectifs, c’est-à-dire répondre aux exigences de l’ANSSI pour les outils labellisés, et notamment permettre :
- le suivi de métriques (relatifs à la gestion de risques unitaire) ;
- des vérifications de cohérence (au sein de chaque atelier, mais aussi les uns vis-à-vis des autres) ;
- la conservation de l’historique ;
- l’export des données.
Les questions ont mis en évidence des évolutions possibles de l’outil, notamment la capacité à pouvoir filtrer les résultats d’un atelier. Il est possible, selon l’objectif initial de l’appréciation des risques, de préciser les ateliers que l’on veut dérouler, mais pas de décider de continuer l’analyse sur certains objectifs visés ou filtrer une partie du plan de traitement. Par ailleurs — pour l’instant — les formats d’export ne permettent d’obtenir, pour tout ou partie d’un atelier, qu’un format Microsoft Excel ou HTML.
La prochaine réunion du Club est prévue le 14 mai 2019, 14h.
Références
https://club-ebios.org/site/
https://club-ebios.org/site/calendrier-reunion/reunion-courante-de-mars-2019/
Image de couverture : le logo est la propriété exclusive du Club EBIOS.
