Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

2010 était l’année d’EBIOS. Ou de MEHARI. Ou des deux.

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur 2010 était l’année d’EBIOS. Ou de MEHARI. Ou des deux.

Impossible d’achever cette année sans revenir sur les méthodes EBIOS et MEHARI, toutes deux mises à jour en 2010 à l’occasion d’un étrange hasard du calendrier. Qu’est-ce que ces versions 2010 apportent de neuf ? Nous sommes allés poser la questions aux premiers intéressés, à savoir l’ANSSI (qui développe EBIOS) et le CLUSIF (qui s’occupe de MEHARI)

Premier constat : il n’est désormais plus possible de parler d’EBIOS ou de MEHARI sans citer la norme ISO 27005. Car si les deux méthodes françaises ont bien entendu toujours des objectifs différents, elles partagent cependant désormais un point commun : l’ambition de mieux cohabiter avec ISO 27005. « Notre motivation pour cette mise à jour d’EBIOS était entre autres de mieux coller à la norme ISO 27005 », explique ainsi Raphaël Guerand, de l’ANSSI. Et c’est un même son de cloche chez le CLUSIF : « L’une de nos motivations derrière cette nouvelle version de MEHARI était la mise en conformité avec ISO 27005, car nous avions de plus en plus de questions pour savoir si nous étions compatibles », rapporte Jean-Philippe Jouas, responsable de l’Espace Méthodes au CLUSIF.

Second constat : l’heure est au ménage et à la simplification ! Les deux méthodes partagent en effet également une forte volonté de clarification. « Nous avons voulu travailler sur certaines lourdeurs, et rendre notamment le vocabulaire plus compréhensible en l’adaptant aux publics visés : la maîtrise d’oeuvre et la maîtrise d’ouvrage. Cela nous a notamment conduit à simplifier la section des vulnérabilités, qui était très détaillée dans la version précédente. Avec cette nouvelle version d’EBIOS il est plus simple de déterminer très rapidement le périmètre à couvrir pour n’entrer dans les détails que si nécessaire », explique Raphaël Guerand. La méthode est ainsi clairement positionnée comme la « boîte à outil » qu’elle est, et non comme un système monolithique où toutes les phases seraient obligatoires. Dans cet effort de simplification la structure de la base de connaissance d’EBIOS a également été entièrement revue. « On retrouve bien bien sûr les mêmes éléments que la version précédente mais cette nouvelle structure est plus claire, plus simple à manipuler et moins sujette aux erreurs d’utilisation », poursuit Raphaël Guerand.

Autre travail de simplification pour EBIOS, enfin : la méthode permet désormais plus facilement des allers-retours entre les risques déjà évalués. « Nous nous sommes rendus compte qu’il arrivait souvent que l’on doivent revenir sur les risques identifiés en début de mission car l’un d’eux était sous-évalué. La méthode 2010 permet de les reprendre sans pour autant tout remettre en cause »

Du côté de MEHARI le travail de simplification a essentiellement porté sur le vocabulaire utilisé, notamment afin de lever certaines ambiguïtés liées à l’alignement avec ISO 27005. « Nous avons par exemple voulu clarifier l’objectif de la norme, ou encore la définition d’un actif, son identification et la définition des besoins », explique Jean-Philippe Jouas. Les auteurs ont également mieux précisé la distinction entre menaces et vulnérabilités : « une vulnérabilité intrinsèque n’est pas la même chose qu’une faiblesse dans une mesure de sécurité ! Car si on commence par définir le risque en fonction des mesures de sécurité on tourne un peu en rond ! », s’amuse Jean-Philippe Jouas.

Toutefois contrairement à EBIOS qui subit une cure d’amincissement à l’occasion de sa simplification, ce travail a conduit à un enrichissement substantiel de la méthode MEHARI : « Cela nous a amené à retravailler de façon profonde nos scénarios de risque. Nous sommes passés de moins de 200 scénarios dans la version précédente à plus de 800 dans MEHARI 2010 », poursuit Jean-Philippe Jouas. Afin de gérer une telle masse de scénarios de risques le CLUSIF a alors adopté lui aussi une approche permettant de cibler rapidement l’essentiel (les scénarios les plus importants selon le contexte de l’analyse) et d’éliminer l’accessoire (les scénarios les moins critiques), quitte à y revenir ensuite.  « Je pense qu’à périmètre égal le temps d’analyse demeure identique, voire est parfois inférieur, à celui de l’ancienne version » affirme Jean-Philippe Jouas.

Troisième constat : les deux méthodes mettent l’accent sur les outils d’aide à l’analyse. « Nous livrons désormais avec la base Excel de MEHARI des outils pour simplifier les calculs et les simulations. Bien entendu leur portée est plus limitée que celle des outils professionnels tiers, qui vont continuer à exister, mais ça rend tout de même bien service ! », reconnaît Jean-Philippe Jouas.

Du côté de l’ANSSI on reconnaît certes aussi l’importance de bons outils livrés avec la méthode, mais ils ne sont toutefois pas encore prêts pour la version 2010. « Nous n’avons pas retenu l’option Excel comme l’a fait le CLUSIF pour MEHARI, car nous souhaitons quelque chose de plus conséquent et surtout adossé à une base de données, tout en laissant ouverte la possibilité à des tiers de créer l’interface », explique Raphaël Guerand. Pas encore d’outil, donc, mais des contacts avec le développeur d’une solution reconnue pour EBIOS v2, Alexandre Lauga (ESR Manager) et une rencontre avec Michel Dubois, l’auteur de evalSMSI (lire à ce sujet notre article « Trois outils gratuits pour la gestion du risque »).

Bilan : en définitive bien que les deux méthodes visent toujours des objectifs différents, leur évolution 2010 semble avoir été motivée par des besoins très similaires :

 

  • Prendre en compte l’importance croissante d’ISO 27005 dans le paysage
  • Simplifier le vocabulaire
  • Offrir une approche plus pragmatique (dégrossir avant de traiter les détails)
  • Inclure / améliorer les outils de base

Une telle cohérence est plutôt de bonne augure pour les utilisateurs de ces versions 2010 !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.