Retour d Expérience : Problématiques de l application d EBIOS dans des contextes «métiers» techniques Club-EBIOS - 04/07/2016 www.thalesgroup.com
Agenda Le groupe Thales La pratique d EBIOS au sein de Thales Problématique 1 : l approche centrée sur le système Problématique 2 : sources de menace externes / acteurs menaçants internes Problématique 3 : l approche baseline Conclusion 2
Le groupe Thales Présentation www.thalesgroup.com
Profil L intelligence collective pour un monde plus sûr Partout où des décisions critiques doivent être prises, Thales est présent. Sur les marchés que le Groupe sert (aéronautique, espace, transport terrestre, sécurité, défense), ses équipements et systèmes aident ses clients à choisir la meilleure option et à agir en conséquence. L expertise de ses 62 000 collaborateurs et sa présence opérationnelle dans 56 pays en font ainsi un acteur clé de la sécurité des citoyens, des infrastructures et des États. Salariés 62 000 (effectif géré au 31 déc. 2015) Une structure équilibrée du chiffre d affaires Défense 50 % Une présence mondiale 56 pays Répartition du capital (au 31 décembre 2014) R & D Autofinancée* 2015 707 millions d euros * N inclut donc pas la R & D réalisée sur financements externes. Civil 50 % État français 26,4 % Chiffre d affaires 2015 14 milliards d euros Flottant dont 2 % de salariés 48,3 % 25,3 % Dassault Aviation 4
Les implantations Thales par pays 5
Activités AÉRONAUTIQUE ESPACE TRANSPORT TERRESTRE DÉFENSE SÉCURITÉ THALES SERT DES MARCHÉS VITAUX POUR LE FONCTIONNEMENT DE NOS SOCIÉTÉS. Le Groupe constitue un ensemble cohérent, irrigué par une expertise technologique transverse qui lui permet d opérer sur l ensemble de la chaîne de valeur en fonction des besoins de ses clients civils et militaires : maîtrise d œuvre, intégration de systèmes, fourniture d équipements à haute valeur ajoutée, activités de services. 6
Organisation / Activités mondiales et Business Lines Systèmes d information & de communications sécurisés Produits de radiocommunication Réseaux et Systèmes d infrastructure Systèmes de protection Systèmes d information critiques et Cybersécurité Radar de surface Systèmes terrestres & aériens Gestion du trafic aérien Opérations aériennes & Systèmes d armes Optronique et Electronique de missiles Armement & Véhicules protégés Systèmes de mission de défense Systèmes navals de combat de surface Systèmes sous-marins Systèmes de combat électroniques Renseignement, Surveillance, Reconnaissance Avionique civile Avionique militaire Avionique Avionique Hélicoptères Multimédia de bord Systèmes électriques Formation et simulation Sous-systèmes hyperfréquence & d imagerie Télécoms Observation Exploration Navigation Espace Systèmes de transport terrestre Signalisation ferroviaire grandes lignes Signalisation ferroviaire pour réseaux ferrés urbains Systèmes intégrés de communication & de supervision Systèmes de billettique 7
Des positions de premier plan N 1 mondial Charges utiles pour satellites télécom Gestion du trafic aérien Sonars Sécurisation des transactions interbancaires N 2 mondial N 3 mondial Systèmes de signalisation ferroviaire Multimédia de cabine et connectivité Radiocommunications tactiques militaires 14 milliards d euros de chiffre d affaires Avionique commerciale Satellites civils Radars de surface militaires 8
La pratique d EBIOS au sein de Thales Le contexte Thales www.thalesgroup.com
Le contexte Thales Méthodologie : Thales utilise la méthode EBIOS : - Pour ses activités «Défense» - Pour ses Besoins Internes - Pour ses clients du Secteur Public - Enfin, pour ses Clients Civils (depuis EBIOS-2010) 10
Le contexte Thales Périmètres : Thales réalise des analyses des risques sur tous types de périmètres : - Au niveau «composants» - Au niveau «produits» - Au niveau «systèmes» - Au niveau «systèmes complexes» (systèmes de systèmes / SMSI) - Au niveau «Stratégies» 11
Le contexte Thales Utilisations : Les raisons d être des analyses des risques pratiquées par Thales : - Les homologations de produits / systèmes - Les certifications de produits Utilisateurs : Une population technique, principalement d ingénieurs, dans les domaines : - De l ingénierie système - De l ingénierie logicielle 12
Problématique 1 L approche centrée sur le système www.thalesgroup.com
L approche centrée sur le système Problématique : Ingénierie système = culturellement approche bottom-up - Très bonne maîtrise technique depuis les couches basses - Moins à l aise au fur et à mesure que l on s abstrait des couches techniques Maîtrise du système mais pas forcément de son cadre d utilisation métier - Question des enjeux métiers et de leur prise en compte Vocabulaire technique spécifique - Par exemple vocabulaire Critères Communs EBIOS-2010 est perçue comme lacunaire - Sur l étape de l Etude des scénarios de menaces et des vulnérabilités 14
L approche centrée sur le système Réponse Thales : méthode combinée EBIOS-TVRA Trouver une approche plus concrète/complète pour l étude des scénarios de menaces - Mais ne pas réinventer la roue - Être facilement appréhendable par de non-spécialistes de la SSI - Et même faciliter l adhésion de populations techniques tels les Ingénieurs Systèmes Candidat : TVRA (Threat Vulnerability Risk Assessment) de l ETSI (European Telecommunication Standard Institute) - Très pratiquée dans les domaines des Telecom et de l Embarqué Automobile - S appuie sur les concepts et le vocabulaire des Critères Communs - Mais la notion de risque est centrée sur le système étudié lui-même 15
L approche centrée sur le système Réponse Thales : méthode combinée EBIOS-TVRA (suite) Démarche pour combiner EBIOS et TVRA - Prise de recul sur les principes développés par TVRA Le risque TVRA est similaire à la vraisemblance EBIOS - Convergence des deux approches Gros travail sur le vocabulaire Convergence des métriques car c est la clé de voute, le liant entre les deux Points forts de la combinaison EBIOS-TVRA - L étude approfondie des scénarios de menace - Le vocabulaire Critères Communs - Le maintien de la double restitution risque TVRA / risque EBIOS 16
Problématique 2 Sources de menace externes / Acteurs menaçants internes www.thalesgroup.com
Sources de menace externes / Acteurs menaçants internes Problématique : Menaces sur les systèmes sensibles (OIV / services étatiques) - Les sources de menace jugées comme majeures sont externes avec de forts moyens Agences gouvernementales Organisations terroristes Grande criminalité - Cependant beaucoup d attaques demandent des actions internes Accès à des systèmes non atteignables depuis un réseau externe (cf. Internet) Accès à des comptes à privilège en pré-requis Accès à des informations protégées en pré-requis Accès à des connaissances métiers très spécifiques Comment évaluer la vraisemblance de ces scénarios d attaque? 18
Sources de menace externes / Acteurs menaçants internes Réponse Thales : combinaison EBIOS IS1 Trouver une approche de pondération sur la dichotomie Source de menace Vs. Acteur de la menace - En fonction de la volonté et des moyens de la source de menace - Et en fonction de la typologie des acteurs internes nécessaires - Mais toujours ne pas réinventer la roue Candidat : IS1 (Information Security 1) du GCHQ/CESG (alter-ego UK de l ANSSI) - Même si aujourd hui abandonnée par le CESG au profit de l ISO-27005 - Développe les notions de Threat Source / Threat Actor - Avec abaques de la capacité d influence sources externes sur acteurs internes En fonction du nombre d acteurs ciblés En fonction du niveau d habilitation de ces acteurs 19
Sources de menace externes / Acteurs menaçants internes Réponse Thales : méthode combinée EBIOS-IS1 (suite) Démarche pour combiner EBIOS et IS1 - Les sources de menaces sont vues avec les enjeux métiers Étape Etude des évènements redoutés - Les acteurs menaçants sont vus avec les scénarios d attaque Étape Etude des scénarios de menace - Caractéristiques des acteurs par déclinaison pondérée des sources de menace Application des abaques d IS1 par le responsable de l analyse de risque Points forts de la combinaison EBIOS-IS1 - Une vue stratégique haut-niveau maintenue - Une contextualisation pondérée pour le niveau technique - Démarche justifiable et répétable 20
Problématique 3 L approche baseline www.thalesgroup.com
L approche baseline Problématique : Ingénierie système = culturellement approche baseline - Très bonne maîtrise technique de solutions éprouvées - Avec, au mieux, des mesures de sécurité natives - Cependant gérées comme un COTS, figé Les clients finaux montent en maturité SSI - Demandent une analyse de risques sur la solution à déployer Résistance de l ingénierie système - Analyse de risque reverse devant aboutir aux mesures packagées! 22
L approche baseline Réponse Thales : question ouverte Comment gérer la schizophrénie entre - L analyse de risque Top-Down (cf. client) - L analyse de risque Bottom-Up contrainte (cf. ingénierie système) Pas d approche technique satisfaisante, seulement pédagogie / sensibilisation - Il faut faire évoluer les pratiques culturelles - Il faut gérer les impacts économiques sur les offres L adhésion à une approche par les risques est encore un challenge au sein des populations techniques 23
Conclusion www.thalesgroup.com
Conclusion La modularité d EBIOS est une réalité, sous conditions : Après adaptation du vocabulaire! En prenant du recul sur les méthodologies tierces Et une convergence des métriques L intégration méthodologique contextuelle de modules tiers est un plus pour obtenir l adhésion d utilisateurs non professionnels de la SSI Pour approfondir des étapes jugées souvent trop génériques d EBIOS La modularité d EBIOS est une force à conserver! 25
Pour toute information : Nicolas VAN CAUTER Spécialiste Technique Thales, Thales TCS/CSE m: +33 (0) 6 43 59 28 20 nicolas.vancauter@thalesgroup.com 26 Thales Communications & Security Janvier 2012