Accueil Nos publications Blog EBIOS Atelier 4 : Analyser les scénarios opérationnels entre complexité, risques et pertinence
Cybersécurité

Niveau Expert

Date de publication23/05/2025

4 min

EBIOS Atelier 4 : Analyser les scénarios opérationnels entre complexité, risques et pertinence

Sommaire

  1. « Les scenarios opérationnels ne servent à rien »
  2. « La kill chain telle qu’on la connaît n’existe pas ! »
  3. Pour aller plus loin

À l’occasion de la publication du guide méthodologique du Club EBIOS relatif à la conception des scénarios opérationnels, notre expert Sylvain Conchon nous propose quelques réflexions de terrain sur le sujet.

Télécharger le guide méthodologique

« Les scénarios opérationnels ne servent à rien ! »

De nombreux praticiens de la méthode ont déjà été confrontés au sujet : les résultats de l’atelier 5 de la méthode EBIOS sont souvent les mêmes avec ou sans la réalisation de l’atelier 4 :

  • Les stratégies de traitement du risque sont les mêmes pour les scénarios opérationnels (atelier 4) que pour les scénarios stratégiques (atelier 3) dont ils sont issus.
  • Les mesures de sécurité identifiées au travers de l’analyse de la conformité au socle (atelier 1), de la cartographie de la menace numérique (atelier 3) et du traitement des scénarios au niveau stratégique (atelier 3) sont rarement remis en cause avec la réalisation de l’atelier 4.

Mais pourquoi ?

Il est nécessaire avant tout d’accepter de ne pas faire d’atelier 4 pour des systèmes simples ou monolithiques, cela n’apporte rien de notable. Les scénarios opérationnels prennent sens pour des systèmes complexes ou des systèmes de systèmes.

En outre, gardons à l’esprit que les scénarios opérationnels ne peuvent être construits que sur un système parfaitement décrit… et que pour un système complexe, c’est souvent un sacerdoce. Contrairement aux idées reçues, il n’est pas indispensable de disposer d’une description technique détaillée ; une décomposition fonctionnelle, incluant le détail des interactions entre chaque brique, peut suffire.

Un exemple concret de système complexe ? Les STRA (Systèmes de Transport Routiers automatisés), pour lesquels le guide d’application relatif à la cybersécurité des STRA propose une description fonctionnelle détaillée d’un STRA « parfait » (en annexe B). Notez que l’exemple utilisé dans le guide méthodologique proposé par le Club EBIOS (l’étude de cas SGTIN) est bien choisi à ce niveau.

« La kill chain telle qu’on la connaît n’existe pas ! »

On considère ici la kill chain vue comme un objet bien défini, même si ce n’est pas le cas (à titre d’exemple, les scénarios opérationnels d’EBIOS RM sont décomposés en 4 étapes – Connaître / Rentrer / Trouver / Exploiter – quand la kill chain de Lockheed Martin décrit 7 étapes).

Mais même avec cette hypothèse, la kill chain vue comme un enchaînement d’étapes bien définies n’existe pas réellement :

  • La kill chain est fractale : chaque étape peut être elle-même décomposée en kill chain. Réussir à déposer un keylogger sur un poste, c’est l’étape « Rentrer » d’une kill chain globale. Mais c’est aussi une kill chain à part entière, dans laquelle cette action représente la phase « Exploiter » d’un scénario précédent.
  • La kill chain n’est pas une succession d’« actions » unitaires qui induisent des « effets » bien définis : certains « effets » sont obtenus par la combinaison de plusieurs « actions » simultanées ; d’autres « effets » sont obtenus par propagation, sans « actions » spécifiques préalables. La kill chain originelle est décidément bien trop simpliste.

Quelle alternative ?

On oublie les étapes des kill chain (ou on les garde juste pour l’expression littéraire du scénario), et on pose les bases de construction d’un algorithme :

  • Chaque étape de la kill chain est constituée d’une action (réalisable à partir de conditions nécessaires : des « pré-conditions ») qui induit un effet (induisant des conséquences : des « post-conditions » qui permettent de réaliser de nouvelles actions).
Figure 1 : enchaînement d’actions / effets et de leurs pré-conditions et post-conditions
Figure 1 : enchaînement d’actions / effets et de leurs pré-conditions et post-conditions

  • L’enchaînements actions / effets élémentaires s’effectue selon une grammaire bien définie, à partir de laquelle on peut construire ces enchaînements en choisissant, pour chaque étape, la forme adéquate.
Figure 2 : grammaire d’enchaînement actions / effets
Figure 2 : grammaire d’enchaînement actions / effets

Des réflexions plus abouties sur ce sujet existent, même si elles manquent cruellement d’outillage. Le guide méthodologique du Club EBIOS relatif à la conception de scénarios opérationnels est un bon début, mais pas une finalité. Une cible possible serait une approche plus industrielle avec le développement d’un automate mettant en application cet algorithme, mais comment l’alimenter avec des périmètres toujours différents ? Encore beaucoup de travail en perspective.

Pour aller plus loin

Ces réflexions ne sont qu’un aperçu des pistes explorées dans le nouveau guide méthodologique du Club EBIOS, auquel notre expert Sylvain Conchon a contribué.

Découvrez le guide dès maintenant pour approfondir la conception de scénarios opérationnels et découvrir des approches innovantes pour articuler efficacement vos analyses de risques.

Téléchargez le guide méthodologique Ebios

Rédigé par :

Sylvain CONCHON

Practice Leader Cybersécurité

Vous souhaitez en savoir plus ? Contactez-nous !

Aller au contenu principal