Analyse de risques EBIOS RM & homologation SI — Xspace (contrat de défense)
Conception de l'architecture (DAT) et conduite de l'analyse de risques EBIOS Risk Manager d'un système d'information classifié, en vue de l'homologation de sécurité d'un contrat de défense Xspace × ministère de la Défense tchèque. Information classifiée RUE, budget < 50 K€, avis d'homologation favorable.
Contexte
Xspace est une PME française de 30 salariés (Paris 10ᵉ), spécialisée dans le spatial, en phase de forte croissance. Le ministère de la Défense tchèque souhaite lui confier un contrat de défense impliquant l’échange d’informations classifiées au niveau RUE (Restreint UE). Le dirigeant prévoit d’affecter 10 personnes au projet, avec des déplacements réguliers en République tchèque.
La mission : concevoir le système d’information dédié à cette activité classifiée, puis le faire homologuer. L’homologation est la décision formelle par laquelle une autorité atteste qu’un SI protège l’information à un niveau adapté aux risques. Contrainte forte : un budget inférieur à 50 K€ pour toute la partie SI classifiée.
Le travail se découpe en deux livrables, selon la pondération imposée par le cahier des charges : le Dossier d’Architecture Technique (DAT, 15 %) et l’analyse de risques EBIOS Risk Manager (85 %), le tout défendu à l’oral.
Projet réalisé en équipe. J’ai pris part à l’ensemble de la démarche d’homologation — de la conception de l’architecture (DAT) à la modélisation EBIOS RM (socle de sécurité, scénarios d’attaque, plan de traitement des risques).
Périmètre et enjeux
Le périmètre d’homologation se limite strictement aux éléments manipulant ou stockant de l’information classifiée — tout le reste (bureautique courante, coworking) en est explicitement exclu pour réduire la surface d’attaque. Les locaux sont eux-mêmes pensés pour la sécurité : la salle KANAL (rédaction d’information classifiée) est renforcée par des parois métalliques, sous vidéosurveillance et accès par badge ; le local serveur en souplex est protégé par badge et porte à double battant condamnée.
Les enjeux de sécurité retenus structurent toute l’analyse : protection et confidentialité de l’information, intégrité des livrables, disponibilité des ressources critiques, traçabilité non-répudiable des actions, et sécurité hors connexion (le SI n’a aucun accès Internet).
Architecture technique (DAT)
Le parti pris architectural répond directement à la contrainte budgétaire et au niveau RUE : une architecture isolée et segmentée, sans accès Internet, où chaque flux entrant ou sortant est physiquement maîtrisé. Les échanges de documents passent par un PC de chiffrement/déchiffrement et une station blanche ; les mises à jour transitent par un PC dédié puis la station blanche avant d’atteindre les postes ; les sauvegardes sur bandes LTO sont confiées à un transporteur certifié vers une banque de stockage externe.

Analyse de risques EBIOS Risk Manager
L’analyse suit les cinq ateliers d’EBIOS RM : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels, puis traitement. Les scénarios stratégiques confrontent les sources de risque (cybercriminels, acteurs malveillants, initiés) aux chemins d’attaque réalistes : compromission de la chaîne de mise à jour, intrusion via l’écosystème, ou exploitation de l’humain.

La dimension physique est traitée au même niveau que le logique : les scénarios d’attaque sont projetés sur le plan réel des locaux, du hall jusqu’au local serveur.

Plan de traitement des risques
Chaque risque est qualifié (gravité × vraisemblance) puis traité par des mesures concrètes, en mesurant la réduction du niveau de menace initial vers le niveau résiduel. Quelques exemples parmi les risques liés aux supports amovibles et aux menaces internes :
| Réf | Partie prenante / chemin d’attaque | Menace initiale | Menace résiduelle |
|---|---|---|---|
| R27 | Admin mise à jour — diffusion involontaire d’une MAJ compromise | 3,5 | 1,3 |
| R28 | Prestataire ménage — clé USB branchée lors d’un accès furtif | 3,5 | 0,5 |
| R29 | Employé mécontent — clé USB personnelle sur un poste isolé | 3,5 | 0,5 |
Mesures associées : validation automatisée des mises à jour (hash, signature, sandbox, workflow « 4 yeux », logs immuables, plan de restauration testé), blocage matériel des ports USB, station blanche dédiée, postes scellés (tamper-evident), supervision caméra, contrôle comportemental EDR et politique disciplinaire.
L’effet du traitement est lisible d’un coup d’œil sur la cartographie des risques avant / après : la quasi-totalité des risques bascule de la zone critique (rouge) vers une zone maîtrisée.

Avis d’homologation
La démarche aboutit à une proposition d’avis argumentée, livrable final de l’homologation :
Recommandation finale : l’homologation du SI peut être accordée. Le système protège efficacement les informations classifiées grâce à des mesures conformes aux standards RUE (cryptographie qualifiée, postes durcis, traçabilité complète, architecture isolée et segmentée). Les risques résiduels — principalement sur les postes mobiles en déplacement — restent faibles et bien maîtrisés. Il est recommandé de maintenir un suivi régulier et de renforcer la sécurité des postes nomades.
Documents du projet
Ce que ce projet m’a appris
Ce projet a été ma première démarche d’homologation de bout en bout : penser la sécurité d’un SI classifié dès l’architecture, puis prouver méthodiquement, via EBIOS RM, que les risques sont ramenés à un niveau acceptable. J’y ai compris la valeur de l’approche par scénarios — partir de l’attaquant et de ses motivations plutôt que d’une simple liste de mesures — et l’importance d’articuler sécurité physique, logique et organisationnelle sous une forte contrainte budgétaire. C’est cette méthodologie que j’ai ensuite réinvestie et approfondie sur des dossiers plus ambitieux (PSSI, NIS2).
Projet pédagogique. La société Xspace et le contrat décrit sont fictifs.