Expression des besoins et identification des objectifs de sécurité

EBIOS veut dire "Étude des Besoins et Identification des Objectifs de Sécurité". La méthode EBIOS est la méthode de gestion des risques de sécurité des dispositifs d'information, développée par l'Agence nationale de la sécurité des dispositifs d'information.



Catégories :

Standard en sécurité informatique - Méthode d'analyse de risques - Cindynique - Assurance

Page(s) en rapport avec ce sujet :

  • ... EBIOS® (expression des besoins et identification des objectifs de sécurité) est la méthode de gestion des risques SSI diffusée gratuitement... (source : securite-informatique.gouv)
  • ... La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est la méthode de gestion des risques de l'ANSSI... (source : liris.cnrs)
  • Phase 1 : analyse des risques (analyse de 17 scénarios types, ... EBIOS (Expression des Besoins et Identification des Objectifs de sécurité) est une méthode... (source : activconseil.free)
Modules de la méthode EBIOS

EBIOS veut dire "Étude des Besoins et Identification des Objectifs de Sécurité". La méthode EBIOS est la méthode de gestion des risques de sécurité des dispositifs d'information (SSI), développée par l'Agence nationale de la sécurité des dispositifs d'information (ANSSI).

Elle permet :

Elle forme aussi un support pour la communication et la concertation relatives aux risques.

Elle apporte enfin l'ensemble des éléments nécessaires :

Positionnement comparé aux normes

La méthode EBIOS respecte les exigences de l'ISO 27001 (norme d'exigences pour un dispositif de management de la sécurité de l'information, SMSI). Elle peut exploiter les mesures de sécurité de l'ISO 27002 (catalogue de bonnes pratiques). Elle est compatible avec l'ISO 31000 (cadre général pour l'ensemble des normes sectorielles de gestion des risques). Elle est la méthode pour mettre en œuvre le cadre défini dans l'ISO 27005 (cadre spécifique pour gérer les risques de sécurité de l'information). Elle permet d'exploiter l'ISO 15408 (critères communs).

Historique et usage

EBIOS est utilisée dans le secteur public (la totalité des ministères et des organismes sous tutelle), dans le secteur privé (cabinets de conseil, petites et grandes entreprises, opérateurs d'infrastructures vitales), en France ainsi qu'à l'étranger (Union européenne, Algérie, Belgique, Luxembourg, Québec, Tunisie... ), par de nombreux organismes comme utilisateurs ou bénéficiaires d'études de risques SSI.

Une méthode créée à l'origine pour rédiger des FEROS

Au départ, EBIOS a été élaborée pour rédiger des fiches d'expression rationnelle des objectifs de sécurité (FEROS). Une FEROS est en effet requise dans le dossier de sécurité de tout dispositif traitant des informations classifiées. Et il n'existait pas de méthode pour la rédiger. Une démarche basée sur l'analyse des risques a par conséquent été développée.

Son utilisation s'est étendue à bien d'autres fins : management, projets et produits

EBIOS a été perfectionnée et est actuellement employée pour de nombreux autres usages.

Pour le management, elle permet d'élaborer des doctrines, des stratégies, des politiques, des tableaux de bord et des plans d'action SSI.

Exemples : doctrine du ministère de l'Intérieur, schéma directeur du ministère de l‘Équipement, politique SSI des services du Premier ministre, de la Direction des Journaux Officiels (DJO), des ministères de la Santé, de l'Intérieur, de l'Éducation et de la recherche, tableau de bord SSI des ministères de l'Équipement et de l'Intérieur, plan d'action pour le ministère de la Défense, de l'Intérieur, pour l'association française de lutte contre le dopage (AFLD), cartographie des réseaux sensibles des ministères, rapports annuels des ministères pour le Premier ministre, certification ISO 27001 de la Française des jeux...

Dans le cadre des projets, elle sert à réaliser des notes de cadrage, des cahiers des charges, des FEROS, des cibles de sécurité de dispositifs et des procédures d'exploitation.

Exemples : dossiers de sécurité pour l'ensemble des homologations au ministère de la Défense et pour les dispositifs OTAN, placement sous surveillance électronique (PSE), contrôle sanction automatisé (CSA, radars automatiques), machines à voter, dispositifs de communication interministériels sécurisés, passeports biométriques, téléservices de l'administration, lois et décrets sur Internet, vidéoconférence pour le ministère de la Justice, téléphone sécurisé pour les autorités, intégration de la SSI dans l'ensemble des nouveaux projets de la caisse nationale d'assurance maladie (CNAM)...

Pour les produits de sécurité, elle sert à formaliser des profils de protection, des cibles de sécurité de produits, des comparaisons de solutions et des études de vulnérabilités.

Exemples : étude d'une faille dans le protocole SSL, protection de la confidentialité des échanges par courrier électronique, racine des infrastructures de gestion de clés de l'État (IGC/A)...

Son utilisation s'est étendue à l'ensemble des types d'organismes

EBIOS est désormais utilisée par tout le secteur public (ministères, organismes sous tutelle, autres administrations…), par des sociétés privées (opérateurs d'infrastructures vitales, industriels…) et par les prestataires privés (sociétés de conseil ou d'audit en SSI).

Son utilisation s'est étendue à l'ensemble des secteurs d'activités

EBIOS est aussi utilisée dans bien d'autres secteurs que celui de la défense : sécurité intérieure, santé, finances, éducation, recherche, énergie, justice, équipement, culture, agriculture, automobile, social, information...

Modules de la démarche

EBIOS est un "tout terrain" pour gérer les risques. En effet, elle est utilisée pour apporter des réponses concrètes et produire des livrables pour le management, dans le cadre des projets et pour étudier des produits. La démarche est commune à toutes ces situations. Il convient par conséquent d'employer EBIOS comme une véritable "boîte à outils", dont les actions et la manière de les utiliser dépendront du sujet étudié, des livrables attendus et de l'état du projet.

La méthode EBIOS formalise une démarche de gestion des risques découpée en cinq modules :

  1. L'étude du contexte : pourquoi et comment on va gérer les risques, et quel est le sujet de l'étude ?
  2. L'étude des événements redoutés : quels sont les événements craints par les métiers et quels seraient les plus graves ?
  3. L'étude des scénarios de menaces : quels sont l'ensemble des scénarios envisageables et quels sont les plus vraisemblables ?
  4. L'étude des risques : quelle est la cartographie des risques et comment choisit-on de les traiter ?
  5. L'étude des mesures de sécurité : quelles mesures devrait-on appliquer et les risques résiduels sont-ils acceptables ?

Module 1 - Étude du contexte

Ce module a pour objectif de collecter les éléments nécessaires à la gestion des risques, afin qu'elle puisse être mise en œuvre dans de bonnes conditions, qu'elle soit adaptée à la réalité du contexte d'étude et que ses résultats soient pertinents et utilisables par les parties prenantes.

Il permet surtout de formaliser le cadre de gestion des risques dans lequel l'étude va être menée. Il permet aussi d'identifier, de délimiter et de décrire le périmètre de l'étude, mais aussi ses enjeux, son contexte d'utilisation, ses contraintes spécifiques…

À l'issue de ce module, le champ d'investigation de l'étude est par conséquent clairement circonscrit et décrit, mais aussi la totalité des paramètres à prendre en compte dans les autres modules.

Le module comprend les activités suivantes :

Module 2 - Étude des événements redoutés

Ce module a pour objectif d'identifier de manière systématique les scénarios génériques qu'on souhaite éviter concernant le périmètre de l'étude : les événements redoutés. Les réflexions sont menées à un niveau davantage fonctionnel que technique (sur des biens essentiels et non sur des biens supports).

Il permet dans un premier temps de faire émerger l'ensemble des événements redoutés en identifiant et combinant chacune de leurs composantes : on estime ainsi la valeur de ce qu'on souhaite protéger (les besoins de sécurité des biens essentiels), on met en évidence les sources de menaces auxquelles on est confronté et les conséquences (impacts) des sinistres. Il est alors envisageable d'estimer le niveau de chaque événement redouté (sa gravité et sa vraisemblance).

Il permet aussi de recenser les éventuelles mesures de sécurité existantes et d'estimer leur effet en ré-estimant la gravité des événements redoutés, une fois les mesures de sécurité appliquées.

À l'issue de ce module, les événements redoutés sont identifiés, explicités et situés les uns comparé aux autres, en termes de gravité et de vraisemblance.

Le module comprend une activité :

Module 3 - Étude des scénarios de menaces

Ce module a pour objectif d'identifier de manière systématique les modes opératoires génériques qui peuvent porter atteinte à la sécurité des informations du périmètre de l'étude : les scénarios de menaces. Les réflexions sont menées à un niveau davantage technique que fonctionnel (sur des biens supports et non plus des biens essentiels).

Il permet dans un premier temps de faire émerger l'ensemble des scénarios de menaces en identifiant et combinant chacune de leurs composantes : on met ainsi en évidence les différentes menaces qui pèsent sur le périmètre de l'étude, les failles exploitables pour qu'elles se réalisent (les vulnérabilités des biens supports), et les sources de menaces susceptibles de les utiliser. Il est ainsi envisageable d'estimer le niveau de chaque scénario de menace (sa vraisemblance).

Il permet aussi de recenser les éventuelles mesures de sécurité existantes et d'estimer leur effet en ré-estimant la vraisemblance des scénarios de menaces, une fois les mesures de sécurité appliquées.

À l'issue de ce module, les scénarios de menaces sont identifiés, explicités et situés les uns comparé aux autres en termes de vraisemblance.

Le module comprend une activité :

Module 4 - Étude des risques

Ce module a pour objectif de mettre en évidence de manière systématique les risques pesant sur le périmètre de l'étude, puis de choisir la manière de les traiter en tenant compte des spécificités du contexte. Les réflexions sont menées à un niveau davantage fonctionnel que technique.

En corrélant les événements redoutés avec les scénarios de menaces susceptibles de les génèrer, ce module permet d'identifier les seuls scénarios réellement pertinents vis-à-vis du périmètre de l'étude. Il permet en outre de les qualifier explicitement en vue de les hiérarchiser et de choisir les options de traitement correctes.

À l'issue de ce module, les risques sont appréciés et évalués, et les choix de traitement effectués.

Le module comprend les activités suivantes :

Module 5 - Étude des mesures de sécurité

Ce module a pour objectif de déterminer les moyens de traiter les risques et de suivre leur mise en œuvre, en cohérence avec le contexte de l'étude. Les réflexions sont préférentiellement menées de manière conjointe entre les niveaux fonctionnels et techniques.

Il sert à trouver un consensus sur les mesures de sécurité conçues pour traiter les risques, conformément aux objectifs auparavant identifiés, d'en démontrer la bonne couverture, et enfin, d'effectuer la planification, la mise en œuvre et la validation du traitement.

À l'issue de ce module, les mesures de sécurité sont déterminées et les points clés validés formellement. Le suivi de la mise en œuvre peut aussi être réalisé.

Le module comprend les activités suivantes :

Outils

Les guides pratiques pour mettre en œuvre la méthode

La méthode EBIOS est publiée sous la forme d'un guide et de bases de connaissances riches et adaptables (types de biens, d'impacts, de sources de menaces, de menaces, de vulnérabilités et de mesures de sécurité).

Le logiciel libre et gratuit

Le logiciel de la méthode EBIOS permet aux personnes réalisant une étude de gagner du temps en ajustant la présentation des outils au contenu et en accompagnant le déroulement de la démarche. Une nouvelle version du logiciel est en cours de conception dans le cadre du Club EBIOS.

La formation

Le centre de formation de l'ANSSI (CFSSI) et plusieurs sociétés réalisent régulièrement des formations, le plus souvent sur deux jours, pour apprendre à utiliser EBIOS. Plusieurs organismes et écoles enseignent aussi les grands principes de la méthode dans le cadre d'informations plus courtes. La formation en ligne sur la gestion des risques forme aussi une bonne entrée en matière.

L'ANSSI propose une formation de formateurs pour transférer les connaissances et d'éviter les éventuelles dérives dans la diffusion et l'emploi de la méthode.

Les études de cas illustratives

Des études de cas sont aussi apportées afin d'illustrer l'application de la méthode.

Le Club EBIOS

Le Club EBIOS est une association indépendante à but non lucratif (Loi 1901), composée d'une soixantaine de membres (experts individuels et organismes) pour un total d'environ 130 personnes. Il regroupe une communauté de membres du secteur public et du secteur privé, français et internationaux (Québec, Belgique, Luxembourg, Algérie et Maroc).

Il organise des réunions l'ensemble des deux mois pour faciliter les échanges d'expériences, l'homogénéisation des pratiques et la satisfaction des besoins des usagers. Il forme aussi un espace pour définir des positions et exercer un rôle d'influence dans les débats nationaux et internationaux.

La communauté des utilisateurs d'EBIOS enrichit régulièrement le référentiel de gestion des risques français depuis 2003, en collaboration avec l'ANSSI (techniques de mise en œuvre, bases de connaissances, guides d'utilisations spécifiques de la méthode, documents relatifs à la communication, à la formation, à la certification, logiciels…).

Avantages et limites

Avantages

Limites

Voir aussi

Liens externes

Recherche sur Amazon (livres) :



Principaux mots-clés de cette page : risques - étude - sécurité - modules - ebios - méthode - activités - mesures - menaces - scénarios - ensemble - ministères - événements - objectifs - gestion - information - cadre - œuvre - redoutés - dispositifs - ssi - contexte - iso - biens - périmètre - manière - secteur - démarche - identifier - formation -

Ce texte est issu de l'encyclopédie Wikipedia. Vous pouvez consulter sa version originale dans cette encyclopédie à l'adresse http://fr.wikipedia.org/wiki/Expression_des_besoins_et_identification_des_objectifs_de_s%C3%A9curit%C3%A9.
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 17/12/2010.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.
Accueil Recherche Aller au contenuDébut page
ContactContact ImprimerImprimer liens d'évitement et raccourcis clavierAccessibilité
Aller au menu