s
19 708 Pages

EBIOS
méthodologie EBIOS des modules

EBIOS moyens "Etude des needs et identification des Objectifs de Sécurité" qui est, en italien « Étude des besoins et identification des objectifs de sécurité ». la EBIOS Il est la méthode qui est utilisée pour gérer les risques de sécurité informatique, mis au point par l'Agence nationale de la sécurité des systèmes d'information Agence nationale pour la sécurité des systèmes d'information France (ANSSI).

Il permet:

  • définir le contexte (la délimitation du périmètre et le cadrage de l'étude);
  • estimation du risque (détection, l'estimation et la comparaison);
  • de planifier et de suivre le traitement des risques (mesures et les risques résiduels).

Elle constitue également un support de communication et de consultation sur les risques.

Il fournit, enfin, tous les éléments nécessaires:

  • l'acceptation du risque (validation formelle par les gestionnaires, la manière dont les risques sont gérés et les risques résiduels),
  • la supervision et l'examen des risques (contrôle et amélioration constante).

Positionnement par rapport aux normes

La méthode EBIOS répond aux exigences concernant "ISO 27001 (Standard pour un système de gestion de la sécurité de l'information, SMSI). Il peut gérer les mesures de sécurité "ISO 27002 (Catalogue de bonnes pratiques). Il est compatible avec la norme ISO 31 000 (cadre général pour toutes les politiques sectorielles pour la gestion des risques). Il est la méthode à mettre en œuvre le cadre défini dans la norme ISO 27005 (cadre spécifique pour gérer les risques de sécurité de l'information). Il permet de gérer les informations sur la norme ISO 15408 spécifique (Critères communs, Critères communs).

Histoire et utilisation

EBIOS est utilisé dans le secteur public (tous les ministères et organismes énumérés), dans le secteur privé (consultants, petites et grandes entreprises, les opérateurs d'importance vitale pour les infrastructures), en France et à l'étranger (Union européenne, l'Algérie, Belgique, Luxembourg, Québec, Tunisie ...) et plusieurs risques utilisateurs ou bénéficiaires d'études d'organismes sécurité informatique.

Une méthode créée initialement pour élaborer le FEROS

A l'origine, EBIOS a été traité pour établir l'expression rationnelle des conseils des objectifs de sécurité "Chips Rationnelle d'expression des Objectifs de sécurité" (FEROS). Un FEROS est nécessaire dans le dossier de la sécurité de tous les systèmes qui traitent des informations classifiées. Avant il n'y avait aucun moyen de le rédiger. Un processus fondé sur l'analyse des risques a donc été mis au point.

Son utilisation a été étendue à d'autres fins: gestion, projets et produits

EBIOS a été finalisé et, de nos jours, il est utilisé pour de nombreuses autres utilisations.

Pour la gestion, il vous permet de traiter les méthodologies, les stratégies, les politiques, les décisions et plans d'action.

Exemples: la théorie du ministère de l'Intérieur, plan-cadre du ministère des Infrastructures, de la politique SSI des services du premier ministre, la Direction des Journaux officiels (DJO), les ministères de la Santé, Intérieur, Éducation et de la Recherche, les décisions SSI des ministères de infrastructure et de l'intérieur, des plans d'action pour le ministère de la Défense, l'intérieur, l'association française de lutte contre la drogue (AFLD), la cartographie des réseaux sensibles des ministères, des rapports annuels des ministères au Premier ministre, la certification ISO 27001 Française des Jeux ...

Dans le cadre du projet, il vous permet de créer des notes cadre, les documents d'appel d'offres, le FEROS, les objectifs de sécurité du système et des procédures de gestion.

Exemples: dossier de sécurité pour toutes les approbations pour le ministère des systèmes de défense et de l'OTAN, le logement sous surveillance électronique (PSE), le contrôle des résultats automatisés (CSA, radar automatique), des machines à voter, les systèmes de communication de sécurité interministérielles, passeports la biométrie, les services télématiques pour l'administration, les lois et décrets sur l'Internet, des conférences vidéo pour le ministère de la Justice, téléphones sécurisés pour les autorités, l'intégration des SSI dans tous les nouveaux projets de la monnaie nationale pour la sécurité de la maladie (CNAM) ...

Pour les produits de sécurité, permet de formaliser les profils de protection, les profils de sécurité des produits, des comparaisons sur les solutions et les études sur la vulnérabilité.

Exemples: étude d'une faille dans le protocole SSL, la protection de la vie privée dans les échanges de courrier électronique, gestion des certificats à clé publique (PKI) ...

Son utilisation a été étendue à tous les types d'organisations

EBIOS est aujourd'hui utilisé par l'ensemble du secteur public (ministères, organismes sous protection, d'autres administrations ...), des entreprises privées (opérateurs d'infrastructures vitales, industriels ...) et de prêteurs privés (entreprises ou commissaires aux comptes comptes nell'SSI).

Son utilisation est étendue à tous les secteurs d'activité

EBIOS est également utilisé dans de nombreux autres secteurs autres que la défense: la sécurité intérieure, la santé, les finances, l'éducation, la recherche, l'énergie, la justice, l'équipement, la culture, l'agriculture, l'automobile, social, informatif ...

Les modules de la procédure

EBIOS est un « hors route » pour gérer les risques: il est très adaptable à des contextes différents. En effet, il est utilisé por donner des réponses concrètes et produire des choses utiles à la gestion, dans le cadre de projets et d'étudier les produits. Le processus est commun à toutes ces situations. Il faut donc utiliser EBIOS comme une véritable « boîte à outils », dont les actions et dont le mode d'utilisation dépendra du sujet étudié, les attentes et l'état du projet.

La méthode EBIOS formalise un processus de gestion des risques se compose de cinq modules:

  1. L'étude du contexte: comment et pourquoi vous allez gérer les risques, et quel est l'objet de l'étude?
  2. L'étude des événements intéressants: quel événement redouté par les travailleurs et ce serait le plus grave?
  3. Le scénario de risque de l'étude: ce sont tous les scénarios possibles et ce que le plus probable?
  4. L'analyse des risques: quelle est l'évaluation des risques et comment vous décidez de se comporter?
  5. L'étude des mesures de sécurité, quelles mesures doivent être appliquées et les risques résiduels sont acceptables?

Module 1 - Etude de contexte

Ce module a pour but de recueillir les informations nécessaires pour gérer les risques, afin qu'ils puissent être mis en place dans de bonnes conditions, qui sont adaptées aux réalités du contexte de l'étude et ses résultats sont pertinents et utilisables par les parties prenantes.

Il permet, notamment, de formaliser le cadre de gestion des risques dans lequel l'étude est en cours. Elle permet, en même temps, d'identifier, de définir et de décrire la portée de l'étude, ainsi que ses problèmes, son contexte d'utilisation, ses limites spécifiques ...

A la fin de ce module, le champ d'investigation de l'étude est donc clairement défini et décrit, ainsi que l'ensemble des paramètres à prendre en compte dans les autres modèles.

Le module comprend les activités suivantes:

  • Activité 1.1 - Définition du cadre de gestion des risques
  • Activité 1.2 - Préparer les activités à réaliser
  • Activité 1.3 - Identifier les parties prenantes

Module 2 - Etude des événements redoutés

Ce module vise à identifier systématiquement les scénarios généraux que nous voulons éviter le long du périmètre de l'étude: l'événement tant redouté. Les réflexions sont menées à un niveau non technique plus fonctionnel (marchandises essentielles et non sur les biens - support).

Il permet, tout d'abord, de faire ressortir tous les événements redoutés (menaces) en identifiant et en combinant chacun de leurs composants: on estime que la valeur de ce que vous voulez protéger (la sécurité des produits de première nécessité), mettra en évidence les sources de menaces avec laquelle nous sommes confrontés et les conséquences (impacts) des réclamations. A ce stade, il est possible d'estimer le niveau de chaque événement pertinent (son sérieux et sa probabilité).

Il permet, également, à l'inventaire des mesures de sécurité existantes et d'estimer leur effet en estimant à nouveau la gravité des événements concernés, une fois que les garanties ont été appliquées.

A la fin de ce module, les événements redoutés sont identifiés, l'explicite et positionnés par rapport à l'autre, en termes de gravité et la probabilité.

Le module comprend une activité:

  • Activité 2.1 - Estimer les événements redoutés

Module 3 - Etude des scénarios Risques

Ce module vise à identifier systématiquement les modes génériques qui peuvent constituer un danger pour la sécurité des informations périmètre de l'étude: le scénario des dangers. Les estimations sont menées à un niveau technique qui ne fonctionne pas (de biens - soutien et non sur les biens essentiels).

Il permet, tout d'abord faire ressortir le scénario des risques en identifiant et en combinant chacun des composants est ainsi mettre en évidence les différents dangers qui affectent la portée de l'étude, les défauts qui peuvent être gérés peuvent être réalisés (vulnérabilité des actifs - soutien) et les sources de danger pour être vulnérables. Il est donc possible d'estimer le niveau de chaque scénario de menace (sa vraisemblance).

Elle permet également l'inventaire de toutes les mesures de sécurité existantes et d'estimer leur effet en estimant la probabilité du nouveau scénario de menace, après l'application des mesures de sécurité.

A la fin de ce module, les scénarios de danger sont identifiés, l'explicite et positionnés par rapport à l'autre en termes de vraisemblance.

Le module comprend une activité:

  • Activité 3.1 - Estimer les scénarios de danger

Module 4 - Analyse des risques

Ce module a pour objectif de mettre en évidence de manière systématique les risques qui peuvent affecter sur le périmètre de l'étude, puis choisir la façon de les traiter en tenant compte de la spécificité du contexte. Les réflexions sont menées à un plus fonctionnel et technique.

En corrélant les événements concernés par les dangers des scénarios susceptibles de les générer, ce module vous permet d'identifier uniquement les scénarios vraiment pertinents du périmètre d'étude. Il permet également de les qualifier explicitement afin de faire une hiérarchie et de choisir les options de traitement appropriées.

A la fin de ce module, les risques sont estimés et évalués, et sont effectués des choix de traitement.

Le module comprend les activités suivantes:

  • 4.1 - Estimer les risques Activités
  • Activité 4.2 - Identifier les objectifs de sécurité

Module 5 - Etude des mesures de sécurité

Ce module vise à déterminer les moyens pour faire face aux risques et suivre leur mise en œuvre, conformément au contexte de l'étude. Les réflexions sont de préférence menées conjointement entre les niveaux fonctionnels et techniques.

Il vous permet de trouver un consensus sur les mesures de sécurité pour faire face aux risques, conformément aux objectifs identifiés précédemment, pour démontrer une couverture adéquate, et enfin, de faire la planification, la mise en œuvre et la validation du traitement.

A la fin de ce module, les mesures de sécurité sont déterminées et ont validé les points clés du point de vue formel. Le résultat de la mise en œuvre peut également être réalisé.

Le module comprend les activités suivantes:

  • Activités 5.1 - Formaliser les mesures de sécurité à mettre en œuvre
  • Activité 5.2 - Mettre en place les mesures de sécurité

instruments

Le guide pratique pour la mise en œuvre de la méthode

La méthode EBIOS est publié comme guide et une riche base de connaissances et adaptables (types de produits, l'impact des sources de danger, de danger, des vulnérabilités et des mesures de sécurité).

Logiciel Libre et gratuit

Le logiciel permet EBIOS, les personnes qui font une étude, pour gagner du temps en adaptant la présentation d'outils et de contenu, qui accompagne le cours de la procédure. Une nouvelle version du logiciel est mis en œuvre dans le cadre du Club EBIOS.

formation

Le centre de formation dell'ANSSI (CFSSI) et plusieurs entreprises offrent une formation régulière, généralement plus de deux jours, pour enseigner en utilisant EBIOS. Plusieurs organisations et écoles enseignent, aussi, les principes de base de la méthode dans le cadre des cours d'information plus courtes. L'éducation en ligne sur la gestion des risques est également une bonne initiation à la question.

Le ANSSI propose la formation d'instructeurs afin de transférer les connaissances et pour éviter toute dérive dans la diffusion et l'utilisation de la méthode.

L'étude des cas illustratifs

L'étude de certains cas est également fourni afin d'illustrer l'application de la méthode.

Club EBIOS

Club EBIOS est un indépendant sans but lucratif (loi 1901), composé de soixante membres (experts et organismes) pour un total d'environ 130 personnes. Groupe une communauté de membres du secteur public et du secteur privé, en France et à l'étranger (Québec, Belgique, Luxembourg, Algérie et Maroc).

Il organise des réunions tous les deux mois pour promouvoir l'échange d'expériences, la standardisation des pratiques et répondre aux besoins des utilisateurs. Il est également un espace approprié pour définir les positions et exercer un rôle d'influence dans les débats nationaux et internationaux.

La communauté des utilisateurs EBIOS enrichit régulièrement le système de référence de la gestion des risques français depuis 2003, en collaboration avec les ANSSI (techniques d'installation, des connaissances de base, guide spécifique à l'utilisation de la méthode, les documents relatifs à la communication, la formation, la certification, les logiciels ...).

Avantages et limites

avantages

  • Une méthode claire: définit clairement les acteurs, leurs rôles et leurs interactions.
  • Une approche globale: contrairement aux approches de l'analyse des risques pour le catalogue de scénarios prédéfinis, le processus structuré de la méthode EBIOS permet d'identifier et de combiner les éléments constitutifs des risques.
  • Un processus adaptatif: la méthode EBIOS peut être adapté au contexte de chacun et adapté à ses outils et habitudes méthodologiques grâce à une certaine souplesse.
  • Une méthode optimisée: La durée d'une étude EBIOS est optimisé, car elle permet d'obtenir les éléments nécessaires et suffisantes en fonction du résultat obtenu.

limites

  • La méthode EBIOS ne fournit pas de solutions immédiates aux problèmes de sécurité; Elle constitue un support de réflexion.
  • Il comprend tous les outils nécessaires à toutes les réflexions SSI; Vous devez donc choisir ses outils en fonction de l'objectif de l'étude et les attentes.

Articles connexes

  • ENISA
  • ISO 27001
  • ISO 27005
  • sécurité informatique

liens externes