Utente:Cinci/EBIOS (en)
EBIOS means "Survey of Needs and Identifying of Security Targets". The EBIOS method is the method of Informatione System Security Risk Management (SSI), developed by the Information System Security National Bureau (ANSSI).
It allows :
- To establish the context (perimeter limits and survey framing);
- To valuer risks (identification, evaluation and comparison);
- To plan and to supervise risks treatment (measurements and residual risks).
It makes up also a support for risks communication and arrengement.
It provides finally all the elements necessary :
- to risks acceptance (formal ratification from an authirity of conducted risks and residual risks);
- to risdks care and revision (check and non-stop improvement).
Positioning in connection with regulations[modifica | modifica wikitesto]
EBIOS method respects the needs of ISO 27001 (needs regulations for an information security management system, SMSI). It allows to manage the ISO 27002 security measures(useful practises catalog). It is compatible with ISO 31000 (common table for all sectional regulations of risks management). It is the method suitable to get under way the table fixed in ISO 27005 (specific table to manage information security risks). It allows to manage ISO 15408 (common standards).
History and use[modifica | modifica wikitesto]
EBIOS is used in public sector (under guardianship departments and agencies), in private sector (consultant staffs, small concerns and big enterprises, very important facilities operators), in France and abroad (European Union, Algeria, Belgium, Luxembourg, Quebec, Tunisia) and by many agencies that use or take advantage of its risks survey SSI.
A method set up at source to write some FEROS[modifica | modifica wikitesto]
At source, FEROS was worked up to write some schedules of security objectives national expression (FEROS). A FEROS is necessary in every systems security dossiers that are involved in classified information. Before, there was no method to write it. A method based on risks analysis was, therefore, developed.
Its use is extended to other aims : management, plans and items[modifica | modifica wikitesto]
EBIOS was improved and, nowadays, is used for many other usages.
Pour le management, elle permet d'élaborer des doctrines, des stratégies, des politiques, des tableaux de bord et des plans d'action SSI.
Exemples : doctrine du ministère de l’Intérieur, schéma directeur du ministère de l‘Équipement, politique SSI des services du Premier ministre, de la Direction des Journaux Officiels (DJO), des ministères de la Santé, de l’Intérieur, de l’Éducation et de la recherche, tableau de bord SSI des ministères de l’Équipement et de l’Intérieur, plan d’action pour le ministère de la Défense, de l’Intérieur, pour l’association française de lutte contre le dopage (AFLD), cartographie des réseaux sensibles des ministères, rapports annuels des ministères pour le Premier ministre, certification ISO 27001 de la Française des jeux...
Dans le cadre des projets, elle permet de réaliser des notes de cadrage, des cahiers des charges, des FEROS, des cibles de sécurité de systèmes et des procédures d'exploitation.
Exemples : dossiers de sécurité pour toutes les homologations au ministère de la Défense et pour les systèmes OTAN, placement sous surveillance électronique (PSE), contrôle sanction automatisé (CSA, radars automatiques), machines à voter, systèmes de communication interministériels sécurisés, passeports biométriques, téléservices de l’administration, lois et décrets sur Internet, vidéoconférence pour le ministère de la Justice, téléphone sécurisé pour les autorités, intégration de la SSI dans tous les nouveaux projets de la caisse nationale d'assurance maladie (CNAM)...
Pour les produits de sécurité, elle permet de formaliser des profils de protection, des cibles de sécurité de produits, des comparaisons de solutions et des études de vulnérabilités.
Exemples : étude d’une faille dans le protocole SSL, protection de la confidentialité des échanges par courrier électronique, racine des infrastructures de gestion de clés de l'État (IGC/A)...
Son utilisation s'est étendue à tous les types d'organismes[modifica | modifica wikitesto]
EBIOS est désormais utilisée par tout le secteur public (ministères, organismes sous tutelle, autres administrations…), par des sociétés privées (opérateurs d'infrastructures vitales, industriels…) et par les prestataires privés (sociétés de conseil ou d'audit en SSI).
Son utilisation s'est étendue à tous les secteurs d'activités[modifica | modifica wikitesto]
EBIOS est aussi utilisée dans bien d'autres secteurs que celui de la défense : sécurité intérieure, santé, finances, éducation, recherche, énergie, justice, équipement, culture, agriculture, automobile, social, information...
Modules de la démarche[modifica | modifica wikitesto]
EBIOS est un "tout terrain" pour gérer les risques. En effet, elle est utilisée pour apporter des réponses concrètes et produire des livrables pour le management, dans le cadre des projets et pour étudier des produits. La démarche est commune à toutes ces situations. Il convient donc d'employer EBIOS comme une véritable "boîte à outils", dont les actions et la manière de les utiliser dépendront du sujet étudié, des livrables attendus et de l'état du projet.
La méthode EBIOS formalise une démarche de gestion des risques découpée en cinq modules :
- L'étude du contexte : pourquoi et comment on va gérer les risques, et quel est le sujet de l’étude ?
- L'étude des événements redoutés : quels sont les événements craints par les métiers et quels seraient les plus graves ?
- L'étude des scénarios de menaces : quels sont tous les scénarios possibles et quels sont les plus vraisemblables ?
- L'étude des risques : quelle est la cartographie des risques et comment choisit-on de les traiter ?
- L'étude des mesures de sécurité : quelles mesures devrait-on appliquer et les risques résiduels sont-ils acceptables ?
Module 1 - Étude du contexte[modifica | modifica wikitesto]
Ce module a pour objectif de collecter les éléments nécessaires à la gestion des risques, afin qu'elle puisse être mise en œuvre dans de bonnes conditions, qu'elle soit adaptée à la réalité du contexte d'étude et que ses résultats soient pertinents et utilisables par les parties prenantes.
Il permet notamment de formaliser le cadre de gestion des risques dans lequel l'étude va être menée. Il permet également d'identifier, de délimiter et de décrire le périmètre de l'étude, ainsi que ses enjeux, son contexte d'utilisation, ses contraintes spécifiques…
À l'issue de ce module, le champ d'investigation de l'étude est donc clairement circonscrit et décrit, ainsi que l'ensemble des paramètres à prendre en compte dans les autres modules.
Le module comprend les activités suivantes :
- Activité 1.1 – Définir le cadre de la gestion des risques
- Activité 1.2 – Préparer les métriques
- Activité 1.3 – Identifier les biens
Module 2 - Étude des événements redoutés[modifica | modifica wikitesto]
Ce module a pour objectif d'identifier de manière systématique les scénarios génériques que l'on souhaite éviter concernant le périmètre de l'étude : les événements redoutés. Les réflexions sont menées à un niveau davantage fonctionnel que technique (sur des biens essentiels et non sur des biens supports).
Il permet tout d'abord de faire émerger tous les événements redoutés en identifiant et combinant chacune de leurs composantes : on estime ainsi la valeur de ce que l'on souhaite protéger (les besoins de sécurité des biens essentiels), on met en évidence les sources de menaces auxquelles on est confronté et les conséquences (impacts) des sinistres. Il est alors possible d'estimer le niveau de chaque événement redouté (sa gravité et sa vraisemblance).
Il permet également de recenser les éventuelles mesures de sécurité existantes et d'estimer leur effet en ré-estimant la gravité des événements redoutés, une fois les mesures de sécurité appliquées.
À l'issue de ce module, les événements redoutés sont identifiés, explicités et positionnés les uns par rapport aux autres, en termes de gravité et de vraisemblance.
Le module comprend une activité :
- Activité 2.1 – Apprécier les événements redoutés
Module 3 - Étude des scénarios de menaces[modifica | modifica wikitesto]
Ce module a pour objectif d'identifier de manière systématique les modes opératoires génériques qui peuvent porter atteinte à la sécurité des informations du périmètre de l'étude : les scénarios de menaces. Les réflexions sont menées à un niveau davantage technique que fonctionnel (sur des biens supports et non plus des biens essentiels).
Il permet tout d'abord de faire émerger tous les scénarios de menaces en identifiant et combinant chacune de leurs composantes : on met ainsi en évidence les différentes menaces qui pèsent sur le périmètre de l'étude, les failles exploitables pour qu'elles se réalisent (les vulnérabilités des biens supports), et les sources de menaces susceptibles de les utiliser. Il est ainsi possible d'estimer le niveau de chaque scénario de menace (sa vraisemblance).
Il permet également de recenser les éventuelles mesures de sécurité existantes et d'estimer leur effet en ré-estimant la vraisemblance des scénarios de menaces, une fois les mesures de sécurité appliquées.
À l'issue de ce module, les scénarios de menaces sont identifiés, explicités et positionnés les uns par rapport aux autres en termes de vraisemblance.
Le module comprend une activité :
- Activité 3.1 – Apprécier les scénarios de menaces
Module 4 - Étude des risques[modifica | modifica wikitesto]
Ce module a pour objectif de mettre en évidence de manière systématique les risques pesant sur le périmètre de l'étude, puis de choisir la manière de les traiter en tenant compte des spécificités du contexte. Les réflexions sont menées à un niveau davantage fonctionnel que technique.
En corrélant les événements redoutés avec les scénarios de menaces susceptibles de les engendrer, ce module permet d'identifier les seuls scénarios réellement pertinents vis-à-vis du périmètre de l'étude. Il permet en outre de les qualifier explicitement en vue de les hiérarchiser et de choisir les options de traitement adéquates.
À l'issue de ce module, les risques sont appréciés et évalués, et les choix de traitement effectués.
Le module comprend les activités suivantes :
- Activité 4.1 – Apprécier les risques
- Activité 4.2 – Identifier les objectifs de sécurité
Module 5 - Étude des mesures de sécurité[modifica | modifica wikitesto]
Ce module a pour objectif de déterminer les moyens de traiter les risques et de suivre leur mise en œuvre, en cohérence avec le contexte de l'étude. Les réflexions sont préférentiellement menées de manière conjointe entre les niveaux fonctionnels et techniques.
Il permet de trouver un consensus sur les mesures de sécurité destinées à traiter les risques, conformément aux objectifs précédemment identifiés, d'en démontrer la bonne couverture, et enfin, d'effectuer la planification, la mise en œuvre et la validation du traitement.
À l'issue de ce module, les mesures de sécurité sont déterminées et les points clés validés formellement. Le suivi de la mise en œuvre peut également être réalisé.
Le module comprend les activités suivantes :
- Activité 5.1 – Formaliser les mesures de sécurité à mettre en œuvre
- Activité 5.2 – Mettre en œuvre les mesures de sécurité
Outils[modifica | modifica wikitesto]
Les guides pratiques pour mettre en œuvre la méthode[modifica | modifica wikitesto]
La méthode EBIOS est publiée sous la forme d'un guide et de bases de connaissances riches et adaptables (types de biens, d'impacts, de sources de menaces, de menaces, de vulnérabilités et de mesures de sécurité).
Le logiciel libre et gratuit[modifica | modifica wikitesto]
Le logiciel de la méthode EBIOS permet aux personnes réalisant une étude de gagner du temps en ajustant la présentation des outils au contenu et en accompagnant le déroulement de la démarche. Une nouvelle version du logiciel est en cours de conception dans le cadre du Club EBIOS.
La formation[modifica | modifica wikitesto]
Le centre de formation de l'ANSSI (CFSSI) et plusieurs sociétés réalisent régulièrement des formations, généralement sur deux jours, pour apprendre à utiliser EBIOS. Plusieurs organismes et écoles enseignent également les grands principes de la méthode dans le cadre d'informations plus courtes. La formation en ligne sur la gestion des risques constitue aussi une bonne entrée en matière.
L'ANSSI propose une formation de formateurs afin de transférer les connaissances et d'éviter les éventuelles dérives dans la diffusion et l’emploi de la méthode.
Les études de cas illustratives[modifica | modifica wikitesto]
Des études de cas sont également fournies afin d'illustrer l'application de la méthode.
Le Club EBIOS[modifica | modifica wikitesto]
Le Club EBIOS est une association indépendante à but non lucratif (Loi 1901), composée d'une soixantaine de membres (experts individuels et organismes) pour un total d'environ 130 personnes. Il regroupe une communauté de membres du secteur public et du secteur privé, français et internationaux (Québec, Belgique, Luxembourg, Algérie et Maroc).
Il organise des réunions tous les deux mois pour favoriser les échanges d'expériences, l'homogénéisation des pratiques et la satisfaction des besoins des usagers. Il constitue également un espace pour définir des positions et exercer un rôle d'influence dans les débats nationaux et internationaux.
La communauté des utilisateurs d'EBIOS enrichit régulièrement le référentiel de gestion des risques français depuis 2003, en collaboration avec l'ANSSI (techniques de mise en œuvre, bases de connaissances, guides d'utilisations spécifiques de la méthode, documents relatifs à la communication, à la formation, à la certification, logiciels…).
Avantages et limites[modifica | modifica wikitesto]
Avantages[modifica | modifica wikitesto]
- Une méthode claire : elle définit clairement les acteurs,leurs rôles et les interactions.
- Une approche exhaustive : contrairement aux approches d'analyse des risques par catalogue de scénarios pédéfinis, la démarche structurée de la méthode EBIOS permet d'identifier et de combiner les éléments constitutifs des risques.
- Une démarche adaptative : la méthode EBIOS peut être adaptée au contexte de chacun et ajustée à ses outils et habitudes méthodologiques grâce à une certaine flexibilité.
- Une méthode optimisée : la durée d'une étude EBIOS est optimisée, car elle permet d'obtenir les éléments nécessaires et suffisants selon le résultat attendu.
Limites[modifica | modifica wikitesto]
- La méthode EBIOS ne fournit pas de solutions immédiates aux problèmes de sécurité, elle constitue un support à la réflexion.
- Elle comprend tous les outils nécessaires à toute réflexion SSI, il faut donc choisir ses outils en fonction de l'objectif de l'étude et des livrables attendus.
