Réalisé par :
Houda El moutaoukil
Encadré par :
Pr.M.A. El kiram
plan
Introduction
L’audit de sécurité
Définition EBIOS
Détail de la méthode
conclusion
De nos jours les entreprises sont plus en plus connectés tant en interne que
dans le monde entier, profitant ainsi de l’év...
Un audit de sécurité consiste à s'appuyer sur un tiers de confiance
(généralement une société spécialisée en sécurité info...
DCSSI
Créée en 2001 la DCSSI est le centre focal de l’état français pour la
sécurité des systèmes d’information. Elle a po...
CLUSIF
Le CLUSIF est un club professionnel, constitué en association indépendante,
ouvert à toute entreprise ou collectivi...
ISO
L'Organisation internationale de normalisation ,ou ISO est un organisme de
normalisation international composé de repr...
Normes et Méthodes :
Une norme est un document qui définit des exigences, des spécifications,
des lignes directrices ou de...
EBIOS (Expression des Besoins et Identification des Objectifs de
Sécurité).C’est une méthode publiée par la Direction cent...
Elle est reconnue comme la méthode idéale pour rédiger des FEROS.
FEROS : fiche d’Expression Rationnelle des Objectifs de ...
Détail de la méthode
Étude du contexte
Cette étape essentielle a pour objectif d'identifier globalement le système-
cible et de le situer dans ...
Expression des besoins
Cette étape contribue à l'estimation des risques et à la définition des critères
de risques. Elle p...
Cette étape consiste en un recensement des scénarios pouvant porter
atteinte aux composants du SI. Une menace peut être ca...
Identification des objectifs de sécurité
Un élément menaçant peut affecter des éléments essentiels en exploitant les
vulné...
Détermination des exigences de sécurité
L’équipe de mise en œuvre de la démarche doit spécifier les fonctionnalités
de séc...
EBIOS met en œuvre des contrôles méthodologiques afin d'assurer d'une
part la validité interne et externe de la démarche, ...
Prochain SlideShare
Chargement dans…5
×

EBIOS

741 vues

Publié le

EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
741
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7
Actions
Partages
0
Téléchargements
40
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

EBIOS

  1. 1. Réalisé par : Houda El moutaoukil Encadré par : Pr.M.A. El kiram
  2. 2. plan Introduction L’audit de sécurité Définition EBIOS Détail de la méthode conclusion
  3. 3. De nos jours les entreprises sont plus en plus connectés tant en interne que dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques. De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs fournisseurs clients partenaires et administrateur .on peut pas négliger les menaces qui viennent de l’intérieur, ce qui rend la présence d’un audit de sécurité obligatoire. Introduction
  4. 4. Un audit de sécurité consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre, au regard de la politique de sécurité. L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent. Audit de sécurité
  5. 5. DCSSI Créée en 2001 la DCSSI est le centre focal de l’état français pour la sécurité des systèmes d’information. Elle a pour mission : D’évaluer périodiquement la vulnérabilité des systèmes en service de former des responsables informatiques a la sécurité informatique de réguler les moyens de protection et de chiffrement des organismes publics de contribuer à l’élaboration de la politique gouvernementale en termes de sécurité informatique. Organismes d’audit de sécurité
  6. 6. CLUSIF Le CLUSIF est un club professionnel, constitué en association indépendante, ouvert à toute entreprise ou collectivité. Il accueille des utilisateurs et des offreurs issus de tous les secteurs d’activité de l’économie. La finalité du CLUSIF est d’agir pour la sécurité de l’information, facteur de pérennité des entreprises et des collectivités publiques. Organismes d’audit de sécurité
  7. 7. ISO L'Organisation internationale de normalisation ,ou ISO est un organisme de normalisation international composé de représentants d'organisations nationales de normalisation de 164 pays. Cette organisation créée en 1947 a pour but de produire des normes internationales dans les domaines industriels et commerciaux appelées normes ISO. Organismes d’audit de sécurité
  8. 8. Normes et Méthodes : Une norme est un document qui définit des exigences, des spécifications, des lignes directrices ou des caractéristiques à utiliser systématiquement pour assurer l'aptitude à l'emploi des matériaux, produits, processus et services. Mais une méthode n’intègre pas la notion de document de référence il ne faut pas opposer norme et méthode mais plutôt les associer une méthode sera « l’outil » utilisé pour satisfaire a une norme. Ainsi pour mettre en œuvre efficacement la norme ISO (17799 il faut s’appuyer sur une Méthode de gestion de risques de type Méhari octave, EBIOS ... Normes d’audit de sécurité
  9. 9. EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).C’est une méthode publiée par la Direction centrale de la Sécurité des Systèmes d’information en février 1997. Elle permet d’identifier les besoins de sécurité d’un système lors de la phase de spécification de ce dernier. C’est quoi EBIOS
  10. 10. Elle est reconnue comme la méthode idéale pour rédiger des FEROS. FEROS : fiche d’Expression Rationnelle des Objectifs de Sécurité (des systèmes d’information). Cette méthode a été connue dans ce but et permet a rédaction intégrale de la FEROS en offrant plusieurs avantages comme: la pertinence des objectifs de sécurité, qui couvre les risques pesant réellement sur l'organisme, la justification des objectifs de sécurité à l'aide de l'appréciation des risques SSI, l'exhaustivité de l'étude grâce à sa démarche structurée, l'implication des parties prenantes, et notamment de l'autorité qui devra valider la FEROS But de Ebios
  11. 11. Détail de la méthode
  12. 12. Étude du contexte Cette étape essentielle a pour objectif d'identifier globalement le système- cible et de le situer dans son environnement. Elle permet notamment de préciser pour le système les enjeux, le contexte de son utilisation, les missions ou services qu'il doit rendre et les moyens utilisés. L'étape se divise en trois activités: Définir le cadre de la gestion des risques : activité consiste à définir le cadre de l'étude. Il faut collecter les données concernant l’organisme et son système d’information. Préparer les métriques : cette activité a pour but de préciser le contexte d'utilisation du système à concevoir ou existant Identifier les biens : cette activité a pour but de déterminer les entités sur lesquelles vont reposer les éléments essentiels du système-cible Détail de la méthode
  13. 13. Expression des besoins Cette étape contribue à l'estimation des risques et à la définition des critères de risques. Elle permet aux utilisateurs du système d'exprimer leurs besoins en matière de sécurité pour les fonctions et informations qu'ils manipulent. Ces besoins de sécurité s'expriment selon différents critères de sécurité tels que la disponibilité, l'intégrité et la confidentialité. L’expression des besoins repose sur l'élaboration et l'utilisation d'une échelle de besoins et la mise en évidence des impacts inacceptables pour l'organisme. L'étape se divise en deux activités : Analyser tous l’événement redouté: cette activité a pour but de créer les tableaux nécessaires à l'expression des besoins de sécurité par les utilisateurs évaluer chaque événement redoute : Cette activité a pour but d'attribuer à chaque élément essentiel des besoins de sécurité. Détail de la méthode
  14. 14. Cette étape consiste en un recensement des scénarios pouvant porter atteinte aux composants du SI. Une menace peut être caractérisée selon son type (naturel, humain ou environnemental) et/ou selon sa cause (accidentelle ou délibérée). Ces menaces sont formalisées en identifiant leurs composants : les méthodes d'attaque auxquelles l'organisme est exposé, les éléments menaçants qui peuvent les employer, les vulnérabilités exploitables sur les entités du système et leur niveau. L'étape se divise en trois activités : Étude des origines des menaces : Cette activité correspond à l'identification des sources dans le processus de gestion des risques Étude des vulnérabilités : Cette activité a pour objet la détermination des vulnérabilités spécifiques du système-cible. Formalisation des menaces : À l'issue de cette activité, il sera possible de disposer d'une vision objective des menaces pesant sur le système-cible Détail de la méthode
  15. 15. Identification des objectifs de sécurité Un élément menaçant peut affecter des éléments essentiels en exploitant les vulnérabilités des entités sur lesquelles ils reposent avec une méthode d’attaque particulière. Les objectifs de sécurité consistent à couvrir les vulnérabilités. L'étape se divise en trois activités : Confrontation des menaces aux besoins de sécurité : cette confrontation permet de retenir et hiérarchiser les risques qui sont véritablement susceptibles de porter atteinte aux éléments essentiels Formalisation des objectifs de sécurité : Cette activité a pour but de déterminer les objectifs de sécurité permettant de couvrir les risques Détermination des niveaux de sécurité : Cette activité sert à déterminer le niveau de résistance adéquat pour les objectifs de sécurité. Elle permet également de choisir le niveau des exigences de sécurité d'assurance. Détail de la méthode
  16. 16. Détermination des exigences de sécurité L’équipe de mise en œuvre de la démarche doit spécifier les fonctionnalités de sécurité attendues. L’équipe chargée de la mise en œuvre de la démarche doit alors démontrer la parfaite couverture des objectifs de sécurité par les exigences fonctionnelles et les exigences d’assurance. Détail de la méthode
  17. 17. EBIOS met en œuvre des contrôles méthodologiques afin d'assurer d'une part la validité interne et externe de la démarche, et d'autre part que les résultats de l'étude sont fidèles à la réalité. Il en résulte ainsi un outil méthodologique rigoureux. Conclusion

×