SlideShare une entreprise Scribd logo

EBIOS

EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ

1  sur  17
Télécharger pour lire hors ligne
Réalisé par :
Houda El moutaoukil
Encadré par :
Pr.M.A. El kiram
plan
Introduction
L’audit de sécurité
Définition EBIOS
Détail de la méthode
conclusion
De nos jours les entreprises sont plus en plus connectés tant en interne que
dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques.
De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs
fournisseurs clients partenaires et administrateur .on peut pas négliger les
menaces qui viennent de l’intérieur, ce qui rend la présence d’un audit de
sécurité obligatoire.
Introduction
Un audit de sécurité consiste à s'appuyer sur un tiers de confiance
(généralement une société spécialisée en sécurité informatique) afin de
valider les moyens de protection mis en œuvre, au regard de la politique de
sécurité.
L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de
sécurité est correctement appliquée et que l'ensemble des dispositions prises
forme un tout cohérent.
Audit de sécurité
DCSSI
Créée en 2001 la DCSSI est le centre focal de l’état français pour la
sécurité des systèmes d’information. Elle a pour mission :
D’évaluer périodiquement la vulnérabilité des systèmes en service
de former des responsables informatiques a la sécurité informatique
de réguler les moyens de protection et de chiffrement des organismes
publics
de contribuer à l’élaboration de la politique gouvernementale en termes de
sécurité informatique.
Organismes d’audit de sécurité
CLUSIF
Le CLUSIF est un club professionnel, constitué en association indépendante,
ouvert à toute entreprise ou collectivité. Il accueille des utilisateurs et des
offreurs issus de tous les secteurs d’activité de l’économie.
La finalité du CLUSIF est d’agir pour la sécurité de l’information, facteur de
pérennité des entreprises et des collectivités publiques.
Organismes d’audit de sécurité

Recommandé

ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 

Contenu connexe

Tendances

La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19Laurent Pingault
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2ibtissam el hassani
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application webAntonio Fontes
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 

Tendances (20)

Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Mehari
MehariMehari
Mehari
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application web
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 

En vedette

CobIT presentation
CobIT presentationCobIT presentation
CobIT presentationMarc Vael
 
Conception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adulteConception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adultePeronnin Eric
 
Plan de reprise d’activité
Plan de reprise d’activitéPlan de reprise d’activité
Plan de reprise d’activitéExam PM
 
La Gouvernance des Services Informatiques
La Gouvernance des Services InformatiquesLa Gouvernance des Services Informatiques
La Gouvernance des Services Informatiquessimeon
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
PRA et PCA : plans de reprise et de continuité d'activité
 PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activitéChristophe Casalegno
 
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...polenumerique33
 
Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?BRIVA
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Anasse Ej
 

En vedette (19)

CobIT presentation
CobIT presentationCobIT presentation
CobIT presentation
 
Cobit
CobitCobit
Cobit
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Cobit presentation
Cobit presentationCobit presentation
Cobit presentation
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
 
Conception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adulteConception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adulte
 
Cobit
Cobit Cobit
Cobit
 
Les processus IAM
Les processus IAMLes processus IAM
Les processus IAM
 
Plan de reprise d’activité
Plan de reprise d’activitéPlan de reprise d’activité
Plan de reprise d’activité
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
La Gouvernance des Services Informatiques
La Gouvernance des Services InformatiquesLa Gouvernance des Services Informatiques
La Gouvernance des Services Informatiques
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
PRA et PCA : plans de reprise et de continuité d'activité
 PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activité
 
Marion
MarionMarion
Marion
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5
 
Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
 

Similaire à EBIOS

Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449M'hammed Hamdaoui
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 

Similaire à EBIOS (20)

Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
Mehari
MehariMehari
Mehari
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Clusif marion
Clusif marionClusif marion
Clusif marion
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 

EBIOS

  • 1. Réalisé par : Houda El moutaoukil Encadré par : Pr.M.A. El kiram
  • 2. plan Introduction L’audit de sécurité Définition EBIOS Détail de la méthode conclusion
  • 3. De nos jours les entreprises sont plus en plus connectés tant en interne que dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques. De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs fournisseurs clients partenaires et administrateur .on peut pas négliger les menaces qui viennent de l’intérieur, ce qui rend la présence d’un audit de sécurité obligatoire. Introduction
  • 4. Un audit de sécurité consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre, au regard de la politique de sécurité. L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent. Audit de sécurité
  • 5. DCSSI Créée en 2001 la DCSSI est le centre focal de l’état français pour la sécurité des systèmes d’information. Elle a pour mission : D’évaluer périodiquement la vulnérabilité des systèmes en service de former des responsables informatiques a la sécurité informatique de réguler les moyens de protection et de chiffrement des organismes publics de contribuer à l’élaboration de la politique gouvernementale en termes de sécurité informatique. Organismes d’audit de sécurité
  • 6. CLUSIF Le CLUSIF est un club professionnel, constitué en association indépendante, ouvert à toute entreprise ou collectivité. Il accueille des utilisateurs et des offreurs issus de tous les secteurs d’activité de l’économie. La finalité du CLUSIF est d’agir pour la sécurité de l’information, facteur de pérennité des entreprises et des collectivités publiques. Organismes d’audit de sécurité
  • 7. ISO L'Organisation internationale de normalisation ,ou ISO est un organisme de normalisation international composé de représentants d'organisations nationales de normalisation de 164 pays. Cette organisation créée en 1947 a pour but de produire des normes internationales dans les domaines industriels et commerciaux appelées normes ISO. Organismes d’audit de sécurité
  • 8. Normes et Méthodes : Une norme est un document qui définit des exigences, des spécifications, des lignes directrices ou des caractéristiques à utiliser systématiquement pour assurer l'aptitude à l'emploi des matériaux, produits, processus et services. Mais une méthode n’intègre pas la notion de document de référence il ne faut pas opposer norme et méthode mais plutôt les associer une méthode sera « l’outil » utilisé pour satisfaire a une norme. Ainsi pour mettre en œuvre efficacement la norme ISO (17799 il faut s’appuyer sur une Méthode de gestion de risques de type Méhari octave, EBIOS ... Normes d’audit de sécurité
  • 9. EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).C’est une méthode publiée par la Direction centrale de la Sécurité des Systèmes d’information en février 1997. Elle permet d’identifier les besoins de sécurité d’un système lors de la phase de spécification de ce dernier. C’est quoi EBIOS
  • 10. Elle est reconnue comme la méthode idéale pour rédiger des FEROS. FEROS : fiche d’Expression Rationnelle des Objectifs de Sécurité (des systèmes d’information). Cette méthode a été connue dans ce but et permet a rédaction intégrale de la FEROS en offrant plusieurs avantages comme: la pertinence des objectifs de sécurité, qui couvre les risques pesant réellement sur l'organisme, la justification des objectifs de sécurité à l'aide de l'appréciation des risques SSI, l'exhaustivité de l'étude grâce à sa démarche structurée, l'implication des parties prenantes, et notamment de l'autorité qui devra valider la FEROS But de Ebios
  • 11. Détail de la méthode
  • 12. Étude du contexte Cette étape essentielle a pour objectif d'identifier globalement le système- cible et de le situer dans son environnement. Elle permet notamment de préciser pour le système les enjeux, le contexte de son utilisation, les missions ou services qu'il doit rendre et les moyens utilisés. L'étape se divise en trois activités: Définir le cadre de la gestion des risques : activité consiste à définir le cadre de l'étude. Il faut collecter les données concernant l’organisme et son système d’information. Préparer les métriques : cette activité a pour but de préciser le contexte d'utilisation du système à concevoir ou existant Identifier les biens : cette activité a pour but de déterminer les entités sur lesquelles vont reposer les éléments essentiels du système-cible Détail de la méthode
  • 13. Expression des besoins Cette étape contribue à l'estimation des risques et à la définition des critères de risques. Elle permet aux utilisateurs du système d'exprimer leurs besoins en matière de sécurité pour les fonctions et informations qu'ils manipulent. Ces besoins de sécurité s'expriment selon différents critères de sécurité tels que la disponibilité, l'intégrité et la confidentialité. L’expression des besoins repose sur l'élaboration et l'utilisation d'une échelle de besoins et la mise en évidence des impacts inacceptables pour l'organisme. L'étape se divise en deux activités : Analyser tous l’événement redouté: cette activité a pour but de créer les tableaux nécessaires à l'expression des besoins de sécurité par les utilisateurs évaluer chaque événement redoute : Cette activité a pour but d'attribuer à chaque élément essentiel des besoins de sécurité. Détail de la méthode
  • 14. Cette étape consiste en un recensement des scénarios pouvant porter atteinte aux composants du SI. Une menace peut être caractérisée selon son type (naturel, humain ou environnemental) et/ou selon sa cause (accidentelle ou délibérée). Ces menaces sont formalisées en identifiant leurs composants : les méthodes d'attaque auxquelles l'organisme est exposé, les éléments menaçants qui peuvent les employer, les vulnérabilités exploitables sur les entités du système et leur niveau. L'étape se divise en trois activités : Étude des origines des menaces : Cette activité correspond à l'identification des sources dans le processus de gestion des risques Étude des vulnérabilités : Cette activité a pour objet la détermination des vulnérabilités spécifiques du système-cible. Formalisation des menaces : À l'issue de cette activité, il sera possible de disposer d'une vision objective des menaces pesant sur le système-cible Détail de la méthode
  • 15. Identification des objectifs de sécurité Un élément menaçant peut affecter des éléments essentiels en exploitant les vulnérabilités des entités sur lesquelles ils reposent avec une méthode d’attaque particulière. Les objectifs de sécurité consistent à couvrir les vulnérabilités. L'étape se divise en trois activités : Confrontation des menaces aux besoins de sécurité : cette confrontation permet de retenir et hiérarchiser les risques qui sont véritablement susceptibles de porter atteinte aux éléments essentiels Formalisation des objectifs de sécurité : Cette activité a pour but de déterminer les objectifs de sécurité permettant de couvrir les risques Détermination des niveaux de sécurité : Cette activité sert à déterminer le niveau de résistance adéquat pour les objectifs de sécurité. Elle permet également de choisir le niveau des exigences de sécurité d'assurance. Détail de la méthode
  • 16. Détermination des exigences de sécurité L’équipe de mise en œuvre de la démarche doit spécifier les fonctionnalités de sécurité attendues. L’équipe chargée de la mise en œuvre de la démarche doit alors démontrer la parfaite couverture des objectifs de sécurité par les exigences fonctionnelles et les exigences d’assurance. Détail de la méthode
  • 17. EBIOS met en œuvre des contrôles méthodologiques afin d'assurer d'une part la validité interne et externe de la démarche, et d'autre part que les résultats de l'étude sont fidèles à la réalité. Il en résulte ainsi un outil méthodologique rigoureux. Conclusion