LK
Téléchargé parLandry Kientega
PPTX, PDF1,854 vues

Ebios

Ebios est une méthode d'évaluation des risques en informatique créée en 1995 par l'ANSSI, visant à identifier les besoins de sécurité et à établir des objectifs adaptés au contexte des systèmes d'information. Le processus inclut l'étude du contexte, l'expression des besoins de sécurité, l'analyse des risques et la formalisation des objectifs de sécurité, permettant ainsi une meilleure protection des données sensibles. Bien que la méthode soit claire et adaptable, elle ne fournit pas de solutions immédiates aux problèmes de sécurité.

Intégrer la présentation

Téléchargé 43 fois
EBIOS EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ Etudiants: Landry Kientega Belly Ndiaye Professeur: Youssef Khlil 1
PLAN INTRODUCTION I. PRÉSENTATION D’EBIOS II. DÉMARCHE D’EBIOS 1) ETUDE DU CONTEXTE 2) EXPRESSION DES BESOINS DE SÉCURITÉ 3) ETUDES DES RISQUES 4) OBJECTIFS DE SÉCURITÉ III. AVANTAGES IV. INCONVÉNIENTS V. PRÉSENTATION DU LOGICIEL CONCLUSION ANNEXES SOURCES 2
INTRODUCTION NOUS ASSISTONS DE PLUS EN PLUS À LA CRÉATION DE SYSTÈMES D’INFORMATIONS. CHAQUE SYSTÈME D’INFORMATION GÈRE UNE GRANDE QUANTITÉ DE DONNÉES DONT CERTAINES PEUVENT ÊTRE CONFIDENTIELLES ET RÉSERVÉE À UN USAGE RESTREINT. CECI IMPLIQUE DE TROUVER UN MOYEN FIABLE AFIN DE SÉCURISER CES DONNÉES. CHAQUE SYSTÈME OBÉIT À DES OBJECTIFS ET DES EXIGENCES SPÉCIFIQUES. C’EST AINSI QUE LA MÉTHODE EBIOS PERMET D’ASSURER UNE MEILLEUR PROTECTION DU SYSTÈME AFIN D’ADAPTER CHAQUE EXIGENCE À SON CONTEXTE. EBIOS EST UNE MÉTHODE ÉPROUVÉE UTILISÉE PAR PLUSIEURS GRANDS GROUPES. 3
I PRÉSENTATION D’EBIOS • LA MÉTHODE DE L’ EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ (EBIOS) CRÉÉE EN 1995 EST UNE MÉTHODE D'ÉVALUATION DES RISQUES EN INFORMATIQUE, DÉVELOPPÉE PAR L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI). • ELLE PERMET:  D'APPRÉCIER LES RISQUES SÉCURITÉ DES SYSTÈMES D'INFORMATION (ENTITÉS ET VULNÉRABILITÉS, MÉTHODES D’ATTAQUES ET ÉLÉMENTS MENAÇANTS, ÉLÉMENTS ESSENTIELS ET BESOINS DE SÉCURITÉ...),  DE CONTRIBUER À LEUR TRAITEMENT EN SPÉCIFIANT LES EXIGENCES DE SÉCURITÉ À METTRE EN PLACE, DE PRÉPARER L'ENSEMBLE DU DOSSIER DE SÉCURITÉ NÉCESSAIRE À L'ACCEPTATION DES RISQUES  DE FOURNIR LES ÉLÉMENTS UTILES À LA COMMUNICATION RELATIVE AUX RISQUES. ELLE EST COMPATIBLE AVEC LES NORMES ISO 13335 (GMITS), ISO 15408 (CRITÈRES COMMUNS) ET ISO 17799. 4
5
Démarche d’ebios 6
II-1 Etude du contexte • L’ÉTUDE DU CONTEXTE SE DÉROULE EN TROIS PRINCIPALES ÉTAPES: • L’ÉTUDE DE L’ORGANISME • L’ÉTUDE DU SYSTÈME CIBLE • LA DÉTERMINATION LA CIBLE DE L’ÉTUDE • OBJECTIFS • PRISE DE CONNAISSANCE DU DOMAINE À ÉTUDIER • PRÉCISER LES ENJEUX DU SYSTÈME POUR L’ORGANISME • RÉUNIR LES INFORMATIONS NÉCESSAIRES À LA PLANIFICATION DE L’ÉTUDE 7
Diagramme Etude du contexte 8
II-2 Expression des besoins de sécurité • OBJECTIFS: • ESTIMATION DES RISQUES ET DÉFINITION DES CRITÈRES DE RISQUES. • PERMET AUX UTILISATEURS DU SYSTÈME D'EXPRIMER LEURS BESOINS EN MATIÈRE DE SÉCURITÉ POUR LES FONCTIONS ET INFORMATIONS QU'ILS MANIPULENT. CES BESOINS DE SÉCURITÉ S'EXPRIMENT SELON DIFFÉRENTS CRITÈRES DE SÉCURITÉ TELS QUE LA DISPONIBILITÉ, L'INTÉGRITÉ ET LA CONFIDENTIALITÉ. L’EXPRESSION DES BESOINS REPOSE SUR L'ÉLABORATION ET L'UTILISATION D'UNE ÉCHELLE DE BESOINS ET LA MISE EN ÉVIDENCE DES IMPACTS INACCEPTABLES POUR L'ORGANISME. • L'ÉTAPE SE DIVISE EN DEUX ACTIVITÉS : • RÉALISATION DES FICHES DE BESOINS : CETTE ACTIVITÉ A POUR BUT DE CRÉER LES TABLEAUX NÉCESSAIRES À L'EXPRESSION DES BESOINS DE SÉCURITÉ PAR LES UTILISATEURS • SYNTHÈSE DES BESOINS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT D'ATTRIBUER À CHAQUE ÉLÉMENT ESSENTIEL DES BESOINS DE SÉCURITÉ. 9
Diagramme Expression des besoins de sécurité 10
II-3 Etudes des risques • OBJECTIFS • DÉTERMINER LES RISQUES QUI DOIVENT ÊTRE COUVERTS PAR LES OBJECTIFS DE SÉCURITÉS DE LA CIBLE DE L’ÉTUDE • SES DIFFÉRENTES ÉTAPES SONT : • ÉTUDE DES ORIGINES DES MENACES : CETTE ACTIVITÉ CORRESPOND À L'IDENTIFICATION DES SOURCES DANS LE PROCESSUS DE GESTION DES RISQUES • ÉTUDE DES VULNÉRABILITÉS : CETTE ACTIVITÉ A POUR OBJET LA DÉTERMINATION DES VULNÉRABILITÉS SPÉCIFIQUES DU SYSTÈME-CIBLE. • FORMALISATION DES MENACES : À L'ISSUE DE CETTE ACTIVITÉ, IL SERA POSSIBLE DE DISPOSER D'UNE VISION OBJECTIVE DES MENACES PESANT SUR LE SYSTÈME-CIBLE 11
II-4 LES RISQUES • ACCIDENTS PHYSIQUES • ÉVÉNEMENTS NATURELS • PERTES DES SERVICES ESSENTIELS • COMPROMISSION DES INFORMATIONS • DÉFAILLANCE TECHNIQUE • AGRESSION PHYSIQUE • FRAUDE • COMPROMISSION DES FONCTIONS • ERREURS 12
II-5 OBJECTIFS DE SÉCURITÉ • CET ÉTAPE CONSISTERA DONC À LA : • CONFRONTATION DES MENACES AUX BESOINS DE SÉCURITÉ : CETTE CONFRONTATION PERMET DE RETENIR ET HIÉRARCHISER LES RISQUES QUI SONT VÉRITABLEMENT SUSCEPTIBLES DE PORTER ATTEINTE AUX ÉLÉMENTS ESSENTIELS • FORMALISATION DES OBJECTIFS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT DE DÉTERMINER LES OBJECTIFS DE SÉCURITÉ PERMETTANT DE COUVRIR LES RISQUES • DÉTERMINATION DES NIVEAUX DE SÉCURITÉ : CETTE ACTIVITÉ SERT À DÉTERMINER LE NIVEAU DE RÉSISTANCE ADÉQUAT POUR LES OBJECTIFS DE SÉCURITÉ. ELLE PERMET ÉGALEMENT DE CHOISIR LE NIVEAU DES EXIGENCES DE SÉCURITÉ D'ASSURANCE. • OBJECTIFS: • EXPRIMER CE QUE DOIT RÉALISER LA CIBLE DE L'ÉTUDE POUR QUE LE SYSTÈME-CIBLE FONCTIONNE DE MANIÈRE SÉCURISÉ. 13
14
III AVANTAGES • UNE MÉTHODE CLAIRE : ELLE DÉFINIT CLAIREMENT LES ACTEURS, LEURS RÔLES ET LES INTERACTIONS. • UNE DÉMARCHE ADAPTATIVE : LA MÉTHODE EBIOS PEUT ÊTRE ADAPTÉE AU CONTEXTE DE CHACUN ET AJUSTÉE À SES OUTILS ET HABITUDES MÉTHODOLOGIQUES GRÂCE À UNE CERTAINE FLEXIBILITÉ. 15
IV INCONVÉNIENTS • LA MÉTHODE EBIOS NE FOURNIT PAS DE RECOMMANDATIONS NI DE SOLUTIONS IMMÉDIATES AUX PROBLÈMES DE SÉCURITÉ. 16
CONCLUSION 17
ANNEXE • RSSI : RESPONSABLE DE LA SECURITÉ DES SYSTÉMES D’INFORMATION • FEROS: FICHE D’EXPRESSION RATIONNELLE DES OBJECTIFS DE SECURITÉ • SSRS: SYSTEM SPECIFIC SECURITY REQUIREMENT STATEMENT 18
SOURCES • WIKIPEDIA • ANSSI • SSI.GOUV.FR • SECURITE-INFORMATIQUE.GOUV.FR 19

Contenu connexe

PPT
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
PPTX
EBIOS
parHouda Elmoutaoukil
 
PPTX
Ebios
parkilojolid
 
PPTX
Mehari
parHouda Elmoutaoukil
 
PPTX
Mehari
parAfaf MATOUG
 
PDF
Mehari
parImane ABOU EL MARAI
 
PDF
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
PPTX
présentation-PFE.pptx
parAdemKorani
 
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
EBIOS
parHouda Elmoutaoukil
 
Ebios
parkilojolid
 
Mehari
parHouda Elmoutaoukil
 
Mehari
parAfaf MATOUG
 
Mehari
parImane ABOU EL MARAI
 
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
présentation-PFE.pptx
parAdemKorani
 

Tendances

PPTX
Audit de sécurité informatique
parMohamed Ali Hadhri
 
PDF
Conix - EBIOS Risk Manager
parThierry Pertus
 
PPTX
METHODE OCTAVE
pardazaiazouze
 
PDF
Mehari 2010-diagnostic
paridman007
 
PDF
La sécurité de l’information et les auditeurs internes
parISACA Chapitre de Québec
 
PDF
Netclu09 27005
parmichaeldean
 
PDF
EBIOS Risk Manager
parComsoce
 
PDF
Sécurité des systèmes d'information
parFranck Franchin
 
PDF
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
parTelecomValley
 
PDF
Présentation Méthode EBIOS Risk Manager
parComsoce
 
PDF
SMSI.pdf
parHajarSalimi
 
PDF
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
PPTX
La protection de données, La classification un premier pas
parAlghajati
 
PDF
Le Management de la sécurité des SI
parDIALLO Boubacar
 
PPS
Audit Informatique
paretienne
 
PDF
sécurité informatique
parMohammed Zaoui
 
PDF
Audit des systemes d'information
parAnnick Franck Monyie Fouda
 
PDF
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
PPTX
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
parAmorFranois
 
PPTX
Sécurité des systèmes d'informations
parEmna Tfifha
 
Audit de sécurité informatique
parMohamed Ali Hadhri
 
Conix - EBIOS Risk Manager
parThierry Pertus
 
METHODE OCTAVE
pardazaiazouze
 
Mehari 2010-diagnostic
paridman007
 
La sécurité de l’information et les auditeurs internes
parISACA Chapitre de Québec
 
Netclu09 27005
parmichaeldean
 
EBIOS Risk Manager
parComsoce
 
Sécurité des systèmes d'information
parFranck Franchin
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
parTelecomValley
 
Présentation Méthode EBIOS Risk Manager
parComsoce
 
SMSI.pdf
parHajarSalimi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
La protection de données, La classification un premier pas
parAlghajati
 
Le Management de la sécurité des SI
parDIALLO Boubacar
 
Audit Informatique
paretienne
 
sécurité informatique
parMohammed Zaoui
 
Audit des systemes d'information
parAnnick Franck Monyie Fouda
 
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
parAmorFranois
 
Sécurité des systèmes d'informations
parEmna Tfifha
 

En vedette

PPT
Questões sobre abdome agudo na infância
parProfessor Robson
 
PDF
Fo03 wenger de
parJugend und Medien
 
PPT
Die Macht der Blogs
parCamille Gras
 
PPT
BILAN CARBONE ECOLUTIS
parECOLUTIS
 
PDF
Baclofen: RTU in Frankreich – Schweigen in Deutschland
parFriedrich Kreuzeder
 
PDF
Toute une vie... Prévoir, aider, transmettre dans une société de longue vie
parBPCE
 
PPT
Caso clínico intussuscepção intestinal
parVera Gonzaga
 
PDF
Quels réseaux sociaux BtoC pour quelle activité?
parWSI France
 
PDF
Mémoire maîtrise soutenu par chabi boum
parCHABIBOUM
 
PPTX
Mal rotação intestinal
parPaulo Larissa Braz
 
PPT
Manejo do Ecossistema Intestinal no Controle da Enterite Necrótica - Fabiano...
parTecalvet Avicultura
 
PPTX
Constipação intestinal
parFernando de Oliveira Dutra
 
PPTX
Malformações gastrointestinais no recém-nascido
parFACULDADE DE MEDICINA DA UFMG
 
PPTX
Obstruccion intestinal Cirugía
parAle Symons
 
PPTX
Auscultacion
parWilmerzinho
 
PPT
Lavagem intestinal
parLaís Lucas
 
PPTX
Hemorragia Digestiva Baja
parMaria Abril
 
PPT
Clase 5 a semiologia obstruccion intestinal
parAnchi Hsu XD
 
PPT
05 procesos de conformado
parvsanchezsoto
 
PPS
Radiologia do abdome
parGleibson Brasil
 
Questões sobre abdome agudo na infância
parProfessor Robson
 
Fo03 wenger de
parJugend und Medien
 
Die Macht der Blogs
parCamille Gras
 
BILAN CARBONE ECOLUTIS
parECOLUTIS
 
Baclofen: RTU in Frankreich – Schweigen in Deutschland
parFriedrich Kreuzeder
 
Toute une vie... Prévoir, aider, transmettre dans une société de longue vie
parBPCE
 
Caso clínico intussuscepção intestinal
parVera Gonzaga
 
Quels réseaux sociaux BtoC pour quelle activité?
parWSI France
 
Mémoire maîtrise soutenu par chabi boum
parCHABIBOUM
 
Mal rotação intestinal
parPaulo Larissa Braz
 
Manejo do Ecossistema Intestinal no Controle da Enterite Necrótica - Fabiano...
parTecalvet Avicultura
 
Constipação intestinal
parFernando de Oliveira Dutra
 
Malformações gastrointestinais no recém-nascido
parFACULDADE DE MEDICINA DA UFMG
 
Obstruccion intestinal Cirugía
parAle Symons
 
Auscultacion
parWilmerzinho
 
Lavagem intestinal
parLaís Lucas
 
Hemorragia Digestiva Baja
parMaria Abril
 
Clase 5 a semiologia obstruccion intestinal
parAnchi Hsu XD
 
05 procesos de conformado
parvsanchezsoto
 
Radiologia do abdome
parGleibson Brasil
 

Similaire à Ebios

PDF
TUNDA OLEMBE DJAMBA , NOTES DU COURS DE SECURITE INFORMATIQUE AVANCEE .pdf
parTUNDA-OLEMBE DJAMBA
 
PDF
TUNDA OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE AVANCÉE. VERS...
parTUNDA-OLEMBE DJAMBA
 
PPT
securite-2014-fond-blanc mmmmmmmmmmmmmmm
parMohammedElJabli1
 
PPT
securite-2014-fond-blanc (1).ppt
parKhaledabdelilah1
 
PPT
securite-2014-fond-blanc ;concepts et .ppt
parNdiayeMohamadou1
 
PDF
Sã©curitã© des systã¨mes d'information
parDany Rabe
 
DOC
La sécurité des systèmes d’information
parlara houda
 
PDF
Cadre méthodologique pour un SMSI_jm_16x9.pdf
parJean-Marie Gandois
 
PDF
Infosafe ah 2014 15
parAlain Huet
 
PDF
ANALYSE DE RISQUES
parndelannoy
 
PDF
Ichec entrepr ah 2015
parAlain Huet
 
PDF
Université laval présentation sur la gestion des risques 31-03-2015 vf2
parISACA Chapitre de Québec
 
PPSX
Sécurité Internet
parproximit
 
PDF
TUNDA-OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE ET CRYPTOGRAPHI...
parTUNDA-OLEMBE DJAMBA
 
PDF
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
PDF
TUNDA OLEMBE DJAMBA , COURS DE SECURITE INFORMATIQUE ET CYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
PPT
Support_Formation_Exigences de la norme ISO 27001.ppt
parimed11
 
PDF
Ch_1 - Généralités sur la sécurité informatique.pdf
parNafissa11
 
PPTX
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
PPTX
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
parWalter Michael TACKA
 
TUNDA OLEMBE DJAMBA , NOTES DU COURS DE SECURITE INFORMATIQUE AVANCEE .pdf
parTUNDA-OLEMBE DJAMBA
 
TUNDA OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE AVANCÉE. VERS...
parTUNDA-OLEMBE DJAMBA
 
securite-2014-fond-blanc mmmmmmmmmmmmmmm
parMohammedElJabli1
 
securite-2014-fond-blanc (1).ppt
parKhaledabdelilah1
 
securite-2014-fond-blanc ;concepts et .ppt
parNdiayeMohamadou1
 
Sã©curitã© des systã¨mes d'information
parDany Rabe
 
La sécurité des systèmes d’information
parlara houda
 
Cadre méthodologique pour un SMSI_jm_16x9.pdf
parJean-Marie Gandois
 
Infosafe ah 2014 15
parAlain Huet
 
ANALYSE DE RISQUES
parndelannoy
 
Ichec entrepr ah 2015
parAlain Huet
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
parISACA Chapitre de Québec
 
Sécurité Internet
parproximit
 
TUNDA-OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE ET CRYPTOGRAPHI...
parTUNDA-OLEMBE DJAMBA
 
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
TUNDA OLEMBE DJAMBA , COURS DE SECURITE INFORMATIQUE ET CYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
Support_Formation_Exigences de la norme ISO 27001.ppt
parimed11
 
Ch_1 - Généralités sur la sécurité informatique.pdf
parNafissa11
 
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
parWalter Michael TACKA
 

Ebios

  • 1.
    EBIOS EXPRESSION DES BESOINSET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ Etudiants: Landry Kientega Belly Ndiaye Professeur: Youssef Khlil 1
  • 2.
    PLAN INTRODUCTION I. PRÉSENTATION D’EBIOS II.DÉMARCHE D’EBIOS 1) ETUDE DU CONTEXTE 2) EXPRESSION DES BESOINS DE SÉCURITÉ 3) ETUDES DES RISQUES 4) OBJECTIFS DE SÉCURITÉ III. AVANTAGES IV. INCONVÉNIENTS V. PRÉSENTATION DU LOGICIEL CONCLUSION ANNEXES SOURCES 2
  • 3.
    INTRODUCTION NOUS ASSISTONS DEPLUS EN PLUS À LA CRÉATION DE SYSTÈMES D’INFORMATIONS. CHAQUE SYSTÈME D’INFORMATION GÈRE UNE GRANDE QUANTITÉ DE DONNÉES DONT CERTAINES PEUVENT ÊTRE CONFIDENTIELLES ET RÉSERVÉE À UN USAGE RESTREINT. CECI IMPLIQUE DE TROUVER UN MOYEN FIABLE AFIN DE SÉCURISER CES DONNÉES. CHAQUE SYSTÈME OBÉIT À DES OBJECTIFS ET DES EXIGENCES SPÉCIFIQUES. C’EST AINSI QUE LA MÉTHODE EBIOS PERMET D’ASSURER UNE MEILLEUR PROTECTION DU SYSTÈME AFIN D’ADAPTER CHAQUE EXIGENCE À SON CONTEXTE. EBIOS EST UNE MÉTHODE ÉPROUVÉE UTILISÉE PAR PLUSIEURS GRANDS GROUPES. 3
  • 4.
    I PRÉSENTATION D’EBIOS •LA MÉTHODE DE L’ EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ (EBIOS) CRÉÉE EN 1995 EST UNE MÉTHODE D'ÉVALUATION DES RISQUES EN INFORMATIQUE, DÉVELOPPÉE PAR L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI). • ELLE PERMET:  D'APPRÉCIER LES RISQUES SÉCURITÉ DES SYSTÈMES D'INFORMATION (ENTITÉS ET VULNÉRABILITÉS, MÉTHODES D’ATTAQUES ET ÉLÉMENTS MENAÇANTS, ÉLÉMENTS ESSENTIELS ET BESOINS DE SÉCURITÉ...),  DE CONTRIBUER À LEUR TRAITEMENT EN SPÉCIFIANT LES EXIGENCES DE SÉCURITÉ À METTRE EN PLACE, DE PRÉPARER L'ENSEMBLE DU DOSSIER DE SÉCURITÉ NÉCESSAIRE À L'ACCEPTATION DES RISQUES  DE FOURNIR LES ÉLÉMENTS UTILES À LA COMMUNICATION RELATIVE AUX RISQUES. ELLE EST COMPATIBLE AVEC LES NORMES ISO 13335 (GMITS), ISO 15408 (CRITÈRES COMMUNS) ET ISO 17799. 4
  • 5.
  • 6.
  • 7.
    II-1 Etude ducontexte • L’ÉTUDE DU CONTEXTE SE DÉROULE EN TROIS PRINCIPALES ÉTAPES: • L’ÉTUDE DE L’ORGANISME • L’ÉTUDE DU SYSTÈME CIBLE • LA DÉTERMINATION LA CIBLE DE L’ÉTUDE • OBJECTIFS • PRISE DE CONNAISSANCE DU DOMAINE À ÉTUDIER • PRÉCISER LES ENJEUX DU SYSTÈME POUR L’ORGANISME • RÉUNIR LES INFORMATIONS NÉCESSAIRES À LA PLANIFICATION DE L’ÉTUDE 7
  • 8.
  • 9.
    II-2 Expression desbesoins de sécurité • OBJECTIFS: • ESTIMATION DES RISQUES ET DÉFINITION DES CRITÈRES DE RISQUES. • PERMET AUX UTILISATEURS DU SYSTÈME D'EXPRIMER LEURS BESOINS EN MATIÈRE DE SÉCURITÉ POUR LES FONCTIONS ET INFORMATIONS QU'ILS MANIPULENT. CES BESOINS DE SÉCURITÉ S'EXPRIMENT SELON DIFFÉRENTS CRITÈRES DE SÉCURITÉ TELS QUE LA DISPONIBILITÉ, L'INTÉGRITÉ ET LA CONFIDENTIALITÉ. L’EXPRESSION DES BESOINS REPOSE SUR L'ÉLABORATION ET L'UTILISATION D'UNE ÉCHELLE DE BESOINS ET LA MISE EN ÉVIDENCE DES IMPACTS INACCEPTABLES POUR L'ORGANISME. • L'ÉTAPE SE DIVISE EN DEUX ACTIVITÉS : • RÉALISATION DES FICHES DE BESOINS : CETTE ACTIVITÉ A POUR BUT DE CRÉER LES TABLEAUX NÉCESSAIRES À L'EXPRESSION DES BESOINS DE SÉCURITÉ PAR LES UTILISATEURS • SYNTHÈSE DES BESOINS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT D'ATTRIBUER À CHAQUE ÉLÉMENT ESSENTIEL DES BESOINS DE SÉCURITÉ. 9
  • 10.
  • 11.
    II-3 Etudes desrisques • OBJECTIFS • DÉTERMINER LES RISQUES QUI DOIVENT ÊTRE COUVERTS PAR LES OBJECTIFS DE SÉCURITÉS DE LA CIBLE DE L’ÉTUDE • SES DIFFÉRENTES ÉTAPES SONT : • ÉTUDE DES ORIGINES DES MENACES : CETTE ACTIVITÉ CORRESPOND À L'IDENTIFICATION DES SOURCES DANS LE PROCESSUS DE GESTION DES RISQUES • ÉTUDE DES VULNÉRABILITÉS : CETTE ACTIVITÉ A POUR OBJET LA DÉTERMINATION DES VULNÉRABILITÉS SPÉCIFIQUES DU SYSTÈME-CIBLE. • FORMALISATION DES MENACES : À L'ISSUE DE CETTE ACTIVITÉ, IL SERA POSSIBLE DE DISPOSER D'UNE VISION OBJECTIVE DES MENACES PESANT SUR LE SYSTÈME-CIBLE 11
  • 12.
    II-4 LES RISQUES •ACCIDENTS PHYSIQUES • ÉVÉNEMENTS NATURELS • PERTES DES SERVICES ESSENTIELS • COMPROMISSION DES INFORMATIONS • DÉFAILLANCE TECHNIQUE • AGRESSION PHYSIQUE • FRAUDE • COMPROMISSION DES FONCTIONS • ERREURS 12
  • 13.
    II-5 OBJECTIFS DESÉCURITÉ • CET ÉTAPE CONSISTERA DONC À LA : • CONFRONTATION DES MENACES AUX BESOINS DE SÉCURITÉ : CETTE CONFRONTATION PERMET DE RETENIR ET HIÉRARCHISER LES RISQUES QUI SONT VÉRITABLEMENT SUSCEPTIBLES DE PORTER ATTEINTE AUX ÉLÉMENTS ESSENTIELS • FORMALISATION DES OBJECTIFS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT DE DÉTERMINER LES OBJECTIFS DE SÉCURITÉ PERMETTANT DE COUVRIR LES RISQUES • DÉTERMINATION DES NIVEAUX DE SÉCURITÉ : CETTE ACTIVITÉ SERT À DÉTERMINER LE NIVEAU DE RÉSISTANCE ADÉQUAT POUR LES OBJECTIFS DE SÉCURITÉ. ELLE PERMET ÉGALEMENT DE CHOISIR LE NIVEAU DES EXIGENCES DE SÉCURITÉ D'ASSURANCE. • OBJECTIFS: • EXPRIMER CE QUE DOIT RÉALISER LA CIBLE DE L'ÉTUDE POUR QUE LE SYSTÈME-CIBLE FONCTIONNE DE MANIÈRE SÉCURISÉ. 13
  • 14.
  • 15.
    III AVANTAGES • UNEMÉTHODE CLAIRE : ELLE DÉFINIT CLAIREMENT LES ACTEURS, LEURS RÔLES ET LES INTERACTIONS. • UNE DÉMARCHE ADAPTATIVE : LA MÉTHODE EBIOS PEUT ÊTRE ADAPTÉE AU CONTEXTE DE CHACUN ET AJUSTÉE À SES OUTILS ET HABITUDES MÉTHODOLOGIQUES GRÂCE À UNE CERTAINE FLEXIBILITÉ. 15
  • 16.
    IV INCONVÉNIENTS • LAMÉTHODE EBIOS NE FOURNIT PAS DE RECOMMANDATIONS NI DE SOLUTIONS IMMÉDIATES AUX PROBLÈMES DE SÉCURITÉ. 16
  • 17.
  • 18.
    ANNEXE • RSSI :RESPONSABLE DE LA SECURITÉ DES SYSTÉMES D’INFORMATION • FEROS: FICHE D’EXPRESSION RATIONNELLE DES OBJECTIFS DE SECURITÉ • SSRS: SYSTEM SPECIFIC SECURITY REQUIREMENT STATEMENT 18
  • 19.
    SOURCES • WIKIPEDIA • ANSSI •SSI.GOUV.FR • SECURITE-INFORMATIQUE.GOUV.FR 19