SlideShare une entreprise Scribd logo
1  sur  17
Réalisé par :
Houda El moutaoukil
Encadré par :
Pr.M.A. El kiram
plan
Introduction
L’audit de sécurité
Définition EBIOS
Détail de la méthode
conclusion
De nos jours les entreprises sont plus en plus connectés tant en interne que
dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques.
De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs
fournisseurs clients partenaires et administrateur .on peut pas négliger les
menaces qui viennent de l’intérieur, ce qui rend la présence d’un audit de
sécurité obligatoire.
Introduction
Un audit de sécurité consiste à s'appuyer sur un tiers de confiance
(généralement une société spécialisée en sécurité informatique) afin de
valider les moyens de protection mis en œuvre, au regard de la politique de
sécurité.
L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de
sécurité est correctement appliquée et que l'ensemble des dispositions prises
forme un tout cohérent.
Audit de sécurité
DCSSI
Créée en 2001 la DCSSI est le centre focal de l’état français pour la
sécurité des systèmes d’information. Elle a pour mission :
D’évaluer périodiquement la vulnérabilité des systèmes en service
de former des responsables informatiques a la sécurité informatique
de réguler les moyens de protection et de chiffrement des organismes
publics
de contribuer à l’élaboration de la politique gouvernementale en termes de
sécurité informatique.
Organismes d’audit de sécurité
CLUSIF
Le CLUSIF est un club professionnel, constitué en association indépendante,
ouvert à toute entreprise ou collectivité. Il accueille des utilisateurs et des
offreurs issus de tous les secteurs d’activité de l’économie.
La finalité du CLUSIF est d’agir pour la sécurité de l’information, facteur de
pérennité des entreprises et des collectivités publiques.
Organismes d’audit de sécurité
ISO
L'Organisation internationale de normalisation ,ou ISO est un organisme de
normalisation international composé de représentants d'organisations
nationales de normalisation de 164 pays. Cette organisation créée en 1947 a
pour but de produire des normes internationales dans les domaines
industriels et commerciaux appelées normes ISO.
Organismes d’audit de sécurité
Normes et Méthodes :
Une norme est un document qui définit des exigences, des spécifications,
des lignes directrices ou des caractéristiques à utiliser systématiquement
pour assurer l'aptitude à l'emploi des matériaux, produits, processus et
services.
Mais une méthode n’intègre pas la notion de document de référence il ne faut
pas opposer norme et méthode mais plutôt les associer une méthode sera
« l’outil » utilisé pour satisfaire a une norme.
Ainsi pour mettre en œuvre efficacement la norme ISO (17799 il faut
s’appuyer sur une
Méthode de gestion de risques de type Méhari octave, EBIOS ...
Normes d’audit de sécurité
EBIOS (Expression des Besoins et Identification des Objectifs de
Sécurité).C’est une méthode publiée par la Direction centrale de la Sécurité
des Systèmes d’information en février 1997.
Elle permet d’identifier les besoins de sécurité d’un système lors de la
phase de spécification de ce dernier.
C’est quoi EBIOS
Elle est reconnue comme la méthode idéale pour rédiger des FEROS.
FEROS : fiche d’Expression Rationnelle des Objectifs de Sécurité
(des systèmes d’information). Cette méthode a été connue dans ce but et
permet a rédaction intégrale de la FEROS en offrant plusieurs avantages
comme:
la pertinence des objectifs de sécurité, qui couvre les risques pesant
réellement sur l'organisme,
la justification des objectifs de sécurité à l'aide de l'appréciation des risques
SSI,
l'exhaustivité de l'étude grâce à sa démarche structurée,
l'implication des parties prenantes, et notamment de l'autorité qui devra
valider la FEROS
But de Ebios
Détail de la méthode
Étude du contexte
Cette étape essentielle a pour objectif d'identifier globalement le système-
cible et de le situer dans son environnement. Elle permet notamment de
préciser pour le système les enjeux, le contexte de son utilisation, les
missions ou services qu'il doit rendre et les moyens utilisés.
L'étape se divise en trois activités:
Définir le cadre de la gestion des risques :
activité consiste à définir le cadre de l'étude. Il faut collecter les données
concernant l’organisme et son système d’information.
Préparer les métriques :
cette activité a pour but de préciser le contexte d'utilisation du système à
concevoir ou existant
Identifier les biens :
cette activité a pour but de déterminer les entités sur lesquelles vont reposer
les éléments essentiels du système-cible
Détail de la méthode
Expression des besoins
Cette étape contribue à l'estimation des risques et à la définition des critères
de risques. Elle permet aux utilisateurs du système d'exprimer leurs besoins
en matière de sécurité pour les fonctions et informations qu'ils manipulent.
Ces besoins de sécurité s'expriment selon différents critères de sécurité tels
que la disponibilité, l'intégrité et la confidentialité. L’expression des besoins
repose sur l'élaboration et l'utilisation d'une échelle de besoins et la mise en
évidence des impacts inacceptables pour l'organisme.
L'étape se divise en deux activités :
Analyser tous l’événement redouté:
cette activité a pour but de créer les tableaux nécessaires à l'expression des
besoins de sécurité par les utilisateurs
évaluer chaque événement redoute :
Cette activité a pour but d'attribuer à chaque élément essentiel des besoins
de sécurité.
Détail de la méthode
Cette étape consiste en un recensement des scénarios pouvant porter
atteinte aux composants du SI. Une menace peut être caractérisée selon son
type (naturel, humain ou environnemental) et/ou selon sa cause (accidentelle
ou délibérée).
Ces menaces sont formalisées en identifiant leurs composants : les
méthodes d'attaque auxquelles l'organisme est exposé, les éléments
menaçants qui peuvent les employer, les vulnérabilités exploitables sur les
entités du système et leur niveau.
L'étape se divise en trois activités :
Étude des origines des menaces :
Cette activité correspond à l'identification des sources dans le processus de
gestion des risques
Étude des vulnérabilités :
Cette activité a pour objet la détermination des vulnérabilités spécifiques du
système-cible.
Formalisation des menaces :
À l'issue de cette activité, il sera possible de disposer d'une vision objective
des menaces pesant sur le système-cible
Détail de la méthode
Identification des objectifs de sécurité
Un élément menaçant peut affecter des éléments essentiels en exploitant les
vulnérabilités des entités sur lesquelles ils reposent avec une méthode
d’attaque particulière. Les objectifs de sécurité consistent à couvrir les
vulnérabilités.
L'étape se divise en trois activités :
Confrontation des menaces aux besoins de sécurité :
cette confrontation permet de retenir et hiérarchiser les risques qui sont
véritablement susceptibles de porter atteinte aux éléments essentiels
Formalisation des objectifs de sécurité :
Cette activité a pour but de déterminer les objectifs de sécurité permettant de
couvrir les risques
Détermination des niveaux de sécurité :
Cette activité sert à déterminer le niveau de résistance adéquat pour les
objectifs de sécurité. Elle permet également de choisir le niveau des
exigences de sécurité d'assurance.
Détail de la méthode
Détermination des exigences de sécurité
L’équipe de mise en œuvre de la démarche doit spécifier les fonctionnalités
de sécurité attendues. L’équipe chargée de la mise en œuvre de la démarche
doit alors démontrer la parfaite couverture des objectifs de sécurité par les
exigences fonctionnelles et les exigences d’assurance.
Détail de la méthode
EBIOS met en œuvre des contrôles méthodologiques afin d'assurer d'une
part la validité interne et externe de la démarche, et d'autre part que les
résultats de l'étude sont fidèles à la réalité. Il en résulte ainsi un outil
méthodologique rigoureux.
Conclusion

Contenu connexe

Tendances

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 

Tendances (20)

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 

En vedette

CobIT presentation
CobIT presentationCobIT presentation
CobIT presentationMarc Vael
 
Conception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adulteConception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adultePeronnin Eric
 
Plan de reprise d’activité
Plan de reprise d’activitéPlan de reprise d’activité
Plan de reprise d’activitéExam PM
 
La Gouvernance des Services Informatiques
La Gouvernance des Services InformatiquesLa Gouvernance des Services Informatiques
La Gouvernance des Services Informatiquessimeon
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
PRA et PCA : plans de reprise et de continuité d'activité
 PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activitéChristophe Casalegno
 
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...polenumerique33
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?BRIVA
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Anasse Ej
 

En vedette (20)

CobIT presentation
CobIT presentationCobIT presentation
CobIT presentation
 
Cobit
CobitCobit
Cobit
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Cobit presentation
Cobit presentationCobit presentation
Cobit presentation
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
 
Conception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adulteConception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adulte
 
Cobit
Cobit Cobit
Cobit
 
Les processus IAM
Les processus IAMLes processus IAM
Les processus IAM
 
Plan de reprise d’activité
Plan de reprise d’activitéPlan de reprise d’activité
Plan de reprise d’activité
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
La Gouvernance des Services Informatiques
La Gouvernance des Services InformatiquesLa Gouvernance des Services Informatiques
La Gouvernance des Services Informatiques
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
PRA et PCA : plans de reprise et de continuité d'activité
 PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activité
 
Marion
MarionMarion
Marion
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5
 
Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
 

Similaire à EBIOS

Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449M'hammed Hamdaoui
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
 
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdfAsmae Rabhi
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
 

Similaire à EBIOS (20)

Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Clusif marion
Clusif marionClusif marion
Clusif marion
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 

EBIOS

  • 1. Réalisé par : Houda El moutaoukil Encadré par : Pr.M.A. El kiram
  • 2. plan Introduction L’audit de sécurité Définition EBIOS Détail de la méthode conclusion
  • 3. De nos jours les entreprises sont plus en plus connectés tant en interne que dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques. De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs fournisseurs clients partenaires et administrateur .on peut pas négliger les menaces qui viennent de l’intérieur, ce qui rend la présence d’un audit de sécurité obligatoire. Introduction
  • 4. Un audit de sécurité consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre, au regard de la politique de sécurité. L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent. Audit de sécurité
  • 5. DCSSI Créée en 2001 la DCSSI est le centre focal de l’état français pour la sécurité des systèmes d’information. Elle a pour mission : D’évaluer périodiquement la vulnérabilité des systèmes en service de former des responsables informatiques a la sécurité informatique de réguler les moyens de protection et de chiffrement des organismes publics de contribuer à l’élaboration de la politique gouvernementale en termes de sécurité informatique. Organismes d’audit de sécurité
  • 6. CLUSIF Le CLUSIF est un club professionnel, constitué en association indépendante, ouvert à toute entreprise ou collectivité. Il accueille des utilisateurs et des offreurs issus de tous les secteurs d’activité de l’économie. La finalité du CLUSIF est d’agir pour la sécurité de l’information, facteur de pérennité des entreprises et des collectivités publiques. Organismes d’audit de sécurité
  • 7. ISO L'Organisation internationale de normalisation ,ou ISO est un organisme de normalisation international composé de représentants d'organisations nationales de normalisation de 164 pays. Cette organisation créée en 1947 a pour but de produire des normes internationales dans les domaines industriels et commerciaux appelées normes ISO. Organismes d’audit de sécurité
  • 8. Normes et Méthodes : Une norme est un document qui définit des exigences, des spécifications, des lignes directrices ou des caractéristiques à utiliser systématiquement pour assurer l'aptitude à l'emploi des matériaux, produits, processus et services. Mais une méthode n’intègre pas la notion de document de référence il ne faut pas opposer norme et méthode mais plutôt les associer une méthode sera « l’outil » utilisé pour satisfaire a une norme. Ainsi pour mettre en œuvre efficacement la norme ISO (17799 il faut s’appuyer sur une Méthode de gestion de risques de type Méhari octave, EBIOS ... Normes d’audit de sécurité
  • 9. EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).C’est une méthode publiée par la Direction centrale de la Sécurité des Systèmes d’information en février 1997. Elle permet d’identifier les besoins de sécurité d’un système lors de la phase de spécification de ce dernier. C’est quoi EBIOS
  • 10. Elle est reconnue comme la méthode idéale pour rédiger des FEROS. FEROS : fiche d’Expression Rationnelle des Objectifs de Sécurité (des systèmes d’information). Cette méthode a été connue dans ce but et permet a rédaction intégrale de la FEROS en offrant plusieurs avantages comme: la pertinence des objectifs de sécurité, qui couvre les risques pesant réellement sur l'organisme, la justification des objectifs de sécurité à l'aide de l'appréciation des risques SSI, l'exhaustivité de l'étude grâce à sa démarche structurée, l'implication des parties prenantes, et notamment de l'autorité qui devra valider la FEROS But de Ebios
  • 11. Détail de la méthode
  • 12. Étude du contexte Cette étape essentielle a pour objectif d'identifier globalement le système- cible et de le situer dans son environnement. Elle permet notamment de préciser pour le système les enjeux, le contexte de son utilisation, les missions ou services qu'il doit rendre et les moyens utilisés. L'étape se divise en trois activités: Définir le cadre de la gestion des risques : activité consiste à définir le cadre de l'étude. Il faut collecter les données concernant l’organisme et son système d’information. Préparer les métriques : cette activité a pour but de préciser le contexte d'utilisation du système à concevoir ou existant Identifier les biens : cette activité a pour but de déterminer les entités sur lesquelles vont reposer les éléments essentiels du système-cible Détail de la méthode
  • 13. Expression des besoins Cette étape contribue à l'estimation des risques et à la définition des critères de risques. Elle permet aux utilisateurs du système d'exprimer leurs besoins en matière de sécurité pour les fonctions et informations qu'ils manipulent. Ces besoins de sécurité s'expriment selon différents critères de sécurité tels que la disponibilité, l'intégrité et la confidentialité. L’expression des besoins repose sur l'élaboration et l'utilisation d'une échelle de besoins et la mise en évidence des impacts inacceptables pour l'organisme. L'étape se divise en deux activités : Analyser tous l’événement redouté: cette activité a pour but de créer les tableaux nécessaires à l'expression des besoins de sécurité par les utilisateurs évaluer chaque événement redoute : Cette activité a pour but d'attribuer à chaque élément essentiel des besoins de sécurité. Détail de la méthode
  • 14. Cette étape consiste en un recensement des scénarios pouvant porter atteinte aux composants du SI. Une menace peut être caractérisée selon son type (naturel, humain ou environnemental) et/ou selon sa cause (accidentelle ou délibérée). Ces menaces sont formalisées en identifiant leurs composants : les méthodes d'attaque auxquelles l'organisme est exposé, les éléments menaçants qui peuvent les employer, les vulnérabilités exploitables sur les entités du système et leur niveau. L'étape se divise en trois activités : Étude des origines des menaces : Cette activité correspond à l'identification des sources dans le processus de gestion des risques Étude des vulnérabilités : Cette activité a pour objet la détermination des vulnérabilités spécifiques du système-cible. Formalisation des menaces : À l'issue de cette activité, il sera possible de disposer d'une vision objective des menaces pesant sur le système-cible Détail de la méthode
  • 15. Identification des objectifs de sécurité Un élément menaçant peut affecter des éléments essentiels en exploitant les vulnérabilités des entités sur lesquelles ils reposent avec une méthode d’attaque particulière. Les objectifs de sécurité consistent à couvrir les vulnérabilités. L'étape se divise en trois activités : Confrontation des menaces aux besoins de sécurité : cette confrontation permet de retenir et hiérarchiser les risques qui sont véritablement susceptibles de porter atteinte aux éléments essentiels Formalisation des objectifs de sécurité : Cette activité a pour but de déterminer les objectifs de sécurité permettant de couvrir les risques Détermination des niveaux de sécurité : Cette activité sert à déterminer le niveau de résistance adéquat pour les objectifs de sécurité. Elle permet également de choisir le niveau des exigences de sécurité d'assurance. Détail de la méthode
  • 16. Détermination des exigences de sécurité L’équipe de mise en œuvre de la démarche doit spécifier les fonctionnalités de sécurité attendues. L’équipe chargée de la mise en œuvre de la démarche doit alors démontrer la parfaite couverture des objectifs de sécurité par les exigences fonctionnelles et les exigences d’assurance. Détail de la méthode
  • 17. EBIOS met en œuvre des contrôles méthodologiques afin d'assurer d'une part la validité interne et externe de la démarche, et d'autre part que les résultats de l'étude sont fidèles à la réalité. Il en résulte ainsi un outil méthodologique rigoureux. Conclusion