Ingénieurs 2000 – ULMV – IR3 – 21/01/2007L. Andriet – F. Bidet – I. Boelle – V. BoistuaudA. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr

1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes

pratiques4. Le logiciel d’assistance à

l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode

Part d’une initiative Gouvernementale Rédigée par la DCSSI Recommandé/Imposé par la SGDN

Prévenir les risques informatiques Eviter les pertes financières Garantir la continuité des activités Protéger les informations Protéger contre les attaques Assurer le respect des lois et règlements

Modulaire S’adapte à tout SI quel que soit sa taille Compétences acquises au fil du temps Se réalise en 4 étapes + résultat

Détermination et prévention des risques Détermination des besoins spécifiques Détection des risques potentiels Obtention d’un plan d’action

Simplifie les communications inter services Le plan d’action définit les relations

Toute entreprise possédant/concevant un S.I.

Taux important d’adoption dans le public CNAM (Assurance Maladie) France Telecom GIE Carte Bleue Ministères (presque tous)

Imposé pour certains traitement Données classifiées défense

Libre d’utilisation dans les autres cas

Mise en œuvre encadrée Principes généraux de la méthode Guides des meilleures pratiques Outil d’aide à la mise en œuvre Possibilité de contacter un consultant

Bien ressource ayant une valeur pour l’organisme

Entité un bien de type organisation, site, personnel,

matériel, réseau, logiciel, système Element essentiel

Information ou fonction ayant un besoin de sécurité non nul

Elément menaçant Action ou élément ayant des conséquences

négatives

1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes

pratiques4. Le logiciel d’assistance à

l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode

L’étude du contexteL’expression des besoins de sécuritéL’étude des menacesL’expression des objectifs de

sécuritéLa détermination des exigences de

sécurité

L’étude du contexte Objectif : cibler le système d’information Plusieurs étapes :

L’expression des besoins de sécurité Estime les critères de risque Détermine les critères de risque

L’étude des menaces Défini les risques en fonction de

l’architecture technique du système d’information

Pré-requis : 1.2

Pré-requis : 1.3 et 3.1

Pré-requis : 3.1 et 3.2

L’expression des objectifs de sécurité Mettre en évidence les risques contre

lesquels le SI doit être protégé

Pré-requis : 1.3, 2.2 et 3.3

Pré-requis : 1.1, 1.2, 2.4 et 4.1

Pré-requis : 3.3 et 4.2

La détermination des exigences de sécurité Détermine les limites en termes

d’exigences de sécurité.

Pré-requis : 4.3

Pré-requis : 4.3

1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes

pratiques4. Le logiciel d’assistance à

l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode

Conception d’un nouveau SI SI : Ensemble de logiciels, matériels,

personnels, locaux

Intérêts de EBIOS:▪ Plan de travail: conception, validation▪ Adéquation des ressources aux besoins▪ Politique de sécurité claire et réaliste

Plan de travail Étape 1: Étude du contexte

▪ Étude de la politique de sécurité▪ Basée sur le référentiel de l’organisme▪ Sous la responsabilité du MO

validée par le plus haut niveau hiérarchique

▪ Étude du système cible (spécifications) ▪ Basée sur le référentiel de l’organisme▪ Corrigée lorsque les spécifications évoluent▪ Sous la responsabilité du MO

Étape 2: Expression des besoins de sécurité

▪ Rédaction et synthèse des besoins▪ Basée sur l’étude de l’étape 1▪ En partenariat entre MO, décideurs et utilisateurs

Étape 3: Étude des menaces▪ Étude des menaces particulières

▪ Sous la responsabilité du MO▪ Validée par le plus haut niveau hiérarchique

▪ Étude des vulnérabilités▪ Corrigée lorsque les spécifications évoluent

Étape 4: Identification des objectifs ▪ Confrontation des menaces aux besoins

▪ Formulation et hiérarchisation des risques▪ Sous la responsabilité de la MO

Étape 5: Détermination des exigences▪ Détermination des exigences fonctionnelles

▪ Responsabilités, mesures▪ Qualité de la sécurité (par domaine précis)▪ Par la MOE

1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes

pratiques4. Le logiciel d’assistance à

l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode

Distribué sous Licence GNU GPL Code source pas encore rendu public

Multi-plateformes Linux, Windows, Solaris…

Assister les utilisateurs d’EBIOS Stocke les contextes, risques, besoins Donne accès à une base de connaissances

▪ Risques courants▪ Attaques courantes▪ Risques fréquents

Audit et étude du contexte : Création de questionnaires :

▪ Connaitre l’entreprise et son SI

Expression des besoins Identifier les besoins de sécurité de

chacun des éléments essentiels

Identification des menaces Décrire les différentes menaces

auxquelles la cible peut être confrontée

Identification des objectifs de sécurité déterminer la possibilité pour les

menaces identifiées d'affecter réellement les éléments essentiels et d'impacter l'organisme

Détermination des exigences de sécurités vérifier la bonne couverture des objectifs

de sécurité.

1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes

pratiques4. Le logiciel d’assistance à

l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode

Contexte L’organisme : PME, douzaine d’employés Stratégie :

▪ Utilisation de nouvelles technologies▪ Consolidation de l’image de marque

1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes

pratiques4. Le logiciel d’assistance à

l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode

Avantages d’EBIOS Solution complète par étapes Définit clairement

▪ Acteurs, Rôles▪ Interactions▪ Vocabulaire

Logiciel d’assistance à la mise en œuvre▪ Base de connaissance intégrée

Eprouvée par la DGA

Inconvénients d’EBIOS Pas de recommandations sécuritaires Pas de méthode d’audit/évaluation Validation interne

▪ Oublis potentiels▪ Risque d’évaluation incorrecte des risques

Vocabulaire légèrement différent

EBIOS ne peut être utilisé seul

Pistes complémentaires Possibilité de faire appel à un prestataire

▪ Alcatel CIT▪ Thales Security Systems

Utilisation avec des recommandations externes▪ ISO 27002▪ OWASP…

Audit externe par société de sécurité Permet de garantir la fiabilité des

résultats

Sources▪ http://www.securiteinfo.com/conseils/

ebios.shtml▪ http://cyberzoide.developpez.com/securite/

methodes-analyse-risques/▪ http://www.mag-securs.com/spip.php?

article4710▪ http://www.ssi.gouv.fr/fr/confiance/

ebiospresentation.html