Post on 04-Apr-2015
Ingénieurs 2000 – ULMV – IR3 – 21/01/2007L. Andriet – F. Bidet – I. Boelle – V. BoistuaudA. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
Part d’une initiative Gouvernementale Rédigée par la DCSSI Recommandé/Imposé par la SGDN
Prévenir les risques informatiques Eviter les pertes financières Garantir la continuité des activités Protéger les informations Protéger contre les attaques Assurer le respect des lois et règlements
Modulaire S’adapte à tout SI quel que soit sa taille Compétences acquises au fil du temps Se réalise en 4 étapes + résultat
Détermination et prévention des risques Détermination des besoins spécifiques Détection des risques potentiels Obtention d’un plan d’action
Simplifie les communications inter services Le plan d’action définit les relations
Toute entreprise possédant/concevant un S.I.
Taux important d’adoption dans le public CNAM (Assurance Maladie) France Telecom GIE Carte Bleue Ministères (presque tous)
Imposé pour certains traitement Données classifiées défense
Libre d’utilisation dans les autres cas
Mise en œuvre encadrée Principes généraux de la méthode Guides des meilleures pratiques Outil d’aide à la mise en œuvre Possibilité de contacter un consultant
Bien ressource ayant une valeur pour l’organisme
Entité un bien de type organisation, site, personnel,
matériel, réseau, logiciel, système Element essentiel
Information ou fonction ayant un besoin de sécurité non nul
Elément menaçant Action ou élément ayant des conséquences
négatives
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
L’étude du contexteL’expression des besoins de sécuritéL’étude des menacesL’expression des objectifs de
sécuritéLa détermination des exigences de
sécurité
L’étude du contexte Objectif : cibler le système d’information Plusieurs étapes :
L’expression des besoins de sécurité Estime les critères de risque Détermine les critères de risque
L’étude des menaces Défini les risques en fonction de
l’architecture technique du système d’information
Pré-requis : 1.2
Pré-requis : 1.3 et 3.1
Pré-requis : 3.1 et 3.2
L’expression des objectifs de sécurité Mettre en évidence les risques contre
lesquels le SI doit être protégé
Pré-requis : 1.3, 2.2 et 3.3
Pré-requis : 1.1, 1.2, 2.4 et 4.1
Pré-requis : 3.3 et 4.2
La détermination des exigences de sécurité Détermine les limites en termes
d’exigences de sécurité.
Pré-requis : 4.3
Pré-requis : 4.3
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
Conception d’un nouveau SI SI : Ensemble de logiciels, matériels,
personnels, locaux
Intérêts de EBIOS:▪ Plan de travail: conception, validation▪ Adéquation des ressources aux besoins▪ Politique de sécurité claire et réaliste
Plan de travail Étape 1: Étude du contexte
▪ Étude de la politique de sécurité▪ Basée sur le référentiel de l’organisme▪ Sous la responsabilité du MO
validée par le plus haut niveau hiérarchique
▪ Étude du système cible (spécifications) ▪ Basée sur le référentiel de l’organisme▪ Corrigée lorsque les spécifications évoluent▪ Sous la responsabilité du MO
Étape 2: Expression des besoins de sécurité
▪ Rédaction et synthèse des besoins▪ Basée sur l’étude de l’étape 1▪ En partenariat entre MO, décideurs et utilisateurs
Étape 3: Étude des menaces▪ Étude des menaces particulières
▪ Sous la responsabilité du MO▪ Validée par le plus haut niveau hiérarchique
▪ Étude des vulnérabilités▪ Corrigée lorsque les spécifications évoluent
Étape 4: Identification des objectifs ▪ Confrontation des menaces aux besoins
▪ Formulation et hiérarchisation des risques▪ Sous la responsabilité de la MO
Étape 5: Détermination des exigences▪ Détermination des exigences fonctionnelles
▪ Responsabilités, mesures▪ Qualité de la sécurité (par domaine précis)▪ Par la MOE
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
Distribué sous Licence GNU GPL Code source pas encore rendu public
Multi-plateformes Linux, Windows, Solaris…
Assister les utilisateurs d’EBIOS Stocke les contextes, risques, besoins Donne accès à une base de connaissances
▪ Risques courants▪ Attaques courantes▪ Risques fréquents
Audit et étude du contexte : Création de questionnaires :
▪ Connaitre l’entreprise et son SI
Expression des besoins Identifier les besoins de sécurité de
chacun des éléments essentiels
Identification des menaces Décrire les différentes menaces
auxquelles la cible peut être confrontée
Identification des objectifs de sécurité déterminer la possibilité pour les
menaces identifiées d'affecter réellement les éléments essentiels et d'impacter l'organisme
Détermination des exigences de sécurités vérifier la bonne couverture des objectifs
de sécurité.
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
Contexte L’organisme : PME, douzaine d’employés Stratégie :
▪ Utilisation de nouvelles technologies▪ Consolidation de l’image de marque
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
Avantages d’EBIOS Solution complète par étapes Définit clairement
▪ Acteurs, Rôles▪ Interactions▪ Vocabulaire
Logiciel d’assistance à la mise en œuvre▪ Base de connaissance intégrée
Eprouvée par la DGA
Inconvénients d’EBIOS Pas de recommandations sécuritaires Pas de méthode d’audit/évaluation Validation interne
▪ Oublis potentiels▪ Risque d’évaluation incorrecte des risques
Vocabulaire légèrement différent
EBIOS ne peut être utilisé seul
Pistes complémentaires Possibilité de faire appel à un prestataire
▪ Alcatel CIT▪ Thales Security Systems
Utilisation avec des recommandations externes▪ ISO 27002▪ OWASP…
Audit externe par société de sécurité Permet de garantir la fiabilité des
résultats
Sources▪ http://www.securiteinfo.com/conseils/
ebios.shtml▪ http://cyberzoide.developpez.com/securite/
methodes-analyse-risques/▪ http://www.mag-securs.com/spip.php?
article4710▪ http://www.ssi.gouv.fr/fr/confiance/
ebiospresentation.html