5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0 7 S P - T l 0 1 7 1 7 5 8 4 1 5 - F a x 0 1 7 1 7 5 8 4 0 0

PREMIER MINISTRE Secrtariat gnral de la dfense nationale

Direction centrale de la scurit des systmes dinformation Sous-direction des oprations

Bureau conseil

Version du 22 septembre 2004

MEILLEURES PRATIQUES POUR LA GESTION DES RISQUES SSI

Utilisation spcifique de la mthode EBIOS pour laborer une PSSI

Document dit par le bureau conseil de la DCSSI

Page 2 sur 6

Qu'est-ce qu'une PSSI ?

La Politique de Scurit des Systmes d'Information (PSSI) est l'ensemble formalis dans un document applicable, des directives, procdures, codes de conduite, rgles organisationnelles et techniques, ayant pour objectif la protection des systmes dinformation de lorganisme.

Elle traduit la reconnaissance officielle de l'importance accorde par la direction gnrale de l'organisme la scurit de ses systmes d'information. D'une manire gnrale, elle contient une partie relative aux lments stratgiques de l'organisme (primtre, contexte, enjeux, orientations stratgiques en matire de SSI, rfrentiel rglementaire, chelle de sensibilit, besoins de scurit, menaces) et une partie relative aux rgles de scurit applicables. Elle constitue donc une traduction concrte de la stratgie de scurit de lorganisme.

Le guide PSSI dit par la DCSSI a pour objectif majeur laccompagnement des responsables de scurit dans llaboration dune politique de scurit dun ou des systmes dinformation au sein de leur organisme.

Quels sont les avantages de la mthode EBIOS pour l'laboration d'une PSSI ?

La ralisation pralable d'une tude EBIOS offre plusieurs avantages : - l'laboration de la PSSI est facilite par une dmarche structure, qui permet en outre

de dduire en les justifiant une partie des principes et des rgles retenus dans la PSSI ; - lexploitation des rsultats de ltude EBIOS associe dautres lments dentre,

permet d'obtenir l'ensemble des lments stratgiques, de choisir les principes et d'laborer les rgles de scurit ;

- les diffrents acteurs du SI (dcideurs, responsables SSI, matrise d'uvre, matrise d'ouvrage, acteurs financiers, utilisateurs) sont dj sensibiliss la SSI, notamment aux risques SSI et au fait que la scurit organisationnelle constitue une part importante de la scurit globale.

Comment laborer une PSSI en utilisant EBIOS ?

Une solution efficace pour laborer une PSSI consiste : - organiser le projet PSSI ; - raliser une tude EBIOS globale ; - extraire les donnes ncessaires dans l'tude EBIOS (essentiellement dans l'tude du

contexte, l'expression des besoins de scurit et l'tude des menaces) ; - raliser les dernires tches voques dans le guide PSSI :

o choix des principes de scurit et laboration des rgles de scurit, facilits par lexploitation des objectifs et exigences de scurit issus de ltude EBIOS,

o laboration des notes de synthse, o finalisation et validation de la PSSI, o laboration et validation du plan d'action.

Document dit par le bureau conseil de la DCSSI

Page 3 sur 6

Pour cela, les activits de la mthode EBIOS sont utilises de la manire suivante :

Activits EBIOS Mise en uvre dans le but d'laborer une PSSI

TAPE 1

tude du contexte En rsum : l'tude du contexte est approfondie et figurera dans la

note de stratgie de scurit de la PSSI

1.1 tude de lorganisme

L'activit doit tre dtaille et complte.

Elle sadaptera lobjet de la PSSI et la nature de lorganisme. Elle doit servir identifier clairement les diffrents processus et fonctions prsentes et les contraintes gnrales afin dassurer la meilleure dfinition du systme-cible.

Il est essentiel de ne pas omettre les rfrences rglementaires et lgales ainsi que les normes que lorganisation doit respecter.

1.2 tude du systme-cible

L'activit doit tre dtaille et complte. Les enjeux doivent tre dfinis et valus afin de pouvoir ventuellement classer le(s) systme-cible(s) (les uns) par rapport aux autres et indiquer la place quoccupe le systme-cible en terme de continuit dentreprise.

Ne seront retenus que les lments vritablement essentiels. Il importe que la description du systme-cible soit claire, concise et aussi standardise que possible.

La dfinition des hypothses, rgles de scurit et rfrences rglementaires ainsi que les contraintes est indispensable pour disposer dun contexte complet et adquat.

Il est important de considrer les interfaces avec les autres systmes d'information.

S'il s'agit d'une PSSI globale d'organisme, les lments essentiels considrs pourront tre les domaines d'activits et les processus majeurs de lentreprise.

1.3 Dtermination de la cible de ltude de scurit

Cette activit contribue la dtermination des objectifs et exigences de scurit, qui serviront la rdaction des rgles de scurit.

Les principales entits (ou types d'entits) sont dcrites et croises avec les lments essentiels.

Document dit par le bureau conseil de la DCSSI

Page 4 sur 6

Activits EBIOS Mise en uvre dans le but d'laborer une PSSI

TAPE 2

Expression des besoins de scurit

En rsum : l'chelle de besoins est dtaille et figurera dans la note de stratgie de scurit de la PSSI

2.1 Ralisation des fiches de besoins

L'activit doit tre dtaille, complte et enrichie d'exemples issus de l'organisme. Ses rsultats seront intgrs dans la note de stratgie de scurit de la PSSI.

Les critres de scurit, l'chelle de besoins et les impacts choisis devraient tre les mmes pour l'ensemble des PSSI de lorganisation.

2.2 Synthse des besoins de scurit

Une synthse de cette activit pourra enrichir la note de stratgie de scurit de la PSSI. Elle prcisera les besoins de scurit gnraux en dessous desquels il est inacceptable de descendre.

Il peut savrer utile de complter totalement les fiches d'expression des besoins de scurit (et non de remplir uniquement les valeurs finales) afin de bien mettre en vidence le lien entre les lments essentiels et les impacts, ainsi que l'importance relative des impacts.

TAPE 3

tude des menaces

En rsum : l'origine des menaces est dtaille et figurera dans la note de stratgie de scurit de la PSSI, ltude des vulnrabilits

contribuera davantage la suite de la PSSI

3.1 tude des origines des menaces

L'activit doit tre dtaille et complte. La caractrisation des mthodes dattaque et des lments menaants doit tre particulirement claire et prcise. Le potentiel dattaque de chaque lment menaant doit tre indiqu, explicit et justifi.

La liste justifie des mthodes dattaque non retenues doit tre ralise.

3.2 tude des vulnrabilits

Cette activit contribue la dtermination des objectifs et exigences de scurit, qui serviront la rdaction des rgles de scurit. Elle peut ne pas tre ralise dans le cas d'une PSSI globale.

Toutes les vulnrabilits pertinentes doivent tre releves, qu'elles soient avres ou non.

L'chelle ventuellement utilise pour les niveaux de vulnrabilit devrait tre la mme pour l'ensemble des PSSI de lorganisation.

3.3 Formalisation des menaces

Cette activit contribue la dtermination des objectifs et exigences de scurit, qui serviront la rdaction des rgles de scurit.

Elle doit tre claire ( des fins de communication) et prcise.

Il est prfrable de formuler des menaces unitaires et spcifiques (une vulnrabilit par menace).

La hirarchisation des menaces peut tre utile dans le but de dterminer des priorits de traitement.

Document dit par le bureau conseil de la DCSSI

Page 5 sur 6

Activits EBIOS Mise en uvre dans le but d'laborer une PSSI

TAPE 4

Identification des objectifs de scurit

En rsum : les objectifs de scurit sont factoriss et figureront dans la note de stratgie de scurit, ils constituent une aide au

choix et la justification des principes et rgles retenus

4.1 Confrontation des menaces aux besoins

Cette activit contribue la dtermination des objectifs et exigences de scurit, qui serviront la rdaction des rgles de scurit.

Les risques doivent tre identifis et formuls de manire uniforme. Ils doivent galement tre hirarchiss afin de dterminer des priorits de traitement et les ventuels risques rsiduels doivent tre mis en vidence.

4.2 Formalisation des objectifs de scurit

Dans la mesure du possible, les objectifs de scurit doivent tre factoriss pour enrichir les axes stratgiques de la note de stratgie de scurit de la PSSI.

La rdaction des objectifs de scurit doit tre claire, prcise et uniforme afin de les justifier par leur contenu.

Les ventuels risques rsiduels doivent tre mis en vidence.

4.3 Dtermination des niveaux de scurit

Cette activit contribue la dtermination des exigences de scurit, qui serviront la rdaction des rgles de scurit.

Elle peut ne pas tre ralise dans le cas d'une PSSI globale.

Les niveaux de scurit doivent tre explicites et dment justifis.

TAPE 5

Dtermination des exigences de

scurit

En rsum : les exigences de scurit fonctionnelles et d'assurance pourront directement constituer des rgles de scurit de la PSSI,

elles seront ventuellement compltes par dautres rgles, labores en rponse des besoins non couverts par ltude EBIOS.

5.1 Dtermination des exigences de scurit fonctionnelles

Idalement, les exigences de scurit fonctionnelles doivent tre spcifiques (un acteur, un domaine la fois), mesurables (dfinition du moyen de contrle), atteignables (ventuellement en plusieurs tapes, en donnant les ressources ncessaires), ralistes (en fonction des acteurs, de leurs capacits) et lis au temps (il y a une date buttoir, un dlai, une priode dfinie). Une fois tries, elles pourront constituer directement une partie des rgles de scurit de la PSSI.

Les ventuels risques rsiduels doivent tre mis en vidence.

Les exigences de scurit devraient tre classes selon les domaines couverts par la PSSI.

5.2 Dtermination des exigences de scurit dassurance

Dans la mesure du possible, les exigences de scurit d'assurance doivent tre spcifiques (un acteur, un domaine la fois), mesurables (dfinition du moyen de contrle), atteignables (ventuellement en plusieurs tapes, en donnant les ressources ncessaires), ralistes (en fonction des acteurs, de leurs capacits) et lis au temps (il y a une date buttoir, un dlai, une priode dfinie). Une fois tries, elles pourront constituer directement une partie des rgles de scurit de la PSSI.

Document dit par le bureau conseil de la DCSSI

Page 6 sur 6

En rsum, les donnes exploitables sont les suivantes :

(pour tout complment d'information : ebios.dcssi@sgdn.pm.gouv.fr)

Primtre de la PSSI

Enjeux et orientationsstratgiques

Aspects lgaux etrglementaires

chelle de besoins

Besoins de scurit

Menaces

Thme 1

...

Thme N

lments stratgiques

Rgles de scurit

EBIOS PSSI

tude de l'organisme

tude dusystme-cible

Dtermination de la ciblede l'tude

Ralisation des fiches debesoins

Synthse des besoins descurit

Dtermination du moded'exploitation

tude des origines desmenaces

tude des vulnrabilits

Dtermination des menaces

tude du contexte

Expression des besoins de scurit

tude des menaces

Confrontation des menacesaux besoins

Dtermination des objectifsde scurit

Identification des objectifs de scurit

Dtermination des niveauxde scurit

Dtermination desexigences fonctionnelles

Dtermination desexigences d'assurance

Dtermination des exigences de scurit

Extraction et synthse deslments ncessaires

Justification du choix desprincipes de scurit

Dclinaison des exigences descurit en rgles de scurit

justifies

Qu'est-ce qu'une PSSI ?Quels sont les avantages de la mthode EBIOS pour l'laboration d'une PSSI ?Comment laborer une PSSI en utilisant EBIOS ?