Ebios

351 Aufrufe

Veröffentlicht am

0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
351
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
12
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Ebios

  1. 1. EBIOS EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ Etudiants: Landry Kientega Belly Ndiaye Professeur: Youssef Khlil 1
  2. 2. PLAN INTRODUCTION I. PRÉSENTATION D’EBIOS II. DÉMARCHE D’EBIOS 1) ETUDE DU CONTEXTE 2) EXPRESSION DES BESOINS DE SÉCURITÉ 3) ETUDES DES RISQUES 4) OBJECTIFS DE SÉCURITÉ III. AVANTAGES IV. INCONVÉNIENTS V. PRÉSENTATION DU LOGICIEL CONCLUSION ANNEXES SOURCES 2
  3. 3. INTRODUCTION NOUS ASSISTONS DE PLUS EN PLUS À LA CRÉATION DE SYSTÈMES D’INFORMATIONS. CHAQUE SYSTÈME D’INFORMATION GÈRE UNE GRANDE QUANTITÉ DE DONNÉES DONT CERTAINES PEUVENT ÊTRE CONFIDENTIELLES ET RÉSERVÉE À UN USAGE RESTREINT. CECI IMPLIQUE DE TROUVER UN MOYEN FIABLE AFIN DE SÉCURISER CES DONNÉES. CHAQUE SYSTÈME OBÉIT À DES OBJECTIFS ET DES EXIGENCES SPÉCIFIQUES. C’EST AINSI QUE LA MÉTHODE EBIOS PERMET D’ASSURER UNE MEILLEUR PROTECTION DU SYSTÈME AFIN D’ADAPTER CHAQUE EXIGENCE À SON CONTEXTE. EBIOS EST UNE MÉTHODE ÉPROUVÉE UTILISÉE PAR PLUSIEURS GRANDS GROUPES. 3
  4. 4. I PRÉSENTATION D’EBIOS • LA MÉTHODE DE L’ EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ (EBIOS) CRÉÉE EN 1995 EST UNE MÉTHODE D'ÉVALUATION DES RISQUES EN INFORMATIQUE, DÉVELOPPÉE PAR L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI). • ELLE PERMET:  D'APPRÉCIER LES RISQUES SÉCURITÉ DES SYSTÈMES D'INFORMATION (ENTITÉS ET VULNÉRABILITÉS, MÉTHODES D’ATTAQUES ET ÉLÉMENTS MENAÇANTS, ÉLÉMENTS ESSENTIELS ET BESOINS DE SÉCURITÉ...),  DE CONTRIBUER À LEUR TRAITEMENT EN SPÉCIFIANT LES EXIGENCES DE SÉCURITÉ À METTRE EN PLACE, DE PRÉPARER L'ENSEMBLE DU DOSSIER DE SÉCURITÉ NÉCESSAIRE À L'ACCEPTATION DES RISQUES  DE FOURNIR LES ÉLÉMENTS UTILES À LA COMMUNICATION RELATIVE AUX RISQUES. ELLE EST COMPATIBLE AVEC LES NORMES ISO 13335 (GMITS), ISO 15408 (CRITÈRES COMMUNS) ET ISO 17799. 4
  5. 5. 5
  6. 6. Démarche d’ebios 6
  7. 7. II-1 Etude du contexte • L’ÉTUDE DU CONTEXTE SE DÉROULE EN TROIS PRINCIPALES ÉTAPES: • L’ÉTUDE DE L’ORGANISME • L’ÉTUDE DU SYSTÈME CIBLE • LA DÉTERMINATION LA CIBLE DE L’ÉTUDE • OBJECTIFS • PRISE DE CONNAISSANCE DU DOMAINE À ÉTUDIER • PRÉCISER LES ENJEUX DU SYSTÈME POUR L’ORGANISME • RÉUNIR LES INFORMATIONS NÉCESSAIRES À LA PLANIFICATION DE L’ÉTUDE 7
  8. 8. Diagramme Etude du contexte 8
  9. 9. II-2 Expression des besoins de sécurité • OBJECTIFS: • ESTIMATION DES RISQUES ET DÉFINITION DES CRITÈRES DE RISQUES. • PERMET AUX UTILISATEURS DU SYSTÈME D'EXPRIMER LEURS BESOINS EN MATIÈRE DE SÉCURITÉ POUR LES FONCTIONS ET INFORMATIONS QU'ILS MANIPULENT. CES BESOINS DE SÉCURITÉ S'EXPRIMENT SELON DIFFÉRENTS CRITÈRES DE SÉCURITÉ TELS QUE LA DISPONIBILITÉ, L'INTÉGRITÉ ET LA CONFIDENTIALITÉ. L’EXPRESSION DES BESOINS REPOSE SUR L'ÉLABORATION ET L'UTILISATION D'UNE ÉCHELLE DE BESOINS ET LA MISE EN ÉVIDENCE DES IMPACTS INACCEPTABLES POUR L'ORGANISME. • L'ÉTAPE SE DIVISE EN DEUX ACTIVITÉS : • RÉALISATION DES FICHES DE BESOINS : CETTE ACTIVITÉ A POUR BUT DE CRÉER LES TABLEAUX NÉCESSAIRES À L'EXPRESSION DES BESOINS DE SÉCURITÉ PAR LES UTILISATEURS • SYNTHÈSE DES BESOINS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT D'ATTRIBUER À CHAQUE ÉLÉMENT ESSENTIEL DES BESOINS DE SÉCURITÉ. 9
  10. 10. Diagramme Expression des besoins de sécurité 10
  11. 11. II-3 Etudes des risques • OBJECTIFS • DÉTERMINER LES RISQUES QUI DOIVENT ÊTRE COUVERTS PAR LES OBJECTIFS DE SÉCURITÉS DE LA CIBLE DE L’ÉTUDE • SES DIFFÉRENTES ÉTAPES SONT : • ÉTUDE DES ORIGINES DES MENACES : CETTE ACTIVITÉ CORRESPOND À L'IDENTIFICATION DES SOURCES DANS LE PROCESSUS DE GESTION DES RISQUES • ÉTUDE DES VULNÉRABILITÉS : CETTE ACTIVITÉ A POUR OBJET LA DÉTERMINATION DES VULNÉRABILITÉS SPÉCIFIQUES DU SYSTÈME-CIBLE. • FORMALISATION DES MENACES : À L'ISSUE DE CETTE ACTIVITÉ, IL SERA POSSIBLE DE DISPOSER D'UNE VISION OBJECTIVE DES MENACES PESANT SUR LE SYSTÈME-CIBLE 11
  12. 12. II-4 LES RISQUES • ACCIDENTS PHYSIQUES • ÉVÉNEMENTS NATURELS • PERTES DES SERVICES ESSENTIELS • COMPROMISSION DES INFORMATIONS • DÉFAILLANCE TECHNIQUE • AGRESSION PHYSIQUE • FRAUDE • COMPROMISSION DES FONCTIONS • ERREURS 12
  13. 13. II-5 OBJECTIFS DE SÉCURITÉ • CET ÉTAPE CONSISTERA DONC À LA : • CONFRONTATION DES MENACES AUX BESOINS DE SÉCURITÉ : CETTE CONFRONTATION PERMET DE RETENIR ET HIÉRARCHISER LES RISQUES QUI SONT VÉRITABLEMENT SUSCEPTIBLES DE PORTER ATTEINTE AUX ÉLÉMENTS ESSENTIELS • FORMALISATION DES OBJECTIFS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT DE DÉTERMINER LES OBJECTIFS DE SÉCURITÉ PERMETTANT DE COUVRIR LES RISQUES • DÉTERMINATION DES NIVEAUX DE SÉCURITÉ : CETTE ACTIVITÉ SERT À DÉTERMINER LE NIVEAU DE RÉSISTANCE ADÉQUAT POUR LES OBJECTIFS DE SÉCURITÉ. ELLE PERMET ÉGALEMENT DE CHOISIR LE NIVEAU DES EXIGENCES DE SÉCURITÉ D'ASSURANCE. • OBJECTIFS: • EXPRIMER CE QUE DOIT RÉALISER LA CIBLE DE L'ÉTUDE POUR QUE LE SYSTÈME-CIBLE FONCTIONNE DE MANIÈRE SÉCURISÉ. 13
  14. 14. 14
  15. 15. III AVANTAGES • UNE MÉTHODE CLAIRE : ELLE DÉFINIT CLAIREMENT LES ACTEURS, LEURS RÔLES ET LES INTERACTIONS. • UNE DÉMARCHE ADAPTATIVE : LA MÉTHODE EBIOS PEUT ÊTRE ADAPTÉE AU CONTEXTE DE CHACUN ET AJUSTÉE À SES OUTILS ET HABITUDES MÉTHODOLOGIQUES GRÂCE À UNE CERTAINE FLEXIBILITÉ. 15
  16. 16. IV INCONVÉNIENTS • LA MÉTHODE EBIOS NE FOURNIT PAS DE RECOMMANDATIONS NI DE SOLUTIONS IMMÉDIATES AUX PROBLÈMES DE SÉCURITÉ. 16
  17. 17. CONCLUSION 17
  18. 18. ANNEXE • RSSI : RESPONSABLE DE LA SECURITÉ DES SYSTÉMES D’INFORMATION • FEROS: FICHE D’EXPRESSION RATIONNELLE DES OBJECTIFS DE SECURITÉ • SSRS: SYSTEM SPECIFIC SECURITY REQUIREMENT STATEMENT 18
  19. 19. SOURCES • WIKIPEDIA • ANSSI • SSI.GOUV.FR • SECURITE-INFORMATIQUE.GOUV.FR 19

×