SlideShare ist ein Scribd-Unternehmen logo

Ebios

Als PPTX, PDF herunterladen
L
Landry Kientega
1 von 19
EBIOS EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ Etudiants: Landry Kientega Belly Ndiaye Professeur: Youssef Khlil 1
PLAN INTRODUCTION I. PRÉSENTATION D’EBIOS II. DÉMARCHE D’EBIOS 1) ETUDE DU CONTEXTE 2) EXPRESSION DES BESOINS DE SÉCURITÉ 3) ETUDES DES RISQUES 4) OBJECTIFS DE SÉCURITÉ III. AVANTAGES IV. INCONVÉNIENTS V. PRÉSENTATION DU LOGICIEL CONCLUSION ANNEXES SOURCES 2
INTRODUCTION NOUS ASSISTONS DE PLUS EN PLUS À LA CRÉATION DE SYSTÈMES D’INFORMATIONS. CHAQUE SYSTÈME D’INFORMATION GÈRE UNE GRANDE QUANTITÉ DE DONNÉES DONT CERTAINES PEUVENT ÊTRE CONFIDENTIELLES ET RÉSERVÉE À UN USAGE RESTREINT. CECI IMPLIQUE DE TROUVER UN MOYEN FIABLE AFIN DE SÉCURISER CES DONNÉES. CHAQUE SYSTÈME OBÉIT À DES OBJECTIFS ET DES EXIGENCES SPÉCIFIQUES. C’EST AINSI QUE LA MÉTHODE EBIOS PERMET D’ASSURER UNE MEILLEUR PROTECTION DU SYSTÈME AFIN D’ADAPTER CHAQUE EXIGENCE À SON CONTEXTE. EBIOS EST UNE MÉTHODE ÉPROUVÉE UTILISÉE PAR PLUSIEURS GRANDS GROUPES. 3
I PRÉSENTATION D’EBIOS • LA MÉTHODE DE L’ EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ (EBIOS) CRÉÉE EN 1995 EST UNE MÉTHODE D'ÉVALUATION DES RISQUES EN INFORMATIQUE, DÉVELOPPÉE PAR L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI). • ELLE PERMET:  D'APPRÉCIER LES RISQUES SÉCURITÉ DES SYSTÈMES D'INFORMATION (ENTITÉS ET VULNÉRABILITÉS, MÉTHODES D’ATTAQUES ET ÉLÉMENTS MENAÇANTS, ÉLÉMENTS ESSENTIELS ET BESOINS DE SÉCURITÉ...),  DE CONTRIBUER À LEUR TRAITEMENT EN SPÉCIFIANT LES EXIGENCES DE SÉCURITÉ À METTRE EN PLACE, DE PRÉPARER L'ENSEMBLE DU DOSSIER DE SÉCURITÉ NÉCESSAIRE À L'ACCEPTATION DES RISQUES  DE FOURNIR LES ÉLÉMENTS UTILES À LA COMMUNICATION RELATIVE AUX RISQUES. ELLE EST COMPATIBLE AVEC LES NORMES ISO 13335 (GMITS), ISO 15408 (CRITÈRES COMMUNS) ET ISO 17799. 4
5
Démarche d’ebios 6
II-1 Etude du contexte • L’ÉTUDE DU CONTEXTE SE DÉROULE EN TROIS PRINCIPALES ÉTAPES: • L’ÉTUDE DE L’ORGANISME • L’ÉTUDE DU SYSTÈME CIBLE • LA DÉTERMINATION LA CIBLE DE L’ÉTUDE • OBJECTIFS • PRISE DE CONNAISSANCE DU DOMAINE À ÉTUDIER • PRÉCISER LES ENJEUX DU SYSTÈME POUR L’ORGANISME • RÉUNIR LES INFORMATIONS NÉCESSAIRES À LA PLANIFICATION DE L’ÉTUDE 7
Diagramme Etude du contexte 8
II-2 Expression des besoins de sécurité • OBJECTIFS: • ESTIMATION DES RISQUES ET DÉFINITION DES CRITÈRES DE RISQUES. • PERMET AUX UTILISATEURS DU SYSTÈME D'EXPRIMER LEURS BESOINS EN MATIÈRE DE SÉCURITÉ POUR LES FONCTIONS ET INFORMATIONS QU'ILS MANIPULENT. CES BESOINS DE SÉCURITÉ S'EXPRIMENT SELON DIFFÉRENTS CRITÈRES DE SÉCURITÉ TELS QUE LA DISPONIBILITÉ, L'INTÉGRITÉ ET LA CONFIDENTIALITÉ. L’EXPRESSION DES BESOINS REPOSE SUR L'ÉLABORATION ET L'UTILISATION D'UNE ÉCHELLE DE BESOINS ET LA MISE EN ÉVIDENCE DES IMPACTS INACCEPTABLES POUR L'ORGANISME. • L'ÉTAPE SE DIVISE EN DEUX ACTIVITÉS : • RÉALISATION DES FICHES DE BESOINS : CETTE ACTIVITÉ A POUR BUT DE CRÉER LES TABLEAUX NÉCESSAIRES À L'EXPRESSION DES BESOINS DE SÉCURITÉ PAR LES UTILISATEURS • SYNTHÈSE DES BESOINS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT D'ATTRIBUER À CHAQUE ÉLÉMENT ESSENTIEL DES BESOINS DE SÉCURITÉ. 9
Diagramme Expression des besoins de sécurité 10
II-3 Etudes des risques • OBJECTIFS • DÉTERMINER LES RISQUES QUI DOIVENT ÊTRE COUVERTS PAR LES OBJECTIFS DE SÉCURITÉS DE LA CIBLE DE L’ÉTUDE • SES DIFFÉRENTES ÉTAPES SONT : • ÉTUDE DES ORIGINES DES MENACES : CETTE ACTIVITÉ CORRESPOND À L'IDENTIFICATION DES SOURCES DANS LE PROCESSUS DE GESTION DES RISQUES • ÉTUDE DES VULNÉRABILITÉS : CETTE ACTIVITÉ A POUR OBJET LA DÉTERMINATION DES VULNÉRABILITÉS SPÉCIFIQUES DU SYSTÈME-CIBLE. • FORMALISATION DES MENACES : À L'ISSUE DE CETTE ACTIVITÉ, IL SERA POSSIBLE DE DISPOSER D'UNE VISION OBJECTIVE DES MENACES PESANT SUR LE SYSTÈME-CIBLE 11
II-4 LES RISQUES • ACCIDENTS PHYSIQUES • ÉVÉNEMENTS NATURELS • PERTES DES SERVICES ESSENTIELS • COMPROMISSION DES INFORMATIONS • DÉFAILLANCE TECHNIQUE • AGRESSION PHYSIQUE • FRAUDE • COMPROMISSION DES FONCTIONS • ERREURS 12
II-5 OBJECTIFS DE SÉCURITÉ • CET ÉTAPE CONSISTERA DONC À LA : • CONFRONTATION DES MENACES AUX BESOINS DE SÉCURITÉ : CETTE CONFRONTATION PERMET DE RETENIR ET HIÉRARCHISER LES RISQUES QUI SONT VÉRITABLEMENT SUSCEPTIBLES DE PORTER ATTEINTE AUX ÉLÉMENTS ESSENTIELS • FORMALISATION DES OBJECTIFS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT DE DÉTERMINER LES OBJECTIFS DE SÉCURITÉ PERMETTANT DE COUVRIR LES RISQUES • DÉTERMINATION DES NIVEAUX DE SÉCURITÉ : CETTE ACTIVITÉ SERT À DÉTERMINER LE NIVEAU DE RÉSISTANCE ADÉQUAT POUR LES OBJECTIFS DE SÉCURITÉ. ELLE PERMET ÉGALEMENT DE CHOISIR LE NIVEAU DES EXIGENCES DE SÉCURITÉ D'ASSURANCE. • OBJECTIFS: • EXPRIMER CE QUE DOIT RÉALISER LA CIBLE DE L'ÉTUDE POUR QUE LE SYSTÈME-CIBLE FONCTIONNE DE MANIÈRE SÉCURISÉ. 13
14
III AVANTAGES • UNE MÉTHODE CLAIRE : ELLE DÉFINIT CLAIREMENT LES ACTEURS, LEURS RÔLES ET LES INTERACTIONS. • UNE DÉMARCHE ADAPTATIVE : LA MÉTHODE EBIOS PEUT ÊTRE ADAPTÉE AU CONTEXTE DE CHACUN ET AJUSTÉE À SES OUTILS ET HABITUDES MÉTHODOLOGIQUES GRÂCE À UNE CERTAINE FLEXIBILITÉ. 15
IV INCONVÉNIENTS • LA MÉTHODE EBIOS NE FOURNIT PAS DE RECOMMANDATIONS NI DE SOLUTIONS IMMÉDIATES AUX PROBLÈMES DE SÉCURITÉ. 16
CONCLUSION 17
ANNEXE • RSSI : RESPONSABLE DE LA SECURITÉ DES SYSTÉMES D’INFORMATION • FEROS: FICHE D’EXPRESSION RATIONNELLE DES OBJECTIFS DE SECURITÉ • SSRS: SYSTEM SPECIFIC SECURITY REQUIREMENT STATEMENT 18
SOURCES • WIKIPEDIA • ANSSI • SSI.GOUV.FR • SECURITE-INFORMATIQUE.GOUV.FR 19

Empfohlen

EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Ebios
EbiosEbios
Ebios
kilojolid
 
Mehari
MehariMehari
Mehari
Houda Elmoutaoukil
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
Mehari
MehariMehari
Mehari
Imane ABOU EL MARAI
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 

Empfohlen

EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Ebios
EbiosEbios
Ebios
kilojolid
 
Mehari
MehariMehari
Mehari
Houda Elmoutaoukil
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
Mehari
MehariMehari
Mehari
Imane ABOU EL MARAI
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
dazaiazouze
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
Youssef Bensafi
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
Arsène Ngato
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
AmorFranois
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
ISACA Chapitre de Québec
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Questões sobre abdome agudo na infância
Questões sobre abdome agudo na infânciaQuestões sobre abdome agudo na infância
Questões sobre abdome agudo na infância
Professor Robson
 
Fo03 wenger de
Fo03 wenger deFo03 wenger de
Fo03 wenger de
Jugend und Medien
 

Weitere ähnliche Inhalte

Was ist angesagt?

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 

Was ist angesagt? (20)

Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 

Andere mochten auch

Baclofen: RTU in Frankreich – Schweigen in Deutschland
Baclofen: RTU in Frankreich – Schweigen in DeutschlandBaclofen: RTU in Frankreich – Schweigen in Deutschland
Baclofen: RTU in Frankreich – Schweigen in Deutschland
Friedrich Kreuzeder
 
Toute une vie... Prévoir, aider, transmettre dans une société de longue vie
Toute une vie... Prévoir, aider, transmettre dans une société de longue vie Toute une vie... Prévoir, aider, transmettre dans une société de longue vie
Toute une vie... Prévoir, aider, transmettre dans une société de longue vie
BPCE
 
Caso clínico intussuscepção intestinal
Caso clínico intussuscepção intestinalCaso clínico intussuscepção intestinal
Caso clínico intussuscepção intestinal
Vera Gonzaga
 
Quels réseaux sociaux BtoC pour quelle activité?
Quels réseaux sociaux BtoC pour quelle activité?Quels réseaux sociaux BtoC pour quelle activité?
Quels réseaux sociaux BtoC pour quelle activité?
WSI France
 
Obstruccion intestinal Cirugía
Obstruccion intestinal CirugíaObstruccion intestinal Cirugía
Obstruccion intestinal Cirugía
Ale Symons
 
Lavagem intestinal
Lavagem intestinalLavagem intestinal
Lavagem intestinal
Laís Lucas
 
Hemorragia Digestiva Baja
Hemorragia Digestiva BajaHemorragia Digestiva Baja
Hemorragia Digestiva Baja
Maria Abril
 
Clase 5 a semiologia obstruccion intestinal
Clase 5 a semiologia obstruccion intestinalClase 5 a semiologia obstruccion intestinal
Clase 5 a semiologia obstruccion intestinal
Anchi Hsu XD
 
05 procesos de conformado
05 procesos de conformado05 procesos de conformado
05 procesos de conformado
vsanchezsoto
 

Andere mochten auch (20)

Questões sobre abdome agudo na infância
Questões sobre abdome agudo na infânciaQuestões sobre abdome agudo na infância
Questões sobre abdome agudo na infância
 
Fo03 wenger de
Fo03 wenger deFo03 wenger de
Fo03 wenger de
 
Die Macht der Blogs
Die Macht der BlogsDie Macht der Blogs
Die Macht der Blogs
 
BILAN CARBONE ECOLUTIS
BILAN CARBONE ECOLUTISBILAN CARBONE ECOLUTIS
BILAN CARBONE ECOLUTIS
 
Baclofen: RTU in Frankreich – Schweigen in Deutschland
Baclofen: RTU in Frankreich – Schweigen in DeutschlandBaclofen: RTU in Frankreich – Schweigen in Deutschland
Baclofen: RTU in Frankreich – Schweigen in Deutschland
 
Toute une vie... Prévoir, aider, transmettre dans une société de longue vie
Toute une vie... Prévoir, aider, transmettre dans une société de longue vie Toute une vie... Prévoir, aider, transmettre dans une société de longue vie
Toute une vie... Prévoir, aider, transmettre dans une société de longue vie
 
Caso clínico intussuscepção intestinal
Caso clínico intussuscepção intestinalCaso clínico intussuscepção intestinal
Caso clínico intussuscepção intestinal
 
Quels réseaux sociaux BtoC pour quelle activité?
Quels réseaux sociaux BtoC pour quelle activité?Quels réseaux sociaux BtoC pour quelle activité?
Quels réseaux sociaux BtoC pour quelle activité?
 
Mémoire maîtrise soutenu par chabi boum
Mémoire maîtrise soutenu par chabi boumMémoire maîtrise soutenu par chabi boum
Mémoire maîtrise soutenu par chabi boum
 
Mal rotação intestinal
Mal rotação intestinalMal rotação intestinal
Mal rotação intestinal
 
Manejo do Ecossistema Intestinal no Controle da Enterite Necrótica - Fabiano...
Manejo do Ecossistema Intestinal no Controle da Enterite Necrótica - Fabiano...Manejo do Ecossistema Intestinal no Controle da Enterite Necrótica - Fabiano...
Manejo do Ecossistema Intestinal no Controle da Enterite Necrótica - Fabiano...
 
Constipação intestinal
Constipação intestinalConstipação intestinal
Constipação intestinal
 
Malformações gastrointestinais no recém-nascido
Malformações gastrointestinais no recém-nascidoMalformações gastrointestinais no recém-nascido
Malformações gastrointestinais no recém-nascido
 
Obstruccion intestinal Cirugía
Obstruccion intestinal CirugíaObstruccion intestinal Cirugía
Obstruccion intestinal Cirugía
 
Auscultacion
AuscultacionAuscultacion
Auscultacion
 
Lavagem intestinal
Lavagem intestinalLavagem intestinal
Lavagem intestinal
 
Hemorragia Digestiva Baja
Hemorragia Digestiva BajaHemorragia Digestiva Baja
Hemorragia Digestiva Baja
 
Clase 5 a semiologia obstruccion intestinal
Clase 5 a semiologia obstruccion intestinalClase 5 a semiologia obstruccion intestinal
Clase 5 a semiologia obstruccion intestinal
 
05 procesos de conformado
05 procesos de conformado05 procesos de conformado
05 procesos de conformado
 
Radiologia do abdome
Radiologia do abdomeRadiologia do abdome
Radiologia do abdome
 

Ähnlich wie Ebios

resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
PMI-Montréal
 

Ähnlich wie Ebios (20)

Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 

Ebios

  • 1. EBIOS EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ Etudiants: Landry Kientega Belly Ndiaye Professeur: Youssef Khlil 1
  • 2. PLAN INTRODUCTION I. PRÉSENTATION D’EBIOS II. DÉMARCHE D’EBIOS 1) ETUDE DU CONTEXTE 2) EXPRESSION DES BESOINS DE SÉCURITÉ 3) ETUDES DES RISQUES 4) OBJECTIFS DE SÉCURITÉ III. AVANTAGES IV. INCONVÉNIENTS V. PRÉSENTATION DU LOGICIEL CONCLUSION ANNEXES SOURCES 2
  • 3. INTRODUCTION NOUS ASSISTONS DE PLUS EN PLUS À LA CRÉATION DE SYSTÈMES D’INFORMATIONS. CHAQUE SYSTÈME D’INFORMATION GÈRE UNE GRANDE QUANTITÉ DE DONNÉES DONT CERTAINES PEUVENT ÊTRE CONFIDENTIELLES ET RÉSERVÉE À UN USAGE RESTREINT. CECI IMPLIQUE DE TROUVER UN MOYEN FIABLE AFIN DE SÉCURISER CES DONNÉES. CHAQUE SYSTÈME OBÉIT À DES OBJECTIFS ET DES EXIGENCES SPÉCIFIQUES. C’EST AINSI QUE LA MÉTHODE EBIOS PERMET D’ASSURER UNE MEILLEUR PROTECTION DU SYSTÈME AFIN D’ADAPTER CHAQUE EXIGENCE À SON CONTEXTE. EBIOS EST UNE MÉTHODE ÉPROUVÉE UTILISÉE PAR PLUSIEURS GRANDS GROUPES. 3
  • 4. I PRÉSENTATION D’EBIOS • LA MÉTHODE DE L’ EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ (EBIOS) CRÉÉE EN 1995 EST UNE MÉTHODE D'ÉVALUATION DES RISQUES EN INFORMATIQUE, DÉVELOPPÉE PAR L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI). • ELLE PERMET:  D'APPRÉCIER LES RISQUES SÉCURITÉ DES SYSTÈMES D'INFORMATION (ENTITÉS ET VULNÉRABILITÉS, MÉTHODES D’ATTAQUES ET ÉLÉMENTS MENAÇANTS, ÉLÉMENTS ESSENTIELS ET BESOINS DE SÉCURITÉ...),  DE CONTRIBUER À LEUR TRAITEMENT EN SPÉCIFIANT LES EXIGENCES DE SÉCURITÉ À METTRE EN PLACE, DE PRÉPARER L'ENSEMBLE DU DOSSIER DE SÉCURITÉ NÉCESSAIRE À L'ACCEPTATION DES RISQUES  DE FOURNIR LES ÉLÉMENTS UTILES À LA COMMUNICATION RELATIVE AUX RISQUES. ELLE EST COMPATIBLE AVEC LES NORMES ISO 13335 (GMITS), ISO 15408 (CRITÈRES COMMUNS) ET ISO 17799. 4
  • 5. 5
  • 7. II-1 Etude du contexte • L’ÉTUDE DU CONTEXTE SE DÉROULE EN TROIS PRINCIPALES ÉTAPES: • L’ÉTUDE DE L’ORGANISME • L’ÉTUDE DU SYSTÈME CIBLE • LA DÉTERMINATION LA CIBLE DE L’ÉTUDE • OBJECTIFS • PRISE DE CONNAISSANCE DU DOMAINE À ÉTUDIER • PRÉCISER LES ENJEUX DU SYSTÈME POUR L’ORGANISME • RÉUNIR LES INFORMATIONS NÉCESSAIRES À LA PLANIFICATION DE L’ÉTUDE 7
  • 9. II-2 Expression des besoins de sécurité • OBJECTIFS: • ESTIMATION DES RISQUES ET DÉFINITION DES CRITÈRES DE RISQUES. • PERMET AUX UTILISATEURS DU SYSTÈME D'EXPRIMER LEURS BESOINS EN MATIÈRE DE SÉCURITÉ POUR LES FONCTIONS ET INFORMATIONS QU'ILS MANIPULENT. CES BESOINS DE SÉCURITÉ S'EXPRIMENT SELON DIFFÉRENTS CRITÈRES DE SÉCURITÉ TELS QUE LA DISPONIBILITÉ, L'INTÉGRITÉ ET LA CONFIDENTIALITÉ. L’EXPRESSION DES BESOINS REPOSE SUR L'ÉLABORATION ET L'UTILISATION D'UNE ÉCHELLE DE BESOINS ET LA MISE EN ÉVIDENCE DES IMPACTS INACCEPTABLES POUR L'ORGANISME. • L'ÉTAPE SE DIVISE EN DEUX ACTIVITÉS : • RÉALISATION DES FICHES DE BESOINS : CETTE ACTIVITÉ A POUR BUT DE CRÉER LES TABLEAUX NÉCESSAIRES À L'EXPRESSION DES BESOINS DE SÉCURITÉ PAR LES UTILISATEURS • SYNTHÈSE DES BESOINS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT D'ATTRIBUER À CHAQUE ÉLÉMENT ESSENTIEL DES BESOINS DE SÉCURITÉ. 9
  • 11. II-3 Etudes des risques • OBJECTIFS • DÉTERMINER LES RISQUES QUI DOIVENT ÊTRE COUVERTS PAR LES OBJECTIFS DE SÉCURITÉS DE LA CIBLE DE L’ÉTUDE • SES DIFFÉRENTES ÉTAPES SONT : • ÉTUDE DES ORIGINES DES MENACES : CETTE ACTIVITÉ CORRESPOND À L'IDENTIFICATION DES SOURCES DANS LE PROCESSUS DE GESTION DES RISQUES • ÉTUDE DES VULNÉRABILITÉS : CETTE ACTIVITÉ A POUR OBJET LA DÉTERMINATION DES VULNÉRABILITÉS SPÉCIFIQUES DU SYSTÈME-CIBLE. • FORMALISATION DES MENACES : À L'ISSUE DE CETTE ACTIVITÉ, IL SERA POSSIBLE DE DISPOSER D'UNE VISION OBJECTIVE DES MENACES PESANT SUR LE SYSTÈME-CIBLE 11
  • 12. II-4 LES RISQUES • ACCIDENTS PHYSIQUES • ÉVÉNEMENTS NATURELS • PERTES DES SERVICES ESSENTIELS • COMPROMISSION DES INFORMATIONS • DÉFAILLANCE TECHNIQUE • AGRESSION PHYSIQUE • FRAUDE • COMPROMISSION DES FONCTIONS • ERREURS 12
  • 13. II-5 OBJECTIFS DE SÉCURITÉ • CET ÉTAPE CONSISTERA DONC À LA : • CONFRONTATION DES MENACES AUX BESOINS DE SÉCURITÉ : CETTE CONFRONTATION PERMET DE RETENIR ET HIÉRARCHISER LES RISQUES QUI SONT VÉRITABLEMENT SUSCEPTIBLES DE PORTER ATTEINTE AUX ÉLÉMENTS ESSENTIELS • FORMALISATION DES OBJECTIFS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT DE DÉTERMINER LES OBJECTIFS DE SÉCURITÉ PERMETTANT DE COUVRIR LES RISQUES • DÉTERMINATION DES NIVEAUX DE SÉCURITÉ : CETTE ACTIVITÉ SERT À DÉTERMINER LE NIVEAU DE RÉSISTANCE ADÉQUAT POUR LES OBJECTIFS DE SÉCURITÉ. ELLE PERMET ÉGALEMENT DE CHOISIR LE NIVEAU DES EXIGENCES DE SÉCURITÉ D'ASSURANCE. • OBJECTIFS: • EXPRIMER CE QUE DOIT RÉALISER LA CIBLE DE L'ÉTUDE POUR QUE LE SYSTÈME-CIBLE FONCTIONNE DE MANIÈRE SÉCURISÉ. 13
  • 14. 14
  • 15. III AVANTAGES • UNE MÉTHODE CLAIRE : ELLE DÉFINIT CLAIREMENT LES ACTEURS, LEURS RÔLES ET LES INTERACTIONS. • UNE DÉMARCHE ADAPTATIVE : LA MÉTHODE EBIOS PEUT ÊTRE ADAPTÉE AU CONTEXTE DE CHACUN ET AJUSTÉE À SES OUTILS ET HABITUDES MÉTHODOLOGIQUES GRÂCE À UNE CERTAINE FLEXIBILITÉ. 15
  • 16. IV INCONVÉNIENTS • LA MÉTHODE EBIOS NE FOURNIT PAS DE RECOMMANDATIONS NI DE SOLUTIONS IMMÉDIATES AUX PROBLÈMES DE SÉCURITÉ. 16
  • 18. ANNEXE • RSSI : RESPONSABLE DE LA SECURITÉ DES SYSTÉMES D’INFORMATION • FEROS: FICHE D’EXPRESSION RATIONNELLE DES OBJECTIFS DE SECURITÉ • SSRS: SYSTEM SPECIFIC SECURITY REQUIREMENT STATEMENT 18
  • 19. SOURCES • WIKIPEDIA • ANSSI • SSI.GOUV.FR • SECURITE-INFORMATIQUE.GOUV.FR 19