1. EBIOS
EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS
DE SÉCURITÉ
Etudiants: Landry
Kientega
Belly Ndiaye
Professeur: Youssef
Khlil
1
2. PLAN
INTRODUCTION
I. PRÉSENTATION D’EBIOS
II. DÉMARCHE D’EBIOS
1) ETUDE DU CONTEXTE
2) EXPRESSION DES BESOINS DE SÉCURITÉ
3) ETUDES DES RISQUES
4) OBJECTIFS DE SÉCURITÉ
III. AVANTAGES
IV. INCONVÉNIENTS
V. PRÉSENTATION DU LOGICIEL
CONCLUSION
ANNEXES
SOURCES
2
3. INTRODUCTION
NOUS ASSISTONS DE PLUS EN PLUS À LA CRÉATION DE SYSTÈMES
D’INFORMATIONS. CHAQUE SYSTÈME D’INFORMATION GÈRE UNE GRANDE
QUANTITÉ DE DONNÉES DONT CERTAINES PEUVENT ÊTRE CONFIDENTIELLES ET
RÉSERVÉE À UN USAGE RESTREINT. CECI IMPLIQUE DE TROUVER UN
MOYEN FIABLE AFIN DE SÉCURISER CES DONNÉES.
CHAQUE SYSTÈME OBÉIT À DES OBJECTIFS ET DES EXIGENCES SPÉCIFIQUES.
C’EST AINSI QUE LA MÉTHODE EBIOS PERMET D’ASSURER UNE MEILLEUR
PROTECTION DU SYSTÈME AFIN D’ADAPTER CHAQUE EXIGENCE À SON CONTEXTE.
EBIOS EST UNE MÉTHODE ÉPROUVÉE UTILISÉE PAR PLUSIEURS GRANDS GROUPES.
3
4. I PRÉSENTATION D’EBIOS
• LA MÉTHODE DE L’ EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE
SÉCURITÉ (EBIOS) CRÉÉE EN 1995 EST UNE MÉTHODE D'ÉVALUATION DES RISQUES
EN INFORMATIQUE, DÉVELOPPÉE PAR L'AGENCE NATIONALE DE LA SÉCURITÉ DES
SYSTÈMES D'INFORMATION (ANSSI).
• ELLE PERMET:
D'APPRÉCIER LES RISQUES SÉCURITÉ DES SYSTÈMES D'INFORMATION (ENTITÉS ET
VULNÉRABILITÉS, MÉTHODES D’ATTAQUES ET ÉLÉMENTS MENAÇANTS, ÉLÉMENTS
ESSENTIELS ET BESOINS DE SÉCURITÉ...),
DE CONTRIBUER À LEUR TRAITEMENT EN SPÉCIFIANT LES EXIGENCES DE SÉCURITÉ À
METTRE EN PLACE, DE PRÉPARER L'ENSEMBLE DU DOSSIER DE SÉCURITÉ NÉCESSAIRE À
L'ACCEPTATION DES RISQUES
DE FOURNIR LES ÉLÉMENTS UTILES À LA COMMUNICATION RELATIVE AUX RISQUES. ELLE
EST COMPATIBLE AVEC LES NORMES ISO 13335 (GMITS), ISO 15408 (CRITÈRES COMMUNS)
ET ISO 17799.
4
7. II-1 Etude du contexte
• L’ÉTUDE DU CONTEXTE SE DÉROULE EN TROIS PRINCIPALES ÉTAPES:
• L’ÉTUDE DE L’ORGANISME
• L’ÉTUDE DU SYSTÈME CIBLE
• LA DÉTERMINATION LA CIBLE DE L’ÉTUDE
• OBJECTIFS
• PRISE DE CONNAISSANCE DU DOMAINE À ÉTUDIER
• PRÉCISER LES ENJEUX DU SYSTÈME POUR L’ORGANISME
• RÉUNIR LES INFORMATIONS NÉCESSAIRES À LA PLANIFICATION DE L’ÉTUDE
7
9. II-2 Expression des besoins de sécurité
• OBJECTIFS:
• ESTIMATION DES RISQUES ET DÉFINITION DES CRITÈRES DE RISQUES.
• PERMET AUX UTILISATEURS DU SYSTÈME D'EXPRIMER LEURS BESOINS EN MATIÈRE DE SÉCURITÉ POUR
LES FONCTIONS ET INFORMATIONS QU'ILS MANIPULENT. CES BESOINS DE SÉCURITÉ S'EXPRIMENT
SELON DIFFÉRENTS CRITÈRES DE SÉCURITÉ TELS QUE LA DISPONIBILITÉ, L'INTÉGRITÉ ET LA
CONFIDENTIALITÉ. L’EXPRESSION DES BESOINS REPOSE SUR L'ÉLABORATION ET L'UTILISATION D'UNE
ÉCHELLE DE BESOINS ET LA MISE EN ÉVIDENCE DES IMPACTS INACCEPTABLES POUR L'ORGANISME.
• L'ÉTAPE SE DIVISE EN DEUX ACTIVITÉS :
• RÉALISATION DES FICHES DE BESOINS : CETTE ACTIVITÉ A POUR BUT DE CRÉER LES TABLEAUX NÉCESSAIRES À
L'EXPRESSION DES BESOINS DE SÉCURITÉ PAR LES UTILISATEURS
• SYNTHÈSE DES BESOINS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT D'ATTRIBUER À CHAQUE ÉLÉMENT
ESSENTIEL DES BESOINS DE SÉCURITÉ.
9
11. II-3 Etudes des risques
• OBJECTIFS
• DÉTERMINER LES RISQUES QUI DOIVENT ÊTRE COUVERTS PAR LES OBJECTIFS DE SÉCURITÉS DE
LA CIBLE DE L’ÉTUDE
• SES DIFFÉRENTES ÉTAPES SONT :
• ÉTUDE DES ORIGINES DES MENACES : CETTE ACTIVITÉ CORRESPOND À
L'IDENTIFICATION DES SOURCES DANS LE PROCESSUS DE GESTION DES RISQUES
• ÉTUDE DES VULNÉRABILITÉS : CETTE ACTIVITÉ A POUR OBJET LA DÉTERMINATION DES
VULNÉRABILITÉS SPÉCIFIQUES DU SYSTÈME-CIBLE.
• FORMALISATION DES MENACES : À L'ISSUE DE CETTE ACTIVITÉ, IL SERA POSSIBLE DE
DISPOSER D'UNE VISION OBJECTIVE DES MENACES PESANT SUR LE SYSTÈME-CIBLE
11
12. II-4 LES RISQUES
• ACCIDENTS PHYSIQUES
• ÉVÉNEMENTS NATURELS
• PERTES DES SERVICES ESSENTIELS
• COMPROMISSION DES INFORMATIONS
• DÉFAILLANCE TECHNIQUE
• AGRESSION PHYSIQUE
• FRAUDE
• COMPROMISSION DES FONCTIONS
• ERREURS
12
13. II-5 OBJECTIFS DE SÉCURITÉ
• CET ÉTAPE CONSISTERA DONC À LA :
• CONFRONTATION DES MENACES AUX BESOINS DE SÉCURITÉ : CETTE CONFRONTATION PERMET DE
RETENIR ET HIÉRARCHISER LES RISQUES QUI SONT VÉRITABLEMENT SUSCEPTIBLES DE PORTER
ATTEINTE AUX ÉLÉMENTS ESSENTIELS
• FORMALISATION DES OBJECTIFS DE SÉCURITÉ : CETTE ACTIVITÉ A POUR BUT DE DÉTERMINER LES
OBJECTIFS DE SÉCURITÉ PERMETTANT DE COUVRIR LES RISQUES
• DÉTERMINATION DES NIVEAUX DE SÉCURITÉ : CETTE ACTIVITÉ SERT À DÉTERMINER LE NIVEAU DE
RÉSISTANCE ADÉQUAT POUR LES OBJECTIFS DE SÉCURITÉ. ELLE PERMET ÉGALEMENT DE CHOISIR LE
NIVEAU DES EXIGENCES DE SÉCURITÉ D'ASSURANCE.
• OBJECTIFS:
• EXPRIMER CE QUE DOIT RÉALISER LA CIBLE DE L'ÉTUDE POUR QUE LE SYSTÈME-CIBLE FONCTIONNE DE
MANIÈRE SÉCURISÉ.
13
15. III AVANTAGES
• UNE MÉTHODE CLAIRE : ELLE DÉFINIT CLAIREMENT LES ACTEURS, LEURS RÔLES
ET LES INTERACTIONS.
• UNE DÉMARCHE ADAPTATIVE : LA MÉTHODE EBIOS PEUT ÊTRE ADAPTÉE AU
CONTEXTE DE CHACUN ET AJUSTÉE À SES OUTILS ET HABITUDES
MÉTHODOLOGIQUES GRÂCE À UNE CERTAINE FLEXIBILITÉ.
15
16. IV INCONVÉNIENTS
• LA MÉTHODE EBIOS NE FOURNIT PAS DE RECOMMANDATIONS NI DE SOLUTIONS
IMMÉDIATES AUX PROBLÈMES DE SÉCURITÉ.
16
18. ANNEXE
• RSSI : RESPONSABLE DE LA SECURITÉ DES SYSTÉMES D’INFORMATION
• FEROS: FICHE D’EXPRESSION RATIONNELLE DES OBJECTIFS DE SECURITÉ
• SSRS: SYSTEM SPECIFIC SECURITY REQUIREMENT STATEMENT
18