1 / 43

La méthode EBIOS E xpression des B esoins et I dentification des O bjectifs de S écurité

Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr. La méthode EBIOS E xpression des B esoins et I dentification des O bjectifs de S écurité. Plan de l’exposé. Introduction à EBIOS

Anita
Télécharger la présentation

La méthode EBIOS E xpression des B esoins et I dentification des O bjectifs de S écurité

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr La méthode EBIOSExpressiondes Besoinset Identificationdes Objectifsde Sécurité

  2. Plan de l’exposé • Introduction à EBIOS • Principes de la méthode EBIOS • Recommandations et Bonnes pratiques • Le logiciel d’assistance à l’évaluation EBIOS • Exemples de cas d’utilisation • Conclusions sur la méthode

  3. Origines d’EBIOS • Part d’une initiative Gouvernementale • Rédigée par la DCSSI • Recommandé/Imposé par la SGDN • Prévenir les risques informatiques • Eviter les pertes financières • Garantir la continuité des activités • Protéger les informations • Protéger contre les attaques • Assurer le respect des lois et règlements

  4. Une méthode… • Modulaire • S’adapte à tout SI quel que soit sa taille • Compétences acquises au fil du temps • Se réalise en 4 étapes + résultat • Détermination et prévention des risques • Détermination des besoins spécifiques • Détection des risques potentiels • Obtention d’un plan d’action • Simplifie les communications inter services • Le plan d’action définit les relations

  5. … pour les entreprises • Toute entreprise possédant/concevant un S.I. • Taux important d’adoption dans le public • CNAM (Assurance Maladie) • France Telecom • GIE Carte Bleue • Ministères (presque tous) • Imposé pour certains traitement • Données classifiées défense • Libre d’utilisation dans les autres cas

  6. … clairement définie … • Mise en œuvre encadrée • Principes généraux de la méthode • Guides des meilleures pratiques • Outil d’aide à la mise en œuvre • Possibilité de contacter un consultant

  7. … avec un vocabulaire uniforme • Bien • ressource ayant une valeur pour l’organisme • Entité • un bien de type organisation, site, personnel, matériel, réseau, logiciel, système • Element essentiel • Information ou fonction ayant un besoin de sécurité non nul • Elément menaçant • Action ou élément ayant des conséquences négatives

  8. Plan de l’exposé • Introduction à EBIOS • Principes de la méthode EBIOS • Recommandations et Bonnes pratiques • Le logiciel d’assistance à l’évaluation EBIOS • Exemples de cas d’utilisation • Conclusions sur la méthode

  9. Les étapes directrices • L’étude du contexte • L’expression des besoins de sécurité • L’étude des menaces • L’expression des objectifs de sécurité • La détermination des exigences de sécurité

  10. La démarche globale

  11. Étape 1 • L’étude du contexte • Objectif : cibler le système d’information • Plusieurs étapes :

  12. Étape 2 • L’expression des besoins de sécurité • Estime les critères de risque • Détermine les critères de risque

  13. Étape 3 • L’étude des menaces • Défini les risques en fonction de l’architecture technique du système d’information

  14. Activité 3.1 – Etude des origines des menaces Pré-requis : 1.2

  15. Activité 3.2 – Étude des vulnérabilités Pré-requis : 1.3 et 3.1

  16. Activité 3.3 – Formalisation des menaces Pré-requis : 3.1 et 3.2

  17. Étape 4 • L’expression des objectifs de sécurité • Mettre en évidence les risques contre lesquels le SI doit être protégé

  18. Activité 4.1 – Confrontation des menaces aux besoins Pré-requis : 1.3, 2.2 et 3.3

  19. Activité 4.2 – Formalisation des objectifs de sécurité Pré-requis : 1.1, 1.2, 2.4 et 4.1

  20. Activité 4.3 – Détermination des niveaux de sécurité Pré-requis : 3.3 et 4.2

  21. Étape 5 • La détermination des exigences de sécurité • Détermine les limites en termes d’exigences de sécurité.

  22. Activité 5.1 – Détermination des exigences de sécurité fonctionnelles Pré-requis : 4.3

  23. Activité 5.2 – Détermination des exigences de sécurité d'assurance Pré-requis : 4.3

  24. Plan de l’exposé • Introduction à EBIOS • Principes de la méthode EBIOS • Recommandations et Bonnes pratiques • Le logiciel d’assistance à l’évaluation EBIOS • Exemples de cas d’utilisation • Conclusions sur la méthode

  25. Exemple de bonnes pratiques • Conception d’un nouveau SI • SI : Ensemble de logiciels, matériels, personnels, locaux • Intérêts de EBIOS: • Plan de travail: conception, validation • Adéquation des ressources aux besoins • Politique de sécurité claire et réaliste

  26. Concevoir un SI • Plan de travail • Étape 1: Étude du contexte • Étude de la politique de sécurité • Basée sur le référentiel de l’organisme • Sous la responsabilité du MO • validée par le plus haut niveau hiérarchique • Étude du système cible (spécifications) • Basée sur le référentiel de l’organisme • Corrigée lorsque les spécifications évoluent • Sous la responsabilité du MO

  27. Concevoir un SI • Étape 2: Expression des besoins de sécurité • Rédaction et synthèse des besoins • Basée sur l’étude de l’étape 1 • En partenariat entre MO, décideurs et utilisateurs • Étape 3: Étude des menaces • Étude des menaces particulières • Sous la responsabilité du MO • Validée par le plus haut niveau hiérarchique • Étude des vulnérabilités • Corrigée lorsque les spécifications évoluent

  28. Concevoir un SI • Étape 4: Identification des objectifs • Confrontation des menaces aux besoins • Formulation et hiérarchisation des risques • Sous la responsabilité de la MO • Étape 5: Détermination des exigences • Détermination des exigences fonctionnelles • Responsabilités, mesures • Qualité de la sécurité (par domaine précis) • Par la MOE

  29. Plan de l’exposé • Introduction à EBIOS • Principes de la méthode EBIOS • Recommandations et Bonnes pratiques • Le logiciel d’assistance à l’évaluation EBIOS • Exemples de cas d’utilisation • Conclusions sur la méthode

  30. Le logiciel EBIOS • Distribué sous Licence GNU GPL • Code source pas encore rendu public • Multi-plateformes • Linux, Windows, Solaris… • Assister les utilisateurs d’EBIOS • Stocke les contextes, risques, besoins • Donne accès à une base de connaissances • Risques courants • Attaques courantes • Risques fréquents

  31. Interface principale

  32. Etudier le contexte [Etape 1] • Audit et étude du contexte : • Création de questionnaires : • Connaitre l’entreprise et son SI

  33. Exprimer les besoins [Etape 2] • Expression des besoins • Identifier les besoins de sécurité de chacun des éléments essentiels

  34. Identifier les risques [Etape 3] • Identification des menaces • Décrire les différentes menaces auxquelles la cible peut être confrontée

  35. Identifier les objectifs [Etape 4] • Identification des objectifs de sécurité • déterminer la possibilité pour les menaces identifiées d'affecter réellement les éléments essentiels et d'impacter l'organisme

  36. Déterminer les exigences [Etape 5] • Détermination des exigences de sécurités • vérifier la bonne couverture des objectifs de sécurité.

  37. Plan de l’exposé • Introduction à EBIOS • Principes de la méthode EBIOS • Recommandations et Bonnes pratiques • Le logiciel d’assistance à l’évaluation EBIOS • Exemples de cas d’utilisation • Conclusions sur la méthode

  38. Exemple de cas d’utilisation • Contexte • L’organisme : PME, douzaine d’employés • Stratégie : • Utilisation de nouvelles technologies • Consolidation de l’image de marque

  39. Plan de l’exposé • Introduction à EBIOS • Principes de la méthode EBIOS • Recommandations et Bonnes pratiques • Le logiciel d’assistance à l’évaluation EBIOS • Exemples de cas d’utilisation • Conclusions sur la méthode

  40. Conslusions [1] • Avantages d’EBIOS • Solution complète par étapes • Définit clairement • Acteurs, Rôles • Interactions • Vocabulaire • Logiciel d’assistance à la mise en œuvre • Base de connaissance intégrée • Eprouvée par la DGA

  41. Conclusions [2] • Inconvénients d’EBIOS • Pas de recommandations sécuritaires • Pas de méthode d’audit/évaluation • Validation interne • Oublis potentiels • Risque d’évaluation incorrecte des risques • Vocabulaire légèrement différent • EBIOS ne peut être utilisé seul

  42. Conclusions [3] • Pistes complémentaires • Possibilité de faire appel à un prestataire • Alcatel CIT • Thales Security Systems • Utilisation avec des recommandations externes • ISO 27002 • OWASP… • Audit externe par société de sécurité • Permet de garantir la fiabilité des résultats

  43. Bibliographie • Sources • http://www.securiteinfo.com/conseils/ebios.shtml • http://cyberzoide.developpez.com/securite/methodes-analyse-risques/ • http://www.mag-securs.com/spip.php?article4710 • http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html

More Related