EBIOS / Gestion des risques SSI

La méthode française EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) a été conçue en 1995 par l’ANSSI : Agence nationale de la sécurité des systèmes d’information.
Il s’agit d’une méthode de gestion des risques liés à la sécurité des systèmes d’information.
Elle s’appuie sur des normes internationales telles que l’ISO 27001, l’ISO 27002, et aussi sur les lignes directrices de l’OCDE (Organisation de Coopération et de Développement Économiques).

Cette méthode bénéficie d’un logiciel qui en facilite l’utilisation suivant une approche modulaire (logiciel disponible auprès de la DCSSI: Direction Centrale de la Sécurité des Systèmes d’Information)
Elle regroupe plusieurs experts, français et étrangers, autour du Club EBIOS.

La méthode connaît un grand succès notamment auprès des administrations publiques françaises.

La démarche EBIOS se déroule selon les étapes suivantes .

L’étude du contexte permet de délimiter le périmètre de l’étude (contexte externe et interne, contraintes, recensement des biens et de leurs interactions…).
Il s’agit lors de cette première étape d’identifier le contexte externe et interne dans lequel va se dérouler l’étude, d’identifier les contraintes, de recenser et de classifier les biens essentiels et supports du projet et d’identifier leurs interactions.
Il s’agit ensuite de définir les métriques liées aux critères de sécurité, aux niveaux de gravité des événements redoutés et aux niveaux de vraisemblance des scénarios de menace.
La méthode EBIOS propose trois critères de sécurité, mais il est possible de prendre en compte d’autres critères si le contexte de l’étude le justifie.

Propriété d’accessibilité au moment voulu des biens essentiels par les personnes autorisées.
Cela peut correspondre à la durée nécessaire pour avoir accès au bien essentiel (ex. : 1 heure, 1journée, 1 semaine…).

Propriété d’exactitude et de complétude des biens essentiels.
Cela correspond autant à leur niveau de conformité qu’à leur stabilité, leur exactitude, leur complétude.

Propriété des biens essentiels de n’être accessibles qu’aux personnes autorisées.
Cela correspond au nombre ou catégories de personnes autorisées à y accéder.

L’étude des événements redoutés permet aux utilisateurs d’exprimer leurs besoins en matière de sécurité pour les fonctions et informations qu’ils manipulent.
L’expression des besoins de sécurité résulte des exigences opérationnelles et repose sur l’élaboration d’une échelle de besoins et l’identification des impacts inacceptables du risque pour l’organisme.

L’étude des scénarios de menaces permet d’identifier et d’estimer les scénarios qui peuvent engendrer les événements redoutés et provoquer un risque.
Il s’agit de déterminer les menaces pesant sur le système (méthodes d’attaques, éléments menaçants, vulnérabilités exploitables).

L’appréciation des risques consiste à confronter les menaces aux besoins de sécurité afin de mettre en évidence les risques, de les évaluer, et de définir les objectifs de sécurité à atteindre pour traiter les risques.

La détermination des exigences de sécurité permet d’identifier si le risque est accepté, ou s’il doit être réduit ou refusé. Ceci, dans une stratégie de gestion du risque.

Intérêt de la méthode

• Une méthode rapide : la durée de réalisation d’une étude EBIOS est optimisée car elle ne prend en compte que les éléments nécessaires en fonction du résultat souhaité.
• Une méthode adaptative : la méthode EBIOS peut être adaptée au contexte de chacun et peut être utilisée pour de nombreuses finalités et démarches sécuritaires (élaboration de schémas directeurs, de politiques, de tableaux de bord SSI…).
• Un résultat réutilisable : une étude EBIOS peut être régulièrement mise à jour afin de gérer les risques de manière continue.

La convergence vers les normes internationales, le logiciel libre, la formation et le club des utilisateurs font d’EBIOS une méthode riche et maintenue au plus haut niveau par les experts du domaine de la sécurité des systèmes d’information.

EBIOS / Gestion des risques SSI