1

Sécurité des systèmes

informatiques
Support de cours

1-MP-RT

Samya AMIRI 2016/2017

La méthode EBIOS

Expression des Besoins

et Identification des
Objectifs de Sécurité
Plan
1. Introduction
2. Principes de la méthode EBIOS
3. Certification ISO 27001: les perspectives
d'utilisation d'EBIOS
4. Le logiciel d’assistance à l’évaluation EBIOS
5. Conclusions
Origines d’EBIOS
 Part d’une initiative Gouvernementale
 Rédigée par la DCSSI
 Recommandé/Imposé par la SGDN
 Prévenir les risques informatiques
 Eviter les pertes financières
 Garantir la continuité des activités
 Protéger les informations
 Protéger contre les attaques
 Assurer le respect des lois et règlements
Une méthode…
 Modulaire
 S’adapte à tout SI quel que soit sa taille
 Compétences acquises au fil du temps
 Se réalise en 4 étapes + résultat
 Détermination et prévention des risques
 Détermination des besoins spécifiques
 Détection des risques potentiels
 Obtention d’un plan d’action
 Simplifie les communications inter services
 Le plan d’action définit les relations
… pour les entreprises
 Toute entreprise possédant/concevant un S.I.
 Taux important d’adoption dans le public
 CNAM (Assurance Maladie)
 France Telecom
 GIE Carte Bleue
 Ministères (presque tous)
 Imposé pour certains traitement
 Données classifiées défense
 Libre d’utilisation dans les autres cas
… avec un vocabulaire uniforme
• Bien
▫ ressource ayant une valeur pour l’organisme
• Entité
▫ un bien de type organisation, site, personnel,
matériel, réseau, logiciel, système
• Element essentiel
▫ Information ou fonction ayant un besoin de
sécurité non nul
• Elément menaçant
▫ Action ou élément ayant des conséquences négatives
Principes de la méthode EBIOS
Les étapes directrices
• L’étude du contexte
• L’expression des besoins de sécurité
• L’étude des menaces
• L’expression des objectifs de sécurité
• La détermination des exigences de sécurité
La démarche globale
Étape 1

• L’étude du contexte
▫ Objectif : cibler le système
▫ Plusieurs étapes :
Étape 2

• L’expression des besoins de sécurité

▫ Estimer les critères du risque
▫ Déterminer les critères du risque
Étape 3

• L’étude des menaces

▫ Définir les risques en fonction de l’architecture
technique du système informatique
Activité 3.1 – Etude des origines des
menaces
• Liste des enjeux du système-cible
Entrée

• Lister les méthodes d'attaque pertinentes

• Caractériser les méthodes d'attaque et les éléments menaçants
Actions • Ajouter une valeur représentant le potentiel d'attaque de l'élément
menaçant

• Liste des origines des menaces (méthodes d'attaque et éléments

menaçants)
Sortie • Liste des méthodes d'attaque non retenues et justifications
Activité 3.2 – Étude des vulnérabilités
• Liste des entités
• Liste des origines des menaces (méthodes d'attaque et
Entrée éléments menaçants)

• Identifier les vulnérabilités des entités selon les méthodes

d'attaque
Actions • Estimer éventuellement le niveau des vulnérabilités

• Liste des vulnérabilités retenues et de leur niveau

Sortie
Activité 3.3 – Formalisation des
menaces
• Liste des origines des menaces (méthodes d'attaque et
éléments menaçants)
Entrée • Liste des vulnérabilités retenues et de leur niveau

• Formuler explicitement les menaces

• Hiérarchiser éventuellement les menaces selon leur
Actions opportunité

• Liste des menaces retenues

Sortie
Étape 4

• L’expression des objectifs de sécurité

▫ Mettre en évidence les risques contre lesquels le SI
doit être protégé
Activité 4.1 – Confrontation des
menaces aux besoins
• Tableau entités / éléments
• Fiche de synthèse des besoins de sécurité
Entrée • Liste des menaces retenues

• Déterminer les risques (menaces versus besoin de sécurité)

• Formuler explicitement les risques
• Hiérarchiser les risques (impacts sur éléments essentiels / opportunité des menaces)
Actions • Mettre en évidence les risques non retenus

• Liste hiérarchisée des risques

• Liste des risques résiduels
Sortie
 Activité 4.2 – Formalisation des
objectifs de sécurité
Pré-requis : 1.1, 1.2, 2.4 et 4.1

• Liste des hypothèses, des règles de sécurité, des contraintes, des références
réglementaires
• Choix du mode d’exploitation de sécurité
Entrée • Liste hiérarchisée des risques

• Lister les objectifs de sécurité

• Justifier la complétude de la couverture, des hypothèses, des règles de sécurité
Actions • Mettre en évidence les défauts de couvertures

• Liste des objectifs de sécurité

• Liste des risques résiduels
Sortie
Activité 4.3 – Détermination des
niveaux de sécurité
• Liste des objectifs de sécurité
• Liste des menaces retenues
Entrée

• Déterminer le niveau de résistance adéquat pour chaque

objectif de sécurité
Actions • Choisir le niveau des exigences d'assurance

• Liste des objectifs de sécurité avec le niveau de résistance

• Liste des risques résiduels
Sortie • Choix du niveau des exigences d'assurance
Étape 5

• La détermination des exigences de sécurité

▫ Détermine les limites en termes d’exigences de
sécurité.
Activité 5.1 – Détermination des
exigences de sécurité fonctionnelles
• Liste des objectifs de sécurité avec le niveau de résistance

Entrée

• Lister les exigences de sécurité fonctionnelles

• Justifier la complétude de la couverture des objectifs de sécurité
• Mettre en évidence les éventuels défauts de couverture
Actions • Classer les exigences de sécurité fonctionnelles (système-cible / l'environnement du système-cible)

• Liste des exigences de sécurité fonctionnelles justifiées

• Liste des risques résiduels
Sortie
Activité 5.2 – Détermination des
exigences de sécurité d'assurance
• Choix du niveau des exigences d'assurance
Entrée

• Lister les exigences de sécurité d’assurance

Actions • Liste des risques résiduels

• Liste des exigences de sécurité d’assurance

Sortie • Liste des risques résiduels
Certification ISO 27001:
les perspectives d'utilisation d'EBIOS
La norme ISO 27001

• La norme ISO 27001 définit un modèle pour mettre

en place un SMSI
• Ce modèle doit être basé sur une approche de gestion
des risques, définissant un ensemble de mesures de
sécurité.
La norme ISO 27001
• Plan : définir le cadre de l’ISMS, apprécier et spécifier le traitement
des risques de sécurité des SI
• Do : implémenter et maintenir les mesures
• Check : vérifier que les mesures fonctionnent conformément à
l’étape « Plan » et identifier les améliorations possibles de
l’ISMS
• Act : mettre en œuvre les améliorations identifiées pour l’ISMS
EBIOS et La norme ISO 27001

• EBIOS rentre dans le cadre de l’apréciation du risque et offre

un certain nombre d’avantages en vue d’une démarche de
certification ISO 27001
EBIOS et La norme ISO 27001

• EBIOS intervient principalement dans la première étape de

l’ISMS (Plan), mais également dans les trois étapes suivantes
(Do, Check, Act) :
• Étape 1 – Plan : EBIOS supporte efficacement l’ensemble des actions,
notamment la définition du périmètre, l’appréciation des risques et la
spécification du traitement des risques
• Étape 2 – Do : EBIOS contribue à l’élaboration du plan de traitement
des risques et à la communication relative aux risques
• Étape 3 – Check : EBIOS fournit le référentiel d’audit et l’étude est
réactualisée pour mettre à jour le niveau de risques
• Étape 4 – Act : la réitération et la traçabilité d’EBIOS permettent une
amélioration continue de l’ISMS
Le logiciel d’assistance à l’évaluation EBIOS
Le logiciel EBIOS
• Distribué sous Licence GNU GPL
▫ Code source pas encore rendu public
• Multi-plateformes
▫ Linux, Windows, Solaris…
• Assister les utilisateurs d’EBIOS
▫ Stocke les contextes, risques, besoins
▫ Donne accès à une base de connaissances
 Risques courants
 Attaques courantes
 Risques fréquents
Interface principale
Etudier le contexte [Etape 1]

• Audit et étude du contexte :

▫ Création de questionnaires :
 Connaitre l’entreprise et son SI
Exprimer les besoins [Etape 2]

• Expression des besoins

▫ Identifier les besoins de sécurité de chacun des
éléments essentiels
Identifier les risques [Etape 3]

• Identification des menaces

▫ Décrire les différentes menaces auxquelles la cible
peut être confrontée
Identifier les objectifs [Etape 4]

• Identification des objectifs de sécurité

▫ déterminer la possibilité pour les menaces
identifiées d'affecter réellement les éléments
essentiels et d'impacter l'organisme
Déterminer les exigences [Etape 5]

• Détermination des exigences de sécurités

▫ vérifier la bonne couverture des objectifs de
sécurité.
Conclusions
Conslusions
• Avantages d’EBIOS
▫ Solution complète par étapes
▫ Définit clairement
 Acteurs, Rôles
 Interactions
 Vocabulaire
▫ Logiciel d’assistance à la mise en œuvre
 Base de connaissance intégrée
▫ Eprouvée par la DGA
Conclusions
• Inconvénients d’EBIOS
▫ Pas de recommandations sécuritaires
▫ Pas de méthode d’audit/évaluation
▫ Validation interne
 Oublis potentiels
 Risque d’évaluation incorrecte des risques
▫ Vocabulaire légèrement différent

• EBIOS ne peut être utilisé seul