Méthode EBIOS Statut Type Avancé

Objectifs et présentation


Maîtriser la méthode EBIOS afin d''avoir un outil de négociation et d''arbitrage dans le processus SSI. Unifier le vocabulaire, les concepts et l''interprétation du système. Sensibiliser, responsabiliser et impliquer tous les acteurs.

La méthode EBIOS apprécie et traite des risques relatifs à la sécurité des systèmes d''information. Compatible avec les outils de la sécurité des systèmes d''information existants, les administrations et le secteur privé l''utilisent. Elle identifie les objectifs et exigences de sécurité à la suite d''une appréciation des risques, hiérarchise les risques et décline les objectifs et les exigences de sécurité. Elle réalise également un schéma directeur SSI, une politique de sécurité et un plan d''action SSI. Elle définit une fiche d''expression rationnelle des objectifs de sécurité, des spécifications adaptées et justifiées pour la maîtrise d''OEuvre et un profil de protection ou une cible de sécurité.



Programme


Convaincre de la nécessité d''adopter une méthode de gestion des risques SSI

· Prendre conscience de toutes les composantes du SI dans la gestion des risques

· Prendre conscience des avantages d''une méthode et des conditions du succès de sa mise en OEuvre

· Prendre conscience des résultats concrets de la méthode EBIOS

· Prendre conscience des éléments constitutifs d''un risque SSI

· Prendre conscience de tous les aspects de la gestion des risques SSI

Adapter la gestion des risques SSI au contexte particulier du système
étudié

· Identifier les caractéristiques de l''organisme indispensables pour adapter la gestion des risques SSI

· Identifier les caractéristiques de l''organisme et celles spécifiques dusystème-cible(contraintes, références, hypothèses...) pour adapter le traitement des risques

· Dégager les éléments essentiels du contexte et distinguer les informations des fonctions

· Indiquer les éléments essentiels reposant sur des entités ; définir les entités

· Dégager les entités du contexte et les typer en vue d''exploiter les bases de connaissances (vulnérabilités, objectifs et exigences de sécurité)

· Adopter une démarche pour circonscrire le risque


Identifier une partie des composantes du risque : les besoins de sécurité et les impacts

· Définir une échelle représentative des besoins de sécurité des éléments essentiels, explicite et non ambiguë

· Identifier et personnaliser des impacts pertinents en fonction du contexte

· Pour chaque élément essentiel, déterminer les besoins de sécurité en termes de D, I, C

· Obtenir un consensus sur les besoins de sécurité exprimés par différentes personnes

Identifier le reste des composantes du risque : les menaces

· Sélectionner parmi les 42 méthodes d''attaque du guide celles qui sont pertinentes

· Caractériser les méthodes d''attaque retenues selon les éléments menaçants susceptibles de les utiliser

· Déterminer les vulnérabilités pertinentes et leur niveau selon les méthodes d''attaque retenues et les entités

· Déterminer les menaces à l''aide des éléments précédents

Déterminer le traitement du risque

· Déterminer les risques

· Rédiger et hiérarchiser les risques

· Définir des objectifs de sécurité pour couvrir les risques

· S''assurer que les risques sont couverts. Mettre en évidence les risques résiduels

Définir les moyens de satisfaire les objectifs de sécurité pour traiter le risque

· Définir les exigences fonctionnelles satisfaisant les objectifs de sécurité

· S''assurer que les objectifs de sécurité sont satisfaits

Synthèse et conclusion

· Conclusion sur EBIOS

· Démonstration du logiciel

· Évaluation et correction

· Validation de la satisfaction des attentes