Vous êtes sur la page 1sur 95

PREMIER MINISTRE Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation Sous-direction assistance,

conseil et expertise Bureau assistance et conseil

Expression des Besoins et Identification des Objectifs de Scurit

EBIOS
MTHODE DE GESTION DES RISQUES

Version du 25 janvier 2010

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 65 - Fax 01 71 75 84 90

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Historique des modifications


Date 02/1997 Objet de la modification Publication du guide d'expression des besoins et d'identification des objectifs de scurit (EBIOS) Statut Valid Valid

Publication de la version 2 du guide EBIOS (convergence vers l'ISO 05/02/2004 15408, ajout de l'tape 5 Dtermination des exigences de scurit, clarifications et complments) Amlioration du guide EBIOS : Prise en compte des nombreux retours d'expriences de l'ANSSI et du Club EBIOS Convergence des concepts vers les normes internationales relatives au systme de management de la scurit de l'information et la gestion des risques ([ISO 27001], [ISO 27005], [ISO Guide 73] et [ISO 31000]) Regroupement des sections 1 (Prsentation), 2 (Dmarche) et 3 (Techniques) en un seul guide mthodologique Refonte complte de la prsentation de la mthode Rvision du contenu de la dmarche mthodologique o Mise en vidence des avantages, des parties prenantes, des actions de communication et concertation, et des actions de surveillance et revue dans les descriptions des activits o Module 1 : ajout de la dfinition du cadre de la gestion des risques (vision projet, tude des sources de menaces), tude du contexte plus souple et davantage lie aux processus mtiers, regroupement de toutes les mtriques au sein de la mme activit, mise en vidence de 25/01/2010 l'identification des sources de menaces et des mesures de scurit existantes o Module 2 : expression des besoins selon les processus mtiers, dveloppement de l'analyse des impacts, lien avec les sources de menaces afin de disposer d'vnements redouts complets au sein du mme module, ajout de l'estimation et de l'valuation des vnements redouts o Module 3 : tude des scnarios de menaces par bien support et non plus par vulnrabilit, lien avec les sources de menaces afin de disposer de scnarios de menaces complets au sein du mme module, ajout de l'estimation et de l'valuation des scnarios de menaces o Module 4 : mise en vidence de l'apprciation des risques, hirarchisation explicite des risques, changement de forme des objectifs de scurit (notions de rduction, transfert, refus, prise de risques) o Module 5 : ajout explicite des notions de dfense en profondeur, de risques rsiduels, de dclaration d'applicabilit, de plan d'action et de la validation

Valid

Page 2 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Table des matires


AVANT-PROPOS .................................................................................................................................... 7 INTRODUCTION ..................................................................................................................................... 8 QU'EST-CE QU'EBIOS ?........................................................................................................................ 8 OBJECTIFS DU DOCUMENT ..................................................................................................................... 8 DOMAINE D'APPLICATION ....................................................................................................................... 8 RFRENCES RGLEMENTAIRES ET NORMATIVES.................................................................................... 8 STRUCTURE DU DOCUMENT.................................................................................................................... 8 1 GRER DURABLEMENT LES RISQUES SUR LE PATRIMOINE INFORMATIONNEL ............. 9 1.1 1.2 1.3 1.4 1.5 2 L'ENJEU : ATTEINDRE SES OBJECTIFS SUR LA BASE DE DCISIONS RATIONNELLES ...................... 9 DES PRATIQUES DIFFRENTES MAIS DES PRINCIPES COMMUNS ................................................... 9 LA SPCIFICIT DE LA SCURIT DE L'INFORMATION : LE PATRIMOINE INFORMATIONNEL .............. 9 LA DIFFICULT : APPRHENDER LA COMPLEXIT ...................................................................... 10 LE BESOIN D'UNE MTHODE .................................................................................................... 10

EBIOS : LA MTHODE DE GESTION DES RISQUES............................................................... 11 2.1 COMMENT EBIOS PERMET-ELLE DE GRER LES RISQUES ? ..................................................... 11

L'tablissement du contexte ......................................................................................................... 11 L'apprciation des risques ............................................................................................................ 11 Le traitement des risques ............................................................................................................. 11 La validation du traitement des risques ........................................................................................ 12 La communication et la concertation relatives aux risques .......................................................... 12 La surveillance et la revue des risques ........................................................................................ 12 2.2 UNE DMARCHE ITRATIVE EN CINQ MODULES ......................................................................... 13

Module 1 tude du contexte ...................................................................................................... 13 Module 2 tude des vnements redouts ............................................................................... 13 Module 3 tude des scnarios de menaces .............................................................................. 13 Module 4 tude des risques ...................................................................................................... 13 Module 5 tude des mesures de scurit ................................................................................. 13 2.3 DIFFRENTS USAGES D'EBIOS ............................................................................................... 14

EBIOS est une bote outils usage variable ............................................................................. 14 Variation de la focale selon le sujet tudi ................................................................................... 14 Variation des outils et du style selon les livrables attendus ......................................................... 14 Variation de la profondeur selon le cycle de vie du sujet de l'tude ............................................. 15 Variation du cadre de rfrence selon le secteur ......................................................................... 15 Une rflexion pralable sur la stratgie de mise en uvre est ncessaire ................................. 15 2.4 FIABILISER ET OPTIMISER LA PRISE DE DCISION ...................................................................... 16

Un outil de ngociation et d'arbitrage ........................................................................................... 16 Un outil de sensibilisation ............................................................................................................. 16 Un outil compatible avec les normes internationales ................................................................... 16 Une souplesse d'utilisation et de multiples livrables ..................................................................... 16 Page 3 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Une mthode rapide ..................................................................................................................... 16 Un outil rutilisable ....................................................................................................................... 16 Une approche exhaustive ............................................................................................................. 16 Un rfrentiel complet ................................................................................................................... 16 Une exprience prouve ............................................................................................................. 16 De nombreux utilisateurs .............................................................................................................. 16 2.5 RIGUEUR DE LA MTHODE EBIOS ........................................................................................... 17

Une mthode valide : la dmarche peut tre reproduite et vrifie.............................................. 17 Une mthode fidle : la dmarche retranscrit la ralit ................................................................ 17 3 DESCRIPTION DE LA DMARCHE ........................................................................................... 18 MODULE 1 TUDE DU CONTEXTE ....................................................................................................... 19 Activit 1.1 Dfinir le cadre de la gestion des risques ............................................................... 20 Action 1.1.1. Cadrer l'tude des risques .................................................................................. 21 Action 1.1.2. Dcrire le contexte gnral ................................................................................. 23 Action 1.1.3. Dlimiter le primtre de l'tude .......................................................................... 26 Action 1.1.4. Identifier les paramtres prendre en compte ................................................... 29 Action 1.1.5. Identifier les sources de menaces ....................................................................... 32 Activit 1.2 Prparer les mtriques ............................................................................................ 34 Action 1.2.1. Dfinir les critres de scurit et laborer les chelles de besoins .................... 35 Action 1.2.2. laborer une chelle de niveaux de gravit ........................................................ 37 Action 1.2.3. laborer une chelle de niveaux de vraisemblance ........................................... 38 Action 1.2.4. Dfinir les critres de gestion des risques .......................................................... 39 Activit 1.3 Identifier les biens ................................................................................................... 40 Action 1.3.1. Identifier les biens essentiels, leurs relations et leurs dpositaires .................... 41 Action 1.3.2. Identifier les biens supports, leurs relations et leurs propritaires ...................... 43 Action 1.3.3. Dterminer le lien entre les biens essentiels et les biens supports .................... 45 Action 1.3.4. Identifier les mesures de scurit existantes ...................................................... 46 MODULE 2 TUDE DES VNEMENTS REDOUTS ................................................................................ 47 Activit 2.1 Apprcier les vnements redouts ....................................................................... 48 Action 2.1.1. Analyser tous les vnements redouts ............................................................. 49 Action 2.1.2. valuer chaque vnement redout ................................................................... 52 MODULE 3 TUDE DES SCNARIOS DE MENACES ................................................................................ 53 Activit 3.1 Apprcier les scnarios de menaces ...................................................................... 54 Action 3.1.1. Analyser tous les scnarios de menaces ............................................................ 55 Action 3.1.2. valuer chaque scnario de menace .................................................................. 58 MODULE 4 TUDE DES RISQUES ........................................................................................................ 60 Activit 4.1 Apprcier les risques .............................................................................................. 61 Action 4.1.1. Analyser les risques ............................................................................................ 62 Action 4.1.2. valuer les risques .............................................................................................. 64 Activit 4.2 Identifier les objectifs de scurit ............................................................................ 65 Action 4.2.1. Choisir les options de traitement des risques ..................................................... 66 Action 4.2.2. Analyser les risques rsiduels ............................................................................. 68 MODULE 5 TUDE DES MESURES DE SCURIT .................................................................................. 69 Activit 5.1 Formaliser les mesures de scurit mettre en uvre ......................................... 70 Action 5.1.1. Dterminer les mesures de scurit ................................................................... 72 Action 5.1.2. Analyser les risques rsiduels ............................................................................. 75 Action 5.1.3. tablir une dclaration d'applicabilit .................................................................. 76 Activit 5.2 Mettre en uvre les mesures de scurit .............................................................. 77 Action 5.2.1. laborer le plan d'action et suivre la ralisation des mesures de scurit ......... 78 Action 5.2.2. Analyser les risques rsiduels ............................................................................. 80 Action 5.2.3. Prononcer l'homologation de scurit ................................................................. 81 Page 4 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

ANNEXE A DMONSTRATION DE LA COUVERTURE DES NORMES ........................................ 82 EBIOS SATISFAIT LES EXIGENCES DE L'[ISO 27001] ........................................................................... 82 EBIOS DCLINE PARFAITEMENT L'[ISO 27005] ................................................................................... 85 EBIOS EST DCLINE PARFAITEMENT L'[ISO 31000] ............................................................................. 86 ANNEXE B RFRENCES ............................................................................................................... 87 ACRONYMES ....................................................................................................................................... 87 DFINITIONS........................................................................................................................................ 88 Apprciation des risques .............................................................................................................. 88 Besoin de scurit ........................................................................................................................ 88 Bien ............................................................................................................................................... 88 Bien essentiel................................................................................................................................ 88 Bien support .................................................................................................................................. 89 Communication et concertation .................................................................................................... 89 Confidentialit ............................................................................................................................... 89 Critre de scurit ........................................................................................................................ 89 Disponibilit................................................................................................................................... 89 tablissement du contexte ............................................................................................................ 89 vnement redout ...................................................................................................................... 90 Gestion des risques ...................................................................................................................... 90 Gravit .......................................................................................................................................... 90 Homologation de scurit ............................................................................................................. 90 Impact ........................................................................................................................................... 91 Information .................................................................................................................................... 91 Intgrit ......................................................................................................................................... 91 Menace ......................................................................................................................................... 91 Mesure de scurit ....................................................................................................................... 91 Objectif de scurit ....................................................................................................................... 91 Organisme .................................................................................................................................... 91 Partie prenante ............................................................................................................................. 91 Prise de risques ............................................................................................................................ 92 Processus de l'organisme ............................................................................................................. 92 Processus informationnel ............................................................................................................. 92 Rduction de risques .................................................................................................................... 92 Refus de risques ........................................................................................................................... 92 Risque rsiduel ............................................................................................................................. 92 Risque de scurit de l'information ............................................................................................... 92 Scnario de menace ..................................................................................................................... 93 Scurit de l'information ............................................................................................................... 93 Source de menace ........................................................................................................................ 93 Surveillance et revue .................................................................................................................... 93 Systme d'information .................................................................................................................. 93

Page 5 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Traitement des risques ................................................................................................................. 93 Transfert de risques ...................................................................................................................... 94 Validation du traitement des risques............................................................................................. 94 Vraisemblance .............................................................................................................................. 94 Vulnrabilit .................................................................................................................................. 94 RFRENCES BIBLIOGRAPHIQUES ........................................................................................................ 95 Note : les libells entre crochets [] correspondent des rfrences bibliographiques en annexe.

Page 6 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Avant-propos
L'Agence nationale de la scurit des systmes d'information (ANSSI) labore et tient jour un important rfrentiel mthodologique destin aider les organismes du secteur public et du secteur priv grer la scurit de leurs systmes d'informations. Ce rfrentiel est compos de mthodes, de meilleures pratiques et de logiciels, diffuss gratuitement sur son site Internet (http://www.ssi.gouv.fr). Le Club EBIOS est une association indpendante but non lucratif (Loi 1901), compose d'experts individuels et d'organismes. Il regroupe une communaut de membres du secteur public et du secteur priv, franais et europens. Il supporte et enrichit le rfrentiel de gestion des risques franais depuis 2003, en collaboration avec l'ANSSI. Le Club organise des runions priodiques pour favoriser les changes d'expriences, l'homognisation des pratiques et la satisfaction des besoins des usagers. Il constitue galement un espace pour dfinir des positions et exercer un rle d'influence dans les dbats nationaux et internationaux. Ce document a t ralis par le bureau assistance et conseil de l'ANSSI, avec la collaboration du Club EBIOS. La communaut des utilisateurs d'EBIOS enrichit rgulirement le rfrentiel complmentaire ce document (techniques de mise en uvre, bases de connaissances, guides d'utilisations spcifiques de la mthode, documents relatifs la communication, la formation, la certification, logiciels).

Page 7 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Introduction
Qu'est-ce qu'EBIOS ?
La mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) permet d'apprcier et de traiter les risques. Elle fournit galement tous les lments ncessaires la communication au sein de l'organisme et vis--vis de ses partenaires, ainsi qu' la validation du traitement des risques. Elle constitue de ce fait un outil complet de gestion des risques.
1

Objectifs du document
Les principaux objectifs du prsent document sont : de fournir une base commune de concepts et d'activits pragmatiques toute personne implique dans la gestion des risques, notamment dans la scurit de l'information ; de satisfaire les exigences de gestion des risques d'un systme de management de la scurit de l'information ([ISO 27001]) ; de dfinir une dmarche mthodologique complte en cohrence et en conformit avec les normes internationales de gestion des risques ([ISO 31000], [ISO 27005]) ; d'tablir une rfrence pour la certification de comptences relatives la gestion des risques.

Domaine d'application
La dmarche de gestion des risques prsente dans ce guide peut s'appliquer au secteur public et au secteur priv, des petites structures (petites et moyennes entreprises, collectivits territoriales) et des grandes structures (ministre, organisation internationale, entreprise multinationale), des systmes en cours d'laboration et des systmes existants. Historiquement employe dans le domaine de la scurit de l'information, elle a t exploite dans d'autres domaines. EBIOS fait aujourd'hui figure de rfrence en France, dans les pays francophones et l'international.

Rfrences rglementaires et normatives


Le prsent document dcline les normes internationales [ISO 27005] et [ISO 31000], tout en satisfaisant les exigences de gestion des risques de l'[ISO 27001]. Aucune de ces normes n'est indispensable l'utilisation de ce document. Par ailleurs, il permet de mettre en uvre les pratiques prconises dans la rglementation ([RGS], [IGI 1300]).

Structure du document
Aprs avoir prsent la problmatique de la gestion des risques, notamment dans le domaine de la scurit de l'information (chapitre 1), ce document explique ce qu'est EBIOS et son fonctionnement gnral (chapitre 2), puis dcrit chaque activit de la dmarche (chapitre 3). Une dmonstration de la couverture des normes internationales (annexe A) et les rfrences utiles (annexe B) compltent le document.

EBIOS est une marque dpose par le Secrtariat gnral de la dfense et de la scurit nationale. Page 8 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

1 Grer durablement les risques sur le patrimoine informationnel


1.1 L'enjeu : atteindre ses objectifs sur la base de dcisions rationnelles
Ne dans le domaine financier dans les annes 50 et tendue de nombreux autres domaines tels que la gestion de projet, la scurit des personnes, la sret de fonctionnement, le marketing, l'environnement ou encore la scurit de l'information, la gestion des risques a toujours eu pour objectif de rationaliser des situations pour aider une prise de dcision claire. Les choix effectus par les dcideurs peuvent ainsi tre faits au regard des lments fournis par les risk managers. Et ces choix peuvent autant guider l'organisme vers l'atteinte de ses objectifs que faire voluer sa stratgie.

1.2 Des pratiques diffrentes mais des principes communs


l'heure actuelle, les principes communs de la gestion des risques se retrouvent dans les normes internationales (notamment [ISO Guide 73]) : le risque est dcrit par un vnement, ses consquences et sa vraisemblance ; le processus de gestion des risques comprend une tude du contexte, l'apprciation des risques, le traitement des risques, la validation du traitement des risques, la communication relative aux risques, le contrle, dans une amlioration continue. La similitude des concepts et des mthodes danalyse montre quil existe un modle de gestion des risques suffisamment gnrique pour tre partag et enrichi par les retours dexpriences interdisciplinaires : quils soient dcrits daprs leur cause et leurs impacts directs et indirects pour la scurit des personnes ; par les circonstances l'origine du risque et leurs consquences pour les risques juridiques ; en termes de scnarios dcrivant l'origine des menaces, de vulnrabilits exploitables, de sinistres et d'impacts comme cest le cas en scurit de l'information ; sans oublier le vocable spcifique la protection des infrastructures vitales ou aux pratiques de l'intelligence conomique. Selon l'[ISO 31000], qui dcrit la gestion des risques quel que soit le domaine d'application, elle devrait : crer de la valeur ; tre intgre aux processus organisationnels ; tre intgre au processus de prise de dcision ; traiter explicitement de l'incertitude ; tre systmatique, structure et utilise en temps utile ; s'appuyer sur la meilleure information disponible ; tre taille sur mesure ; intgrer les facteurs humains et culturels ; tre transparente et participative ; tre dynamique, itrative et ractive au changement ; faciliter l'amlioration et l'volution continues de l'organisme.

1.3 La spcificit de la scurit de l'information : le patrimoine informationnel


La scurit de l'information a pour but de protger le patrimoine informationnel de l'organisme. Celui-ci permet son bon fonctionnement et l'atteinte de ses objectifs. La valeur de ce patrimoine, dit informationnel, peut en effet tre apprcie au regard des opportunits qu'il offre quand on l'utilise correctement et des consquences ngatives dans le cas contraire.

Page 9 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

1.4 La difficult : apprhender la complexit


Le patrimoine informationnel nat, vit et disparat dans le cadre des diffrents systmes d'information qui l'entourent. Ceux-ci ont un but, des moyens, et sont organiss pour crer, exploiter, transformer et communiquer le savoir (informations) et le savoir-faire (fonctions, processus). Ils sont par nature complexes, changeants et interfacs avec d'autres, chacun ayant ses propres contraintes. De plus, ces systmes dinformation peuvent tre confronts des problmes varis, sont en volution constante, sont parfois lis les uns aux autres, et sont difficiles mettre objectivement en vidence. Il est donc ncessaire d'employer des moyens rationnels pour apprhender la protection du patrimoine informationnel de manire la fois globale et dynamique.
2

1.5 Le besoin d'une mthode


L'adoption de dmarches et doutils de prise de dcision rationnelle et de gestion de la complexit apparat aujourd'hui comme une condition ncessaire la scurit de l'information. Il convient pour cela d'utiliser des approches de gestion des risques structures, prouves, tout en prenant garde aux illusions de scientificit et la manipulation de chiffres, offertes par de nombreuses mthodes. D'une manire gnrale, une approche mthodologique permet de : disposer d'lments de langage communs ; disposer d'une dmarche claire et structure respecter ; se baser sur un rfrentiel valid par l'exprience ; s'assurer d'une exhaustivit des actions entreprendre ; rutiliser la mme approche en amlioration continue et sur d'autres primtres En matire de gestion des risques de scurit de l'information, une approche mthodologique permet galement de : tablir le contexte en prenant en compte ses spcificits (contexte interne et externe, enjeux, contraintes, mtriques) ; apprcier les risques (les identifier au travers des vnements redouts et des scnarios de menaces, les estimer et les valuer) ; traiter les risques (choisir les options de traitement l'aide d'objectifs de scurit, dterminer des mesures de scurit appropries et les mettre en uvre) ; valider le traitement des risques (valider formellement le plan de traitement des risques et les risques rsiduels) ; communiquer sur les risques (obtenir les informations ncessaires, prsenter les rsultats, obtenir des dcisions et faire appliquer les mesures de scurit) ; suivre les risques (veiller ce que les retours d'expriences et les volutions du contexte soient prises en compte dans le cadre de gestion des risques, les risques apprcis et les mesures de scurit).

On parle videmment ici de la notion de systme d'information correspondant l'ensemble de biens supports (organisations, lieux, personnels, logiciels, matriels et rseaux) organis pour traiter des biens essentiels (informations, processus, fonctions). Cette notion est encore parfois confondue avec celle de systme informatique, principalement du fait que la scurit des systmes d'information (SSI) a ses origines dans le domaine informatique. Afin d'viter les confusions encore trop frquentes, le libell "scurit de l'information" a donc t prfr celui de "SSI" dans ce guide. Page 10 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

2 EBIOS : la mthode de gestion des risques


2.1 Comment EBIOS permet-elle de grer les risques ?
L'tablissement du contexte
Un contexte bien dfini permet de grer les risques de manire parfaitement approprie, et ainsi de rduire les cots ce qui est ncessaire et suffisant au regard de la ralit du sujet tudi. Pour ce faire, il est essentiel d'apprhender les lments prendre en compte dans la rflexion : le cadre mis en place pour grer les risques ; les critres prendre en considration (comment estimer, valuer et valider le traitement des risques) ; la description du primtre de l'tude et de son environnement (contexte externe et interne, contraintes, recensement des biens et de leurs interactions). La mthode EBIOS permet d'aborder tous ces points selon le degr de connaissance que l'on a du sujet tudi. Il sera ensuite possible de l'enrichir, de l'affiner et de l'amliorer mesure que la connaissance du sujet s'amliore.

L'apprciation des risques


Il y a risque de scurit de l'information ds lors qu'on a conjointement : une source de menace ; une menace ; une vulnrabilit ; un impact. On peut ainsi comprendre qu'il n'y a plus de risque si l'un de ces facteurs manque. Or, il est extrmement difficile, voire dangereux, d'affirmer avec certitude qu'un des facteurs est absent. Par ailleurs, chacun des facteurs peut contribuer de nombreux risques diffrents, qui peuvent euxmmes s'enchaner et se combiner en scnarios plus complexes, mais tout autant ralistes. On va donc tudier chacun de ces facteurs, de la manire la plus large possible. On pourra alors mettre en vidence les facteurs importants, comprendre comment ils peuvent se combiner, estimer et valuer (hirarchiser) les risques. Le principal enjeu reste, par consquent, de russir obtenir les informations ncessaires qui puissent tre considres comme fiables. C'est la raison pour laquelle il est extrmement important de veiller ce que ces informations soient obtenues de manire limiter les biais et ce que la dmarche soit reproductible. Pour ce faire, la mthode EBIOS se focalise tout d'abord sur les vnements redouts (sources de menaces, besoins de scurit et impacts engendrs en cas de non respect de ces besoins), puis sur les diffrents scnarios de menaces qui peuvent les provoquer (sources de menaces, menaces et vulnrabilits). Les risques peuvent alors tre identifis en combinant les vnements redouts et les scnarios de menaces, puis estims et valus afin d'obtenir une liste hirarchise selon leur importance.

Le traitement des risques


Les risques apprcis permettent de prendre des dcisions objectives en vue de les maintenir un niveau acceptable, compte-tenu des spcificits du contexte. Pour ce faire, EBIOS permet de choisir le traitement des risques apprcis au travers des objectifs de scurit : il est ainsi possible, pour tout ou partie de chaque risque, de le rduire, de le transfrer (partage des pertes), de l'viter (se mettre en situation o le risque n'existe pas) ou de le prendre (sans rien faire). Des mesures de scurit peuvent alors tre proposes et ngocies afin de satisfaire ces objectifs.

Page 11 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

La validation du traitement des risques


La manire dont les risques ont t grs et les risques rsiduels subsistants l'issue du traitement doivent tre valids, si possible formellement, par une autorit responsable du primtre de l'tude. Cette validation, gnralement appel homologation de scurit, se fait sur la base d'un dossier dont les lments sont issus de l'tude ralise.

La communication et la concertation relatives aux risques


Obtenir des informations pertinentes, prsenter des rsultats, faire prendre des dcisions, valider les choix effectus, sensibiliser aux risques et aux mesures de scurit appliquer, correspondent des activits de communication qui sont ralises auparavant, pendant et aprs l'tude des risques. Ce processus de communication et concertation relatives aux risques est un facteur crucial de la russite de la gestion des risques. Si celle-ci est bien mene, et ce, de manire adapte la culture de l'organisme, elle contribue l'implication, la responsabilisation et la sensibilisation des acteurs. Elle cre en outre une synergie autour de la scurit de l'information, ce qui favorise grandement le dveloppement d'une vritable culture de scurit et du risque au sein de l'organisme. L'implication des acteurs dans le processus de gestion des risques est ncessaire pour dfinir le contexte de manire approprie, s'assurer de la bonne comprhension et prise en compte des intrts des acteurs, rassembler diffrents domaines dexpertise pour identifier et analyser les risques, s'assurer de la bonne prise en compte des diffrents points de vue dans l'valuation des risques, faciliter l'identification approprie des risques, l'application et la prise en charge scurise d'un plan de traitement. EBIOS propose ainsi des actions de communication raliser dans chaque activit de la dmarche.

La surveillance et la revue des risques


Le cadre mis en place pour grer les risques, ainsi que les rsultats obtenus, doivent tre pertinents et tenus jour afin de prendre en compte les volutions du contexte et les amliorations prcdemment identifies. Pour ce faire, la mthode EBIOS prvoit les principaux lments surveiller lors de la ralisation de chaque activit et lors de toute volution du contexte afin de garantir de bons rsultats et de les amliorer en continu.

Page 12 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

2.2 Une dmarche itrative en cinq modules


La mthode formalise une dmarche de gestion des risques dcoupe en cinq modules reprsents sur la figure suivante :

Module 1 tude du contexte Module 2 tude des vnements redouts Module 4 tude des risques Module 3 tude des scnarios de menaces

Module 5 tude des mesures de scurit

La dmarche est dite itrative. En effet, il sera fait plusieurs fois appel chaque module afin d'en amliorer progressivement le contenu, et la dmarche globale sera galement affine et tenue jour de manire continue.

Module 1 tude du contexte


l'issue du premier module, qui s'inscrit dans l'tablissement du contexte, le cadre de la gestion des risques, les mtriques et le primtre de l'tude sont parfaitement connus ; les biens essentiels, les biens supports sur lesquels ils reposent et les paramtres prendre en compte dans le traitement des risques sont identifis.

Module 2 tude des vnements redouts


Le second module contribue l'apprciation des risques. Il permet d'identifier et d'estimer les besoins de scurit des biens essentiels (en termes de disponibilit, d'intgrit, de confidentialit), ainsi que tous les impacts (sur les missions, sur la scurit des personnes, financiers, juridiques, sur l'image, sur l'environnement, sur les tiers et autres) en cas de non respect de ces besoins et les sources de menaces (humaines, environnementales, internes, externes, accidentelles, dlibres) susceptibles d'en tre l'origine, ce qui permet de formuler les vnements redouts.

Module 3 tude des scnarios de menaces


Le troisime module s'inscrit aussi dans le cadre de l'apprciation des risques. Il consiste identifier et estimer les scnarios qui peuvent engendrer les vnements redouts, et ainsi composer des risques. Pour ce faire, sont tudies les menaces que les sources de menaces peuvent gnrer et les vulnrabilits exploitables.

Module 4 tude des risques


Le quatrime module met en vidence les risques pesant sur l'organisme en confrontant les vnements redouts aux scnarios de menaces. Il dcrit galement comment estimer et valuer ces risques, et enfin comment identifier les objectifs de scurit qu'il faudra atteindre pour les traiter.

Module 5 tude des mesures de scurit


Le cinquime et dernier module s'inscrit dans le cadre du traitement des risques. Il explique comment spcifier les mesures de scurit mettre en uvre, comment planifier la mise en uvre de ces mesures et comment valider le traitement des risques et les risques rsiduels.

Page 13 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

2.3 Diffrents usages d'EBIOS


EBIOS est une bote outils usage variable
Comme toute vritable mthode de gestion des risques, EBIOS permet d'analyser des risques, de les valuer et de les traiter dans le cadre d'une amlioration continue. La spcificit d'EBIOS rside dans sa souplesse d'utilisation. Il s'agit d'une vritable bote outils, dont les activits raliser, leur niveau de dtail et leur squencement seront adapts l'usage dsir. En effet, la mthode ne sera pas utilise de la mme manire selon le sujet tudi, les livrables attendus, le degr de connaissance du primtre de l'tude, le secteur auquel on l'applique

Variation de la focale selon le sujet tudi


EBIOS peut tre utilise pour grer les risques portant sur un secteur d'activits, un organisme dans son intgralit, une sous-partie ou des processus particuliers de celui-ci, un systme d'information, un systme informatique, une interconnexion de systmes, une application, un produit de scurit, ou mme un composant de produit. La mthode peut galement tre employe pour tudier dans un premier temps un sujet global (par exemple un organisme ou un systme complexe compos de plusieurs sous-systmes), pour ensuite se focaliser sur un sous-ensemble (par exemple quelques processus de l'organisme jugs critiques ou des sous-systmes). Il est bien vident qu'une telle diversit de sujets ne sera pas aborde de manire uniforme si l'on souhaite des rsultats pertinents. C'est ici le niveau de dtail qui variera : plus le sujet est large, moins le niveau de dtail est important, et inversement. Ainsi, une tude de haut niveau d'abstraction portera sur des biens essentiels (par exemple les grandes activits d'un organisme) et des biens supports (par exemple les logiciels dans leur ensemble) macroscopiques, et une tude focalise portera sur des biens essentiels (par exemple un champ d'une base de donnes) et des biens supports (par exemple une version spcifique de systme de gestion de bases de donnes) dtaills. Il conviendra de veiller la cohrence d'une tude d'ensemble avec les tudes de ses sousensembles et entre les tudes des diffrents sous-ensembles.

Variation des outils et du style selon les livrables attendus


La gestion des risques permettant de rationaliser de nombreuses activits, la mthode EBIOS permet d'laborer ou de contribuer l'laboration de nombreux documents livrables : des documents fondateurs (schmas directeurs, politiques de scurit de l'information, notes de cadrage, stratgies de scurit, plans de continuit d'activits) ; des spcifications (fiches d'expression rationnelle des objectifs de scurit FEROS au sens du [Guide 150], profils de protection PP au sens de l'[ISO 15408], cibles de scurit au sens de l'[ISO 15408] ou au sens gnral, cahiers des charges, plans de traitement au sens de l'[ISO 27001]) ; d'autres livrables de scurit de l'information (cartographie des risques, rfrentiels d'audit, tableaux de bord). La manire d'utiliser la mthode EBIOS doit tre adapte au(x) livrable(s) que l'on souhaite produire afin de ne raliser que les activits ncessaires et suffisantes et d'en exploiter directement les rsultats. Il convient ds lors de bien dfinir le(s) livrable(s) attendu(s), les destinataires et l'objectif de cette communication (prise de dcision, sensibilisation) pour choisir les activits de la dmarche raliser et prsenter les rsultats directement dans la forme la plus approprie. Ainsi, la rdaction d'une FEROS dans le but d'homologuer un systme d'information ne requiert pas de raliser les dernires activits de la dmarche EBIOS et doit tre suffisamment synthtique et claire pour tre lue dans le cadre d'une commission d'homologation ; l'tude pourra tre dtaille, mais le style rdactionnel sera adapt en ce sens. Une politique de scurit de l'information d'un organisme peut ne pas demander tudier les scnarios de menaces, mais uniquement les vnements redouts ; le style de rdaction sera adapt aux personnes qui devront appliquer cette politique. L'laboration d'une dclaration d'applicabilit et d'un plan de traitement (au sens de l'[ISO 27001]) requiert l'emploi de l'[ISO 27002] dans les dernires activits de la dmarche Page 14 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Variation de la profondeur selon le cycle de vie du sujet de l'tude


Il est conseill de grer les risques depuis les premires rflexions relatives un nouveau service ou un nouveau systme. En effet, cela permet le cas chant d'orienter la conception et la ralisation, et de faire des choix en amont avant d'avoir trop investi pour faire machine arrire. Le peu de connaissances que l'on a d'un sujet dans les premires phases de son cycle de vie ne permet qu'une tude peu approfondie. La rflexion se fera au fur et mesure de l'avancement des travaux sur le sujet, par raffinements successifs, en fonction de ce qu'on est capable de connatre et de modliser. Dans un premier temps, on s'intressera aux grands enjeux, dans un second temps on pourra affiner la description du sujet et laborer des scnarios d'vnements redouts, puis on pourra tudier les scnarios de menaces pour obtenir de vritables risques et des mesures de scurit C'est donc en ralisant des itrations successives et des activits supplmentaires que la gestion des risques accompagnera le cycle de vie du sujet. Ainsi, lors des tudes d'opportunit et de faisabilit d'un systme d'information, il sera possible d'tudier son contexte, d'identifier les enjeux du systme, de faire merger les fonctionnalits ou les processus essentiels, d'exprimer leurs besoins de scurit, d'estimer les impacts et d'identifier des sources de menaces. Une seconde itration de la dmarche aura lieu lors de la conception gnrale et de la conception dtaille : les grandes fonctionnalits seront dcomposes en fonctions plus dtailles et en informations manipules, les biens supports seront identifis, les besoins et les impacts seront affins, les sources de menaces dveloppes et consolides, les menaces et les vulnrabilits tudies, les risques apprcis, les objectifs identifis, les mesures de scurit dtermines et les risques rsiduels mis en vidence. Lors de la phase de ralisation, une autre itration permettra de rectifier et de complter l'ensemble de l'tude, notamment au niveau des mesures de scurit et des risques rsiduels. Enfin, en phase d'exploitation et jusqu' la fin de vie du systme, les volutions du contexte (biens supports, sources de menaces, vulnrabilits) permettront d'ajuster l'tude et de grer les risques en continu.

Variation du cadre de rfrence selon le secteur


La mthode EBIOS est suffisamment gnrique pour tre applique diffrents secteurs. Elle a majoritairement t utilise dans le secteur de la scurit de l'information, mais galement dans le secteur des infrastructures vitales, de l'ergonomie des outils de travail La convergence de la mthode, en termes de vocabulaire et de dmarche, vers les plus rcents travaux de normalisation internationale ([ISO Guide 73], [ISO 31000]) la rend applicable encore plus largement. L'usage d'EBIOS dans un autre secteur que celui de la scurit de l'information est en effet relativement ais. Il suffit ventuellement de transposer la terminologie et d'exploiter des bases de connaissances du secteur concern si celles-ci ne semblent pas applicables ou comprises. En effet, chaque secteur (protection de l'environnement, protection des personnes, gestion des risques juridiques) dispose d'un cadre de rfrence, d'une culture et de connaissances qui lui sont propres. Les principes et les activits de gestion des risques restent globalement les mmes. Ainsi, l'emploi d'EBIOS dans le cadre de la protection des infrastructures vitales contre le terrorisme a impliqu de transposer le vocabulaire de la mthode la terminologie employe dans ce secteur et de crer des bases de connaissances de critres de scurit, de sources de menaces, de biens supports, de menaces et de vulnrabilits spcifiques, et d'intgrer les plans de prvention et de raction gouvernementaux en guise de bases de mesures de scurit.

Une rflexion pralable sur la stratgie de mise en uvre est ncessaire


La mthode EBIOS est donc une vritable bote outils, qu'il convient d'utiliser de manire approprie au sujet tudi, aux livrables attendus, la phase du cycle de vie et au secteur dans lequel les risques doivent tre grs. On dfinit ainsi la stratgie de gestion des risques de scurit de l'information. Il est par consquent important de bien cerner ces paramtres avant d'initier la dmarche pour : prvoir l'ventuelle dcomposition du primtre en sous-primtres ; prvoir les ventuelles itrations de la mthode ; choisir le niveau de dtail appropri ; choisir les activits pertinentes, la manire de les raliser et les rsultats produire ; prvoir les ventuels ajustements de terminologie et des bases de connaissances Page 15 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

2.4 Fiabiliser et optimiser la prise de dcision


Un outil de ngociation et d'arbitrage
En fournissant les justifications ncessaires la prise de dcision (descriptions prcises, enjeux stratgiques, risques dtaills avec leur impact sur l'organisme, objectifs et exigences de scurit explicites), EBIOS est un vritable outil de ngociation et d'arbitrage.

Un outil de sensibilisation
EBIOS permet de sensibiliser toutes les parties prenantes d'un projet (direction gnrale, financire, juridique ou des ressources humaines, matrise d'ouvrage, matrise d'uvre, utilisateurs), d'impliquer les acteurs du systme d'information et d'uniformiser le vocabulaire.

Un outil compatible avec les normes internationales


La mthode EBIOS contribue la reconnaissance internationale des travaux de scurit en assurant la compatibilit avec les normes internationales. Elle permet en effet de mettre en uvre l'[ISO 31000] et l'[ISO 27005]. Elle constitue en outre le cur du systme de management de la scurit d l'information de l'[ISO 27001]. Elle peut exploiter les mesures de scurit de l'[ISO 27002]

Une souplesse d'utilisation et de multiples livrables


La dmarche peut tre adapte au contexte de chacun et ajuste sa culture et ses outils. Sa flexibilit en fait une vritable bote outils pour de nombreuses finalits, dans le cadre de projets ou d'activits existantes, dans d'autres domaines que celui de la scurit de l'information

Une mthode rapide


La dure de ralisation d'une tude EBIOS est optimise car elle permet d'obtenir les lments ncessaires et suffisants selon le rsultat attendu.

Un outil rutilisable
EBIOS favorise la prennit des analyses de risques et la cohrence globale de la scurit. En effet, l'tude spcifique d'un systme peut tre base sur l'tude globale de l'organisme ; une tude peut tre rgulirement mise jour afin de grer les risques de manire continue ; l'tude d'un systme comparable peut aussi tre utilise comme rfrence.

Une approche exhaustive


Contrairement aux approches d'analyse des risques par catalogue de scnarios prdfinis, la dmarche structure de la mthode EBIOS permet d'identifier et de combiner les lments constitutifs des risques. Cette construction mthodique garantit l'exhaustivit de l'analyse des risques.

Un rfrentiel complet
La mthode dispose de bases de connaissances riches et adaptables (types de biens supports, menaces, vulnrabilits, mesures de scurit), d'un logiciel libre et gratuit, de formations de qualit pour le secteur public et le secteur priv et de documents de communication varis.

Une exprience prouve


Cre en 1995, EBIOS repose sur une exprience prouve en matire de conseil et d'assistance matrise d'ouvrage. Elle contribue la notorit des outils mthodologiques de l'ANSSI.

De nombreux utilisateurs
Elle est largement utilise dans le secteur public (l'ensemble des ministres et des organismes sous tutelle), dans le secteur priv (cabinets de conseil, industriels, petites et grandes entreprises), en France et l'tranger (Union europenne, Qubec, Belgique, Tunisie, Luxembourg). L'association Club EBIOS runit rgulirement la communaut d'experts et d'utilisateurs soucieux de contribuer au dveloppement de la mthode et de disposer des dernires informations son sujet. Page 16 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

2.5 Rigueur de la mthode EBIOS


EBIOS met en uvre des contrles mthodologiques afin d'assurer d'une part la validit interne et externe de la dmarche, et d'autre part que les rsultats de l'tude sont fidles la ralit. Il en rsulte ainsi un outil mthodologique rigoureux.

Une mthode valide : la dmarche peut tre reproduite et vrifie


La mthodologie, science de la mthode, est une mta-mthode que l'on peut voir comme une sorte de bote outils. Dans cette bote, chaque outil est un processus, une technique ou une technologie approprie rsoudre un problme particulier. Elle permet de le rsoudre de manire plus efficace et de systmatiser l'tude, indpendamment du primtre de l'tude lui-mme, en tablissant une suite d'actions mener, de questions se poser, de choix faire Ceci permet d'obtenir des rsultats qui ont une rigueur dmontrable par une dmarche qui peut tre reproduite et vrifie. Sur le plan scientifique, cette validit se dcompose en validit interne et en validit externe. La validit interne fait rfrence l'exactitude des rsultats. Il y a validit interne lorsquil y a concordance entre les donnes et leur interprtation. Une tude peut ainsi tre considre pour sa validit interne, c'est--dire que les rsultats correspondent ce qui a t tudi pour des individus et un moment donns. La validit externe rfre la possibilit de gnraliser des rsultats, c'est ce qui permet d'en tirer des conclusions impartiales au sujet dune population cible plus grande que lensemble des individus ayant particip l'tude. Par exemple, les rsultats dune tude mene avec un chantillon de sept participants dans une unit d'affaires peuvent tre gnraliss lensemble de l'organisation lorsque l'tude a un niveau adquat de validit externe.

Une mthode fidle : la dmarche retranscrit la ralit


La mthode peut s'avrer un outil efficace lorsqu'elle est utilise diligemment dans un contexte bien dtermin (avec des contraintes et des besoins particuliers). Nanmoins, comme d'autres mthodologies servant rpondre des questionnements, elle doit tenir compte de plusieurs sources d'erreur et de biais, en relation la slection des participants, aux mesures utilises, l'analyse (explicative ou statistique) ou l'interprtation des rsultats Elle doit galement donner aux personnes ralisant l'tude des moyens pour limiter l'impact de ces sources d'erreurs et de ces biais. Afin d'assurer que la mthode est fidle la ralit, il convient de respecter un ensemble de critres : la crdibilit : les rsultats de lanalyse des donnes recueillies refltent lexprience des participants ou le contexte avec crdibilit ; l'authenticit : la perspective mique (intrieure des participants) prsente dans les rsultats de l'analyse dmontre une conscience des diffrences subtiles dopinion de tous les participants ; le criticisme : le processus danalyse des donnes recueillies et des rsultats montre des signes dvaluation du niveau de pertinence de ces informations ; l'intgrit : lanalyse reflte une validation de la validit rptitive et rcursive associe une prsentation simple ; l'explicit : les dcisions et interprtations mthodologiques, de mme que les positions particulires de ceux qui ralisent l'tude, sont considres ; le ralisme : des descriptions riches et respectant la ralit sont illustres clairement et avec verve dans les rsultats ; la crativit : des mthodes dorganisation, de prsentation et danalyse des donnes cratives sont incorpores ltude ; l'exhaustivit : les conclusions de l'tude couvrent lensemble des questions poses au dpart de faon exhaustive ; la congruence : le processus et les rsultats sont congruents, ils vont de pair les uns avec les autres et ne sinscrivent pas dans un autre contexte que celui de la situation tudie ; la sensibilit : ltude a t faite en tenant compte de la nature humaine et du contexte socioculturel de l'organisation tudie.

Page 17 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

3 Description de la dmarche
Ce chapitre prsente les cinq modules de la mthode EBIOS :
Module 1 tude du contexte Module 2 tude des vnements redouts Module 4 tude des risques Module 3 tude des scnarios de menaces

Module 5 tude des mesures de scurit

Chaque activit des cinq modules est dcrite sous la forme d'une fiche selon le mme formalisme : Objectif But et description de l'activit, replace dans un contexte gnral. Avantages Liste des principaux avantages apports par la mise en uvre de l'activit. Donnes d'entre Liste des informations d'entre, ncessaires la mise en uvre de l'activit. Actions prconises et rle des parties prenantes Liste des actions prconises et responsabilits gnriques pour raliser l'activit : - "R" = Responsable de la mise en uvre de l'activit - "A" = Autorit lgitime pour approuver l'activit (imputable) - "C" = Consult pour obtenir les informations ncessaires l'activit - "I" = Inform des rsultats de l'activit Les fonctions gnriques, qui peuvent endosser ces responsabilits, sont les suivantes : - Responsable = Responsables du primtre de l'tude - RSSI = Responsable de la scurit de l'information - Risk manager = Gestionnaire de risques - Autorit = Autorits de validation - Dpositaire = Dpositaire de biens essentiels (utilisateurs ou matrises d'ouvrage) - Propritaire = Propritaire de biens supports Donnes produites Liste des informations de sortie, produites par les actions de l'activit. Communication et concertation Liste des principales ides pour obtenir de l'information (techniques employer) et la restituer (prsentation des rsultats, reprsentations graphiques). Surveillance et revue Liste des points de contrle pour vrifier la qualit de la ralisation de l'activit et la tenue jour des informations rsultantes. Propositions pour mettre en uvre les actions prconises Description dtaille de la (des) manire(s) possible(s) de procder pour mettre en uvre les actions prconises.

Page 18 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Module 1 tude du contexte


Ce module a pour objectif de collecter les lments ncessaires la gestion des risques, afin qu'elle puisse tre mise en uvre dans de bonnes conditions, qu'elle soit adapte la ralit du contexte d'tude et que ses rsultats soient pertinents et utilisables par les parties prenantes. Il permet notamment de formaliser le cadre de gestion des risques dans lequel l'tude va tre mene. Il permet galement d'identifier, de dlimiter et de dcrire le primtre de l'tude, ainsi que ses enjeux, son contexte d'utilisation, ses contraintes spcifiques l'issue de ce module, le champ d'investigation de l'tude est donc clairement circonscrit et dcrit, ainsi que l'ensemble des paramtres prendre en compte dans les autres modules. Le module comprend les activits suivantes : Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.2 Prparer les mtriques Activit 1.3 Identifier les biens
Module 1 tude du contexte Module 2 tude des vnements redouts Module 4 tude des risques Module 3 tude des scnarios de menaces

Module 5 tude des mesures de scurit

Page 19 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Activit 1.1 Dfinir le cadre de la gestion des risques


Objectif Cette activit fait partie de l'tablissement du contexte. Elle a pour but de circonscrire le primtre d'tude et de dfinir le cadre dans lequel la gestion des risques va tre ralise. Avantages Permet de circonscrire objectivement le primtre de l'tude Permet de s'assurer de la lgitimit et de la faisabilit des rflexions qui vont tre menes Permet d'orienter les travaux et les livrables en fonction des objectifs rels Donnes d'entre Donnes concernant le contexte du primtre de l'tude (documents stratgiques, documents relatifs aux missions, les attributions et l'organisation, politique de gestion des risques). Donnes concernant le contexte de la gestion des risques et la structure de travail Propritaire Dpositaire Actions prconises et rle des parties prenantes Parties prenantes : Actions : Action 1.1.1. Cadrer l'tude des risques Action 1.1.2. Dcrire le contexte gnral Action 1.1.3. Dlimiter le primtre de l'tude Action 1.1.4. Identifier les paramtres prendre en compte Action 1.1.5. Identifier les sources de menaces Donnes produites Synthse relative au cadre de la gestion des risques Paramtres prendre en compte Sources de menaces Communication et concertation Les donnes sont obtenues l'aide de documents et d'entretiens avec les parties prenantes Les donnes produites peuvent faire l'objet d'une note de cadrage Elles peuvent utilement tre intgres la politique de scurit de l'information Surveillance et revue Le primtre de l'tude (toute l'organisation, une unit d'affaires, un processus) est dfini et dlimit de faon claire et explicite La dfinition du risque est adapte au contexte particulier de l'organisation et dlimite de faon claire et explicite La population l'tude est dfinie Le type dchantillonnage (probabiliste, non probabiliste ou autre) est identifi et justifi en fonction de la population l'tude, du contexte et de la porte de l'tude Les critres de slection (inclusion et exclusion) des participants l'tude sont choisis afin de reprsenter de faon quilibre l'ensemble de l'organisation dans laquelle est ralise l'tude Des processus sont mis en place pour vrifier qu'on a bien considr toutes les informations ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits). Par exemple, l'identification priori des principaux lments qui devront tre considrs dans l'tude permettra de faire une validation post-tude de rsultats afin de s'assurer que rien n'a t omis. Dans le cas de variance entre les attentes dfinies priori et l'analyse post-tude, l'organisation pourra valuer les causes de cette variance afin de s'assurer que celle-ci fut exhaustive et, au besoin, prendre des actions correctives. Risk manager C C Responsable

R R R R R

Page 20 sur 95

Autorit I I A I I

RSSI

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Propositions pour mettre en uvre les actions prconises

Action 1.1.1. Cadrer l'tude des risques

Description

Cette action consiste formaliser le but de l'tude (en termes d'intention et de livrables) et dfinir la manire dont elle va tre mene. En effet, la dmarche qui va tre employe (actions entreprendre parmi l'ensemble des actions de la mthode EBIOS, particularits de mise en uvre, niveau de dtail, parties prenantes impliquer) dpend essentiellement de l'objectif de l'tude. Il convient tout d'abord de formaliser le but de l'tude, comme par exemple : d'optimiser les processus mtiers en matrisant les risques de scurit de l'information ; de mettre en place un systme de management de la scurit de l'information ; d'homologuer un systme d'information ; d'laborer d'une politique de scurit de l'information ; de contribuer la gestion globale des risques de l'organisme Ensuite, il convient d'identifier clairement les livrables attendus, comme par exemple : une politique de scurit de l'information, destination de tout le personnel ; un cahier des charges soumettre pour un appel d'offres ; une cartographie des risques pour le risk manager ; une fiche d'expression rationnelle des objectifs de scurit (FEROS), destination d'une commission d'homologation ; une cible de scurit en vue d'une valuation de produit de scurit ; des orientations stratgiques en matire de scurit de l'information pour la direction Enfin, il convient de planifier la structure de travail pour cadrer l'tude qui va tre ralise : les actions entreprendre (choix des activits ou des actions, particularits d'application) ; les ressources prvoir et le rle des parties prenantes ; le calendrier prvisionnel ; les documents produire (enregistrements, livrables intermdiaires et finaux) ; On peut galement prciser : les chemins de dcision emprunter ; les mcanismes de communication interne et externe ; la population l'tude ; les critres de slection des personnes participant l'tude ; la mthode selon laquelle les performances de la gestion des risques sont values. Conseils Formuler un objectif explicite et en lien avec les objectifs de l'organisme. Identifier clairement le(s) livrable(s) attendu(s) et les personnes qui il(s) est(sont) destin(s). S'interroger sur l'utilit de chaque activit de la mthode et sur la manire de la raliser (quelles actions ? quelles parties prenantes ?...) pour satisfaire l'objectif de l'tude et/ou pour laborer le(s) livrable(s). Le niveau de maturit de l'organisme constitue galement un lment considrer. Afin de dimensionner convenablement les charges ncessaires la ralisation des activits, il convient de ne pas ngliger les runions impliquant de nombreux participants.

Page 21 sur 95

ANSSI/ACE/BAC Exemple

EBIOS Mthode de gestion des risques 25 janvier 2010

L'objectif de l'tude : grer les risques SSI sur le long terme et laborer une politique Le Directeur de la socit @RCHIMED souhaite que les risques de scurit de l'information qui pourraient empcher l'organisme d'atteindre ses objectifs soient grs, et ce, de manire continue, afin d'tre au plus proche d'une ralit en mouvement. Une politique de scurit de l'information doit ainsi tre produite, applique et contrle. Par ailleurs, il n'exclut pas l'ide de faire certifier terme les principales activits du cabinet selon l'ISO 27001 et reconnat l'intrt d'exploiter des meilleures pratiques reconnues internationalement (ISO 27002). Par consquent, une dclaration d'applicabilit devrait tre produite ultrieurement. Le plan d'action : une rflexion sur 15 jours qui requiert la participation de tous Pour ce faire, le cabinet @RCHIMED prvoit la structure de travail suivante : Service comptabilit Service commercial Documents produire en plus de l'tude des risques

Directeur adjoint

Ressources estimes (en h.j) 2 2 6 6 6 1 2 15 0

Bureau d'tudes

Activits d'EBIOS Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.2 Prparer les mtriques Activit 1.3 Identifier les biens Activit 2.1 Apprcier les vnements redouts Activit 3.1 Apprcier les scnarios de menaces Activit 4.1 Apprcier les risques Activit 4.2 Identifier les objectifs de scurit Activit 5.1 Formaliser les mesures de scurit mettre en uvre Activit 5.2 Mettre en uvre les mesures de scurit

I Vrifier l'uniformit de la comprhension Ne pas trop dtailler Utiliser les bases gnriques Utiliser les bases gnriques

R A R R R R A A R R

C C C C C C C

I C C C I I C

I C C C I I C

I C C C I I C

I I I I I I I Note de stratgie Politique de scurit de l'information Homologation Note de cadrage

Cette activit ne sera ralise de suite

Lgende : R = Ralisation ; A = Approbation ; C = Consultation ; I = Information

Page 22 sur 95

Dure (en jours) 2 2 2 2 2 1 1 3 0

Comit de suivi

Consignes particulires

Secrtariat

Directeur

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 1.1.2. Dcrire le contexte gnral

Description Cette action consiste se familiariser avec l'environnement et la conjoncture du primtre de l'tude, de manire inscrire la gestion de risques dans sa ralit et identifier les lments pouvant impacter la manire de grer les risques de scurit de l'information. Le but est ici de faciliter l'intgration de la gestion des risques dans la culture, la structure et les processus de l'organisme en mettant en vidence les lments qu'il conviendra de considrer dans la rflexion de scurit de l'information. L'tude pourra ainsi tre adapte son contexte spcifique afin que les objectifs et proccupations de toutes les parties prenantes puissent tre pris en compte. On peut ainsi utilement collecter les informations suivantes : sur le contexte externe : o l'environnement social et culturel, politique, lgal, rglementaire, financier, technologique, conomique, naturel et concurrentiel, au niveau international, national, rgional ou local ; o les facteurs et tendances ayant un impact dterminant sur les objectifs ; o les relations avec les parties prenantes externes, leurs perceptions et leurs valeurs ; sur le contexte interne : o la description gnrale de l'organisme ; o les aptitudes en termes de ressources (capital, personnels, technologies) ; o les missions (ce que l'organisme doit faire) ; o les valeurs (ce que l'organisme fait bien) ; o les mtiers (ce que l'organisme sait faire) et la culture ; o l'organisation, et les principaux processus mtiers, rles et responsabilits ; o les politiques, les objectifs et les stratgies mises en place pour les atteindre ; o les systmes d'information, flux d'information et processus de prise de dcision ; o les normes, principes directeurs et modles adopts par l'organisme ; o les relations avec les parties prenantes internes ; o la forme et l'tendue des relations contractuelles ; o des lments de conjoncture internes ; o des lments de contexte socioculturel. Il convient galement de replacer la gestion des risques dans la gestion de l'organisme et l'atteinte de ses objectifs, en formalisant par exemples : la dfinition du risque, adapte au contexte ; l'organisation gnrale en matire de gestion des risques : o les interfaces de la gestion des risques avec les processus de l'organisme ; o la politique gnrale de gestion des risques ; o l'engagement de la hirarchie ; o une ventuelle dfinition particulire du risque ; l'organisation spcifique l'tude : o les personnes interroges par module ; o l'(les)autorit(s) de validation ; o les interfaces. Conseils Cette action peut tre prpare l'aide de documents publics (prsentation des activits, bilan annuel), stratgiques (schma directeur, orientations), d'organisation Parce qu'il s'agit d'effectuer une tude des risques, il est essentiel que l'organisme dtermine ce qui consiste un risque pour lui. Par exemple, une rduction de l'utilit attendue (perte de revenus, perte de clientle, diminution de la productivit) d'un systme d'information ou d'un processus d'affaire. Le rsultat de cette action doit tre synthtique : il suffit de faire prendre conscience, de manire simple et concise, du contexte dans lequel l'tude va tre ralise.

Page 23 sur 95

ANSSI/ACE/BAC Exemple

EBIOS Mthode de gestion des risques 25 janvier 2010

L'organisme tudi est la socit @RCHIMED. Il s'agit d'une PME toulonnaise constitue d'une douzaine de personnes. C'est un bureau d'ingnierie en architecture qui ralise des plans d'usines et d'immeubles. Sa vocation principale est de vendre des services pour les professionnels du btiment. @RCHIMED compte de nombreux clients, privs ou publics, ainsi que quelques professionnels du btiment. Son capital s'lve xxxxx et son chiffre d'affaires yyyyy . Ses missions consistent principalement laborer des projets architecturaux, ainsi que des calculs de structures et la cration de plans techniques. Ses valeurs sont la ractivit, la prcision des travaux, la crativit architecturale et la communication. Les principaux mtiers reprsents sont l'architecture et l'ingnierie du btiment. Sa structure organisationnelle est fonctionnelle avec une direction, un service commercial, un bureau d'tudes, un service comptabilit et un service de gestion de site internet. Ses axes stratgiques sont d'une part l'utilisation des nouvelles technologies (Internet, Intranet) dans un but d'ouverture vers l'extrieur et d'optimisation des moyens, et d'autre part la consolidation de l'image de marque (protection des projets sensibles). Ses principaux processus mtiers sont les suivants :

Figure 1 -

Les principaux processus mtiers de la socit

Plusieurs lments de conjoncture ont t identifis : la mise en rseau des systmes informatiques sest effectue avec succs et a permis de rduire encore plus les dlais de ralisation des travaux ; lentreprise a dernirement perdu un march : la rnovation de la mairie de Draguignan. Lors de la prsentation des projets, il est apparu de curieuses similitudes entre la maquette virtuelle d@RCHIMED et la proposition dun concurrent de Nice. Le directeur d@RCHIMED souponne une compromission du projet quil avait prsent. Il a maintenant des craintes sur la confidentialit de certains projets ; larsenal de Toulon semble vouloir rnover certaines installations servant la maintenance des btiments de la marine nationale. @RCHIMED souhaiterait pouvoir se prsenter dventuels appels doffres ; une rude concurrence, dpendant des appels d'offres, s'exerce dans le secteur ; seule une crise trs grave dans le btiment pourrait affecter le fonctionnement du cabinet darchitecture. Page 24 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Une gestion des risques intgre Le risque est dfini comme un "scnario, avec un niveau donn, combinant un vnement redout par @RCHIMED sur son activit, et un ou plusieurs scnarios de menaces. Son niveau correspond l'estimation de sa vraisemblance et de sa gravit". En matire de gestion des risques, les rles et responsabilits sont les suivants : le Directeur d'@RCHIMED est pleinement responsable des risques pesant sur sa socit ; le Directeur adjoint a t mandat pour animer la gestion des risques de scurit de l'information ; il est ainsi responsable de la ralisation des tudes de risques ; un comit de suivi, compos d'un membre de chaque service et prsid par le Directeur adjoint, ralisera la premire tude de risques et se runira ensuite tous les six mois afin de faire le point sur les volutions apporter la gestion des risques de scurit de l'information. Les interfaces de la gestion des risques sont les suivantes : la gestion des risques de scurit de l'information est partie intgrante de la gestion d'@RCHIMED ; ce titre, ses rsultats sont pris en compte dans la stratgie de la socit ; l'ensemble de la socit est concern par la gestion des risques de scurit de l'information, tant pour apprcier les risques que pour appliquer et faire appliquer des mesures de scurit.

Page 25 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 1.1.3. Dlimiter le primtre de l'tude

Description Cette action consiste circonscrire le primtre d'tude au sein du contexte gnral que l'on a dcrit prcdemment, expliquer ce qu'est le primtre de l'tude et ce quoi il sert. Les participants l'tude sont galement dfinis. Pour commencer, on peut formaliser : la prsentation du primtre de l'tude ; sa fonction ou son objectif ; sa contribution aux processus mtiers ; ses enjeux dans le contexte global ; les processus concerns ; les interfaces avec les autres processus ; les parties prenantes ; les ventuels lments carter de la rflexion (types de biens supports, menaces) ; le mode d'exploitation de scurit. l'issue, on doit clairement savoir ce qui fait partie du primtre et ce qui n'en fait pas partie. Le dcoupage du primtre en sous-primtres peut tre envisag pour faciliter la suite de l'tude. L'objectif principal de la dcomposition en sous-primtres est de simplifier l'application de la dmarche. Il est ensuite possible de dterminer soit plusieurs sous-primtres plus simples tudier sparment, soit un seul sous-primtre sur lequel portera prcisment l'tude. L'tude de ces sousprimtres est gnralement plus simple que l'tude globale d'un primtre multiforme, mais le nombre de sous-primtres doit rester faible car chacun fera l'objet d'une tude spare. La dcomposition en sous-primtres facilite : la slection des axes d'effort : elle peut permettre de mettre en vidence des sous-primtres pour lesquels une tude est inutile ou moins prioritaire ; l'organisation de l'tude : l'tude d'un sous-primtre peut tre confie une quipe restreinte. Il n'y a pas de mthode proprement parler permettant de dcomposer un primtre en sousprimtres, mais un ensemble de critres examiner. Les principaux critres de dcomposition applicables sont les suivants : au vu de l'architecture matrielle : faire autant de sous-primtres qu'il y a de machines (ou ensemble de machines) autonomes. Si, dans le cas gnral, les diffrentes machines sont relies les unes aux autres, la dcomposition dpend du niveau d'interoprabilit des diffrentes parties (machines ou ensembles de machines) du primtre ; dcomposition par les fonctions ou les informations essentielles : il peut tre possible de dcomposer un mme sous-primtre physique au vu des fonctions ralises par telle ou telle machine ou partie du primtre ou selon la faon dont sont traites les informations les plus sensibles ; autonomie de responsabilit : un ensemble d'entits formant un tout du point de vue de la responsabilit de mise en uvre (ensemble d'utilisateurs ou mise en uvre technique), pourra tre utilis comme un sous-primtre tudier sparment. Il pourra s'agir d'une partie de primtre place sous la responsabilit d'un service dment identifi sur un organigramme de l'organisme. Ce critre peut galement s'appliquer lorsqu'il existe plusieurs documentations spares ; implantation dans des sous-zones distinctes : si les constituants (matriels, supports, personnels) sont implants dans des sous-zones diffrentes (btiments, sous-zones rserves, sous-sols...), chaque sous-zone est susceptible de constituer un sous-primtre ( condition que le niveau d'interoprabilit avec l'extrieur soit suffisamment faible) ; isolement de "sous-primtres communs" : les quatre premiers critres ayant t appliqus, certains ensembles d'entits ou des constituants peuvent se trouver l'intersection de plusieurs sous-primtres (serveurs communs, rseaux communs, personnels ou sous-zones communes par exemple). Ils sont susceptibles de former des sous-primtres qu'il est possible d'tudier sparment. Les rsultats de ces tudes tant par la suite reports sur les sous-primtres englobant. Il s'agit en quelque sorte d'une factorisation du travail. Page 26 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Il est galement possible d'identifier le mode d'exploitation de scurit du(des) systme(s) informatique(s) prsents dans le primtre de l'tude. Celui-ci dfinit le contexte de gestion de l'information. Il indique comment le systme permet aux utilisateurs de catgories diffrentes de traiter, transmettre ou conserver des informations de sensibilits diffrentes. Gnralement, il appartient l'une des catgories suivantes : Catgorie 1 Exclusif : toutes les personnes ayant accs au systme sont habilites au plus haut niveau de classification et elles possdent un besoin d'en connatre (ou quivalent) identique pour toutes les informations traites, stockes ou transmises par le systme. Catgorie 2 Dominant : toutes les personnes ayant accs au systme sont habilites au plus haut niveau de classification mais elles n'ont pas toutes un besoin d'en connatre (ou quivalent) identique pour les informations traites, stockes ou transmises par le systme. Catgorie 3 Multi-niveaux : les personnes ayant accs au systme ne sont pas toutes habilites au plus haut niveau de classification et elles n'ont pas toutes un besoin d'en connatre (ou quivalent) identique pour les informations traites, stockes ou transmises par le systme. Pour choisir le mode d'exploitation de scurit, il est important de savoir s'il existe ou doit exister : une classification des informations hirarchique (ex : confidentiel, secret) et/ou par compartiment (mdical, socit, nuclaire) ; des catgories d'utilisateurs ; une notion de besoin d'en connatre, d'en modifier, d'en disposer Le choix du mode d'exploitation de scurit peut tre reconsidr au vu des risques identifis lors des tapes suivantes. Il est cependant important de s'interroger sur cet aspect au plus tt car sa mise en uvre a de fortes consquences sur l'architecture du systme informatique. Une fois le primtre dlimit, il convient de dfinir les participants l'tude : la population l'tude, pour adapter les mtriques et gnraliser les rsultats ; le type dchantillonnage (probabiliste, non probabiliste ou autre) selon la population l'tude, le contexte et la porte de l'tude ; les critres de slection (inclusion et exclusion). Cette dfinition permet de mettre en place des critres objectifs de slection afin de rduire l'impact de la subjectivit et de biais de slections sur l'tude. Conseils Le rsultat de cette action doit tre synthtique : il doit permettre de comprendre rapidement et sans ambigut ce qu'est le primtre de l'tude, ce quoi il sert et ses enjeux pour l'organisme. Il n'est pas ncessaire de dcrire la composition du primtre de l'tude de manire dtaille (cela sera demand dans l'activit suivante), mais il doit tre possible de se faire une bonne ide de sa taille et de sa complexit. Une attention particulire doit tre porte sur les liens avec les objectifs de l'organisme, car c'est en reliant les risques de scurit de l'information ces objectifs qu'ils prendront tout leur sens pour les parties prenantes. La population l'tude est lie celle du primtre de l'tude, mais il est recommand de dfinir cette population de faon explicite afin de permettre une validation des rsultats en fonction de critres prcis, afin de permettre l'application des rsultats l'ensemble du primtre vis. Exemple Le choix du primtre d'tude s'est port sur le sous-ensemble du systme d'information du cabinet @RCHIMED correspondant son cur de mtier : gestion des relations commerciales (gestion des devis, projets) ; gestion des tudes (calculs de structure, plans techniques, visualisations 3D) ; gestion des services web (nom de domaine, site Internet, courrier lectronique).

Page 27 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Figure 2 -

Le primtre dtude

La gestion administrative est donc en dehors du primtre d'tude : grer la comptabilit ; grer les contentieux juridiques et techniques ; gestion administrative interne (ressources humaines, maintenance, assurances) ; gestion des permis de construire. Les principales interfaces concernent : les clients (de visu, par tlphone, par courrier papier et lectronique), les cotraitants btiment (de visu, par tlphone, par courrier papier et lectronique), l'hbergeur du site web (via une connexion Internet, par courrier papier et lectronique). Le systme informatique du cabinet @RCHIMED est compos de deux rseaux locaux, l'un pour le bureau dtudes et l'autre pour le reste de la socit, sur un seul site et dpendant uniquement de la socit, utiliss par une douzaine de personnes manipulant des logiciels mtiers. La gestion du site web est assure par un poste isol, en relation avec un hbergeur sur Internet. Le sujet de l'tude reprsente la partie du systme d'information d'@RCHIMED indispensable pour qu'il exerce son mtier. L'ensemble du patrimoine informationnel du cabinet est cr, trait et stock sur ce systme d'information. Les enjeux suivants ont t identifis : favoriser louverture du systme informatique vers lextrieur ; dmontrer la capacit du cabinet protger les projets sensibles (assurer la confidentialit relative aux aspects techniques) ; amliorer les services rendus aux usagers et la qualit des prestations ; amliorer les changes avec les autres organismes (fournisseurs, architectes). Les participants l'tude sont dfinis comme suit : la population l'tude est l'ensemble des collaborateurs travaillant dans le primtre choisi (gestion des relations commerciales, gestion des tudes et gestion des services web) ; au moins un personnel de chaque catgorie (direction, commercial, ingnieur, technicien) participe ltude ; dautres personnels peuvent galement participer ltude afin dapporter un point de vue extrieur ; les critres de slection sont les meilleures connaissances du mtier en gnral, et des processus d@RCHIMED. Page 28 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 1.1.4. Identifier les paramtres prendre en compte

Description Cette action consiste recenser les lments qui devraient avoir une incidence sur la gestion des risques (sur l'apprciation et/ou le traitement) : les rfrences communautaires, lgales et rglementaires appliquer ; les rfrences internes relatives la scurit de l'information appliquer ; les contraintes de conformit des rfrentiels (ex : ISO 27001, homologations) ; les contraintes qui psent sur l'organisme ; les contraintes pesant spcifiquement sur le primtre de l'tude ; les hypothses. La prise en compte des lois, rgles ou rglements peut enfin limiter le choix de solutions matrielles ou procdures et modifier l'environnement ou les habitudes de travail. Il convient par consquent de recenser les rfrences communautaires, lgales et rglementaires applicables au primtre de l'tude. On ne retiendra que les rfrences susceptibles d'avoir un impact sur l'tude. Les principales rfrences internes relatives la scurit de l'information et applicables au primtre de l'tude, notamment : des politiques de scurit (globale, de l'information, du systme d'information, du patrimoine informationnel) ou documents d'application (politiques locales, procdures) ; des schmas directeurs traitant de scurit de l'information ; des plans de continuit (des activits, des applications), de secours ou de reprise ; des rsultats d'audits relatifs la scurit de l'information Les contraintes qui psent sur l'organisme pourront tre identifies. Elles peuvent tre d'origine interne l'organisme, auquel cas celui-ci peut ventuellement les amnager, ou extrieures l'organisme, et donc en rgle gnrale, incontournables. Il peut s'agir, par exemples, de : contraintes d'ordre politique : elles peuvent concerner les administrations de l'tat, les tablissements publics ou en rgle gnrale tout organisme devant appliquer les dcisions gouvernementales. D'une manire gnrale, il s'agit de dcisions d'orientation stratgique ou oprationnelle, manant d'une Direction ou d'une instance dcisionnelle et qui doivent tre appliques ; Par exemple, le principe de dmatrialisation des factures ou des documents administratifs induit des problmes de scurit. contraintes d'ordre stratgique : des contraintes peuvent rsulter d'volutions prvues ou possibles des structures ou des orientations de l'organisme. Elles s'expriment dans les schmas directeurs d'organisation stratgiques ou oprationnels ; Par exemple, les cooprations internationales sur la mise en commun d'informations sensibles peuvent ncessiter des accords au niveau des changes scuriss. contraintes territoriales : la structure et/ou la vocation de l'organisme peut induire des contraintes particulires telles que la dispersion des sites sur l'ensemble du territoire national ou l'tranger ; Par exemple, les agences de la poste, les ambassades, les banques, les diffrentes filiales d'un grand groupe industriel... contraintes conjoncturelles : le fonctionnement de l'organisme peut tre profondment modifi par des situations particulires telles que des grves, des crises nationales ou internationales ; Par exemple, la continuit de certains services doit pouvoir tre assure mme en priode de crise grave. contraintes structurelles : la structure de l'organisme peut induire, du fait de sa nature (divisionnelle, fonctionnelle ou autre), une politique de scurit qui lui est spcifique et une organisation de la scurit adapte ces structures ; Par exemple, une structure internationale doit pouvoir concilier des exigences de scurit propres chaque nation. contraintes fonctionnelles : il s'agit des contraintes directement issues des missions gnrales ou spcifiques de l'organisme ; Par exemple, un organisme peut avoir une mission de permanence qui exigera une disponibilit maximale de ses moyens. Page 29 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

contraintes relatives au personnel : les contraintes relatives au personnel sont de natures trs diverses et lies aux caractristiques suivantes : niveau de responsabilit, recrutement, qualification, formation, sensibilisation la scurit, motivation, disponibilit Par exemple, il peut tre ncessaire que l'ensemble du personnel d'un organisme de la dfense soit habilit pour des confidentialits suprieures. contraintes d'ordre calendaire : elles peuvent rsulter de rorganisations de services, de la mise en place de nouvelles politiques nationales ou internationales qui vont imposer des chances date fixe ; Par exemple, la cration dune direction de la scurit. contraintes relatives aux mthodes : compte tenu des savoir-faire internes l'organisme, certaines mthodes (au niveau de la planification du projet, des spcifications, du dveloppement) seront imposes ; La contrainte peut tre, par exemple, de devoir associer la politique de scurit aux actions relatives la qualit, en vigueur dans l'organisme. contraintes d'ordre culturel : dans certains organismes les habitudes de travail ou le mtier principal ont fait natre une "culture", propre cet organisme, qui peut constituer une incompatibilit avec les mesures de scurit. Cette culture constitue le cadre de rfrence gnral des personnes de l'organisme et peut concerner de nombreux paramtres tels que les caractres, l'ducation, l'instruction, l'exprience professionnelle ou extra-professionnelle, les opinions, la philosophie, les croyances, les sentiments, le statut social contraintes d'ordre budgtaire : les mesures de scurit prconises ont un cot qui peut, dans certains cas, tre trs important. Si les investissements dans le domaine de la scurit ne peuvent s'appuyer sur des critres de rentabilit, une justification conomique est gnralement exige par les services financiers de l'organisation ; Par exemple, dans le secteur priv et pour certains organismes publics, le cot total des mesures de scurit ne doit pas tre suprieur aux consquences des risques redouts. La direction doit donc apprcier et prendre des risques calculs si elle veut viter un cot prohibitif pour la scurit. Les contraintes pesant spcifiquement sur le primtre de l'tude peuvent galement tre recenses quand elles ont un impact. Il peut s'agir, par exemples, de : contraintes d'antriorit : tous les projets d'applications ne peuvent pas tre dvelopps simultanment. Certains sont dpendants de ralisations pralables. Un systme peut faire l'objet d'une dcomposition en sous-systmes ; un systme n'est pas forcment conditionn par la totalit des sous-systmes (par extension des fonctions d'un systme) d'un autre systme ; contraintes techniques : elles peuvent provenir des fichiers (exigences en matire d'organisation, de gestion de supports, de gestion des rgles d'accs), de l'architecture gnrale (exigences en matire de topologie, qu'elle soit centralise, rpartie, distribue, ou de type client-serveur, d'architecture physique), des logiciels applicatifs (exigences en matire de conception des logiciels spcifiques, de standards du march), des progiciels (exigences de standards, de niveau d'valuation, qualit, conformit aux normes, scurit), des matriels (exigences en matire de standards, qualit, conformit aux normes), des rseaux de communication (exigences en matire de couverture, de standards, de capacit, de fiabilit), des infrastructures immobilires (exigences en matire de gnie civil, construction des btiments, courants forts, courants faibles) contraintes financires : la mise en place de mesures de scurit est souvent limite par le budget que l'organisme peut y consacrer, nanmoins la contrainte financire est prendre en compte en dernier lieu (la part du budget alloue la scurit pouvant tre ngocie en fonction de l'tude de scurit) ; contraintes d'environnement : elles proviennent de l'environnement gographique ou conomique dans lequel le SI est implant : pays, climat, risques naturels, situation gographique, conjoncture conomique contraintes de temps : le temps ncessaire la mise en place de mesures de scurit doit tre mis en rapport avec l'volutivit du SI ; en effet, si le temps d'implmentation est trs long, la parade peut ne pas tre en rapport avec les risques qui auront volus. Le temps est dterminant dans le choix des solutions et des priorits ; contraintes relatives aux mthodes : compte tenu des savoir-faire et des habitudes dans l'organisme, certaines mthodes (au niveau de la planification du projet, des spcifications et du dveloppement) seront imposes ; contraintes organisationnelles : l'exploitation (exigences en matire de dlais, de fourniture de rsultats, de services, exigences de surveillance, de suivi, de plans de secours, fonctionnement en mode dgrad), la maintenance (exigences d'actions de diagnostic Page 30 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

d'incidents, de prvention, de correction rapide), la gestion des ressources humaines (exigences en matire de formation des oprationnels et des utilisateurs, de qualification pour l'occupation des postes tels qu'administrateur systme ou administrateur de donnes), la gestion administrative (exigences en matire de responsabilits des acteurs), la gestion des dveloppements (exigences en matire d'outils de dveloppement, AGL, de plans de recette, d'organisation mettre en place), la gestion des relations externes (exigences en matire d'organisation des relations tierces, en matire de contrats) Les hypothses sont le plus souvent imposes par lorganisme responsable de ltude, pour des raisons de politique interne ou externe de lorganisme, financires ou de calendrier. Les hypothses peuvent aussi constituer un risque accept a priori sur un environnement donn. Conseils Enrichir cette action au fur et mesure de l'tude. Une fois ces paramtres identifis, il peut tre utile d'indiquer s'ils vont avoir une incidence sur l'apprciation et/ou sur le traitement des risques, ce qui facilitera la dmonstration ultrieure de couverture de ces paramtres. Exemple Un ensemble de contraintes prendre en compte a t identifi : relatives au personnel : o le personnel est utilisateur de l'informatique, mais pas spcialiste, o le responsable informatique est l'adjoint du directeur, il est architecte de formation, o le personnel de nettoyage intervient de 7h 8h, o la rception des clients se fait dans les bureaux des commerciaux, mais des visites ont parfois lieu au bureau d'tudes ; d'ordre calendaire : o la priode de pointe se situant d'octobre mai, toute action (installation de systme de scurit, formation et sensibilisation) se fera en dehors de cette priode ; d'ordre budgtaire : o la socit a fait un effort important en matire d'informatisation, tout investissement supplmentaire devra tre dment justifi ; d'ordre technique : o les rgles de conception architecturale doivent tre respectes, o des logiciels professionnels du domaine architectural doivent tre employs ; d'environnement : o le cabinet loue deux tages d'un immeuble au centre ville, o le cabinet est au voisinage de commerces divers, o aucun dmnagement n'est planifi.

Page 31 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 1.1.5. Identifier les sources de menaces

Description Cette action consiste dterminer les sources de menaces pertinentes vis--vis du contexte particulier du primtre de l'tude. Les parties prenantes doivent rflchir aux origines des risques : qui ou quoi pourrait porter atteinte aux besoins de scurit exprims et engendrer les impacts identifis ? La rflexion, qui devrait tre mene avec lautorit responsable du primtre de l'tude du fait qu'elle est la plus mme d'en avoir une vision globale et objective, consiste slectionner les sources de menaces les plus pertinentes selon le contexte particulier du primtre de l'tude. Elle aura essentiellement pour finalit d'apprcier les risques de manire pertinente vis--vis de ces sources et de dterminer des mesures de scurit adaptes ces sources. Il convient tout d'abord de choisir une typologie de sources de menaces. Les bases de connaissances de la mthode proposent une liste gnrique que l'on peut directement utiliser ou que l'on peut ajuster. Cette typologie doit aider les parties prenantes envisager des origines de diffrentes natures, auxquelles elles n'auraient peut-tre pas song, et ce, dans leur contexte particulier. Bien que, potentiellement, n'importe quelle source de menace puisse tre considre, il convient ici d'identifier celles qui sont rellement prsentes dans l'environnement du primtre de l'tude et auxquelles on dcide de pouvoir s'opposer. Cela ne signifie pas forcment qu'elles soient visibles, ni mme prcisment connues. Il s'agit en effet des sources de menaces que l'on peut redouter, selon la conjoncture sociale, politique, conomique, gographique, climatique Ainsi, il conviendra de ne pas retenir les sources de menaces auxquelles on estime ne pas tre expos selon : leur origine, humaine ou non humaine ; leur lien avec le primtre de l'tude (interne ou externe) ; dans le cas de sources humaines : o leur caractre intentionnel (et dans ce cas leur motivation) ou accidentel, o leurs capacits (force intrinsque, selon leurs ressources, leur expertise, leur dangerosit) ; dans le cas de sources non humaines : o leur type (naturelle, animale, contingence). Les sources de menaces devraient ensuite tre caractrises. Plus la rflexion est pousse, plus l'apprciation des risques sera pertinente et plus les mesures de scurit destines les contrer seront appropries. Chaque source de menace peut ainsi tre illustre d'exemples reprsentatifs dans le contexte considr, et dcrite de manire plus ou moins dtaille. De plus, des valeurs peuvent tre estimes pour : l'exposition ces sources de menaces ("frquence" des incidents ou sinistres SSI lis ces sources de menaces) ; leur potentiel : o leur motivation (attraction envers les biens dans le cadre du primtre de l'tude, jeu, vengeance, agent, effet mdiatique, peur), o leur facilit d'accs au primtre de l'tude, o leur capacit mobiliser de l'nergie, o le temps disponible l'action, o les comptences techniques disponibles, o les ressources financires ou matrielles ; leur capacit de dissimulation

Page 32 sur 95

ANSSI/ACE/BAC Conseils

EBIOS Mthode de gestion des risques 25 janvier 2010

Une manire de procder consiste partir de la typologie propose dans les bases de connaissances, carter les sources de menaces qui ne concernent pas le primtre de l'tude en le justifiant (ne garder que les plus pertinentes), illustrer simplement les sources de menaces retenues (un employ, un concurrent, le personnel d'entretien, un pirate, une fort) et les dcrire plus prcisment afin de sensibiliser et d'impliquer les parties prenantes. Ce sont souvent des acteurs externes (par exemple les autorits publiques) qui informent l'organisme des sources de menaces considrer plus particulirement un moment donn. Exemple Le cabinet @RCHIMED souhaite s'opposer aux sources de menaces suivantes : Types de sources de menaces Source humaine interne, malveillante, avec de faibles capacits Source humaine interne, malveillante, avec des capacits importantes Source humaine interne, malveillante, avec des capacits illimites Source humaine externe, malveillante, avec de faibles capacits Source humaine externe, malveillante, avec des capacits importantes Source humaine externe, malveillante, avec des capacits illimites Source humaine interne, sans intention de nuire, avec de faibles capacits Source humaine interne, sans intention de nuire, avec des capacits importantes Source humaine interne, sans intention de nuire, avec des capacits illimites Source humaine externe, sans intention de nuire, avec de faibles capacits Source humaine externe, sans intention de nuire, avec des capacits importantes Source humaine externe, sans intention de nuire, avec des capacits illimites Virus non cibl Phnomne naturel Catastrophe naturelle ou sanitaire Activit animale vnement interne Retenu ou non Non, le cabinet n'estime pas y tre expos Non, le cabinet n'estime pas y tre expos Non, le cabinet n'estime pas y tre expos Oui Exemple

Oui Non, le cabinet n'estime pas y tre expos Oui Non, le cabinet n'estime pas y tre expos Oui

Personnel de nettoyage (soudoy) Script-kiddies Concurrent (ventuellement en visite incognito) Maintenance informatique

Employ peu srieux

Oui

Oui Non, le cabinet n'estime pas y tre expos Oui Oui Oui Non, le cabinet n'estime pas y tre expos Oui

Employ peu srieux (ceux qui ont un rle d'administrateur) Client Cotraitant Partenaire Fournisseur d'accs Internet Hbergeur

Virus non cibl Phnomne naturel (foudre, usure) Maladie

Panne lectrique Incendie des locaux

Page 33 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Activit 1.2 Prparer les mtriques


Objectif Cette activit fait partie de l'tablissement du contexte. Elle a pour but de fixer l'ensemble des paramtres et des chelles qui serviront grer les risques. Elle peut tre commune plusieurs tudes. Avantages Permet de garantir l'homognit des estimations Permet la rptabilit dans le temps des activits de gestion des risques Donnes d'entre Synthse relative au cadre de la gestion des risques Propritaire Dpositaire Actions prconises et rle des parties prenantes Parties prenantes : Actions : Action 1.2.1. Dfinir les critres de scurit et laborer les chelles de besoins Action 1.2.2. laborer une chelle de niveaux de gravit Action 1.2.3. laborer une chelle de niveaux de vraisemblance Action 1.2.4. Dfinir les critres de gestion des risques Donnes produites Critres de scurit chelles de mesures Critres de gestion des risques Communication et concertation Les donnes sont obtenues sur la base d'tude de l'existant, d'entretiens individuels ou d'changes entre les parties prenantes Les rsultats peuvent tre intgrs dans la politique de scurit de l'information Surveillance et revue Les variables (critres de scurit, types dimpacts) qui seront mesures sont justifies en fonction de la dfinition du risque, du contexte de l'tude et des objectifs. Les types d'chelles utiliss sont explicitement identifis : o nominale (objets classs dans des catgories, nombres sans valeur numrique), o ordinale (objets classs par ordre de grandeur, nombres indiquant des rangs et non des quantits), o ordinale avec continuum sous-jacent (identique l'ordinale, mais qui utilise des curseurs ou une chelle de Lickert, pour effectuer des oprations statistiques avec les mesures rsultantes), o intervalles (gaux entre les nombres, nombres qui peuvent tre additionns ou soustraits, sans tre absolus car le zro est arbitraire), o proportions (chelle avec un zro absolu, nombres reprsentant des quantits relles, possibilit d'excuter sur elles toutes les oprations mathmatiques) Les chelles utilises sont appropries pour mesurer les variables de l'tude Les chelles sont explicites, non ambigus, bornes et couvrent tous les cas envisags Des instruments de mesure sont identifis (questionnaires, guides d'entretiens) et leur pertinence est justifie Lorsque les instruments de mesure sont construits pour les besoins de l'tude, leur justesse est valide (tests prliminaires, utilisations antrieures) Les critres de gestion sont pertinents par rapport aux variables et aux chelles Les critres de gestion sont bass davantage sur la rflexion que sur des calculs numriques Page 34 sur 95 Risk manager C C C Responsable

R R R R

C C C C

Autorit A A A A

RSSI

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Propositions pour mettre en uvre les actions prconises

Action 1.2.1. Dfinir les critres de scurit et laborer les chelles de besoins

Description Cette action consiste choisir les critres de scurit qui seront tudis, produire une dfinition pour chacun d'eux et laborer autant d'chelles de besoins que de critres de scurit retenus. Les critres de scurit constituent des facteurs permettant de relativiser l'importance des diffrents biens essentiels selon les besoins mtiers, et serviront ainsi dcrire les conditions dans lesquelles le mtier s'exerce convenablement. Trois critres de scurit sont incontournables (leur dfinition figure dans le glossaire de la mthode) : la disponibilit : elle reflte le besoin que des biens essentiels soient accessibles ; elle peut correspondre la dure ncessaire pour avoir accs au bien essentiel (ex. : 1 heure, 1 journe, 1 semaine) et/ou un taux (ex. : 99%) ; on peut mme sparer ces deux notions en deux critres de scurit distincts ; l'intgrit : elle reflte le besoin que des biens essentiels ne soient pas altrs ; elle correspond autant leur niveau de conformit qu' leur stabilit, leur exactitude, leur compltude ; la confidentialit : elle reflte le besoin que des biens essentiels ne soient pas compromis ni divulgus ; elle correspond au nombre ou catgories de personnes autorises y accder. Les besoins sont parfois exprims selon d'autres "critres de scurit", tels que la preuve, l'imputabilit, l'auditabilit, la fiabilit, la traabilit Il ne s'agit videmment pas de facteurs permettant de reflter des besoins mtiers. Il s'agit de diffrentes fonctions / solutions de scurit, mises en place pour satisfaire des besoins de disponibilit, d'intgrit ou de confidentialit, et non de vritables critres de scurit. Nanmoins, on peut les considrer comme tels si ces notions paraissent rellement au cur du mtier de l'organisme, si elles sont ancres dans sa culture ou si on tient orienter fortement la communication qui sera faite autour d'une tude sur l'une de ces notions. Une chelle de besoins est gnralement ordinale (les objets sont classs par ordre de grandeur, les nombres indiquent des rangs et non des quantits) et compose de plusieurs niveaux permettant de classer l'ensemble des biens essentiels tudis. Chaque niveau reflte un besoin mtier possible. Il doit tre facile de dterminer le niveau ncessaire pour chaque bien essentiel. Les diffrents niveaux devraient ainsi tre trs explicites, non ambigus, et avec des limites claires. On note que le nombre de niveaux des diffrentes chelles n'est pas ncessairement le mme. Le principal enjeu concernant une chelle de besoins rside dans le fait qu'elle soit comprise et utilisable par les personnes qui vont exprimer les besoins de scurit des biens essentiels. Cette chelle doit donc tre adapte au contexte de l'tude. Son laboration peut utilement tre ralise en collaboration avec les personnes qui vont dterminer les besoins. Ainsi, chaque valeur aura une relle signification pour elles et les valeurs seront cohrentes. Conseils Ne considrer que la disponibilit, l'intgrit et la confidentialit, et se baser sur les dfinitions fournies dans le glossaire de la mthode. S'assurer que les critres de scurit, les niveaux et leurs descriptions sont bien compris par les parties prenantes et ajuster la terminologie et les descriptions si besoin. Chaque niveau doit tre dcrit en termes fonctionnels de besoins mtiers (le bien essentiel est ncessaire dans l'heure pour que le mtier s'exerce de manire acceptable), et non en termes d'impacts (ex. : la compromission du bien essentiel peut engendrer une perte importante de chiffre d'affaires).

Page 35 sur 95

ANSSI/ACE/BAC Exemple

EBIOS Mthode de gestion des risques 25 janvier 2010

Afin d'exprimer les besoins de scurit, les critres de scurit retenus sont les suivants : Critres de scurit Dfinitions Disponibilit Proprit d'accessibilit au moment voulu des biens essentiels. Intgrit Proprit d'exactitude et de compltude des biens essentiels. Confidentialit Proprit des biens essentiels de n'tre accessibles qu'aux utilisateurs autoriss. L'chelle suivante sera utilise pour exprimer les besoins de scurit en termes de disponibilit : Niveaux de l'chelle Plus de 72h Entre 24 et 72h Entre 4 et 24h Moins de 4h Description dtaille de l'chelle Le bien essentiel peut tre indisponible plus de 72 heures. Le bien essentiel doit tre disponible dans les 72 heures. Le bien essentiel doit tre disponible dans les 24 heures. Le bien essentiel doit tre disponible dans les 4 heures.

L'chelle suivante sera utilise pour exprimer les besoins de scurit en termes d'intgrit : Niveaux de l'chelle Description dtaille de l'chelle Dtectable Le bien essentiel peut ne pas tre intgre si l'altration est identifie. Le bien essentiel peut ne pas tre intgre, si l'altration est identifie et Matris l'intgrit du bien essentiel retrouve. Intgre Le bien essentiel doit tre rigoureusement intgre. L'chelle suivante sera utilise pour exprimer les besoins de scurit en termes de confidentialit : Niveaux de l'chelle Description dtaille de l'chelle Public Le bien essentiel est public. Limit Le bien essentiel ne doit tre accessible qu'au personnel et aux partenaires. Rserv Le bien essentiel ne doit tre accessible qu'au personnel (interne) impliques. Le bien essentiel ne doit tre accessible qu' des personnes identifies et Priv ayant le besoin d'en connatre.

Page 36 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 1.2.2. laborer une chelle de niveaux de gravit

Description Cette action consiste crer une chelle dcrivant tous les niveaux possibles des impacts. Tout comme les chelles de besoins, une chelle de niveaux d'impacts est gnralement ordinale (les objets sont classs par ordre de grandeur, les nombres indiquent des rangs et non des quantits) et compose de plusieurs niveaux permettant de classer l'ensemble des risques. Chaque niveau reflte l'estimation de la hauteur des consquences cumules d'un sinistre. Il doit tre facile de dterminer le niveau ncessaire pour chaque risque. Les diffrents niveaux devraient ainsi tre trs explicites, non ambigus, et avec des limites claires. Le principal enjeu concernant une chelle de niveaux d'impacts rside dans le fait qu'elle soit comprise et utilisable par les personnes qui vont juger de l'importance des consquences de la ralisation des sinistres. Son laboration peut utilement tre ralise en collaboration avec les personnes qui vont estimer ces niveaux. Ainsi, chaque valeur aura une relle signification pour elles et les valeurs seront cohrentes. Conseils Bien que les chelles de niveaux d'impacts puissent tre relativement subjectives, il convient surtout de s'assurer que les parties prenantes sauront discriminer clairement les diffrents niveaux. S'assurer que les niveaux et leurs descriptions sont bien compris par les parties prenantes et les ajuster si besoin. Une chelle par niveaux permettra de mettre en vidence les progrs raliss par la mise en place de mesures de scurit, alors qu'une chelle ordinale permettra de positionner de manire bien distincte tous les risques dans une cartographie. Il est galement possible d'utiliser les deux types d'chelles simultanment. Exemple L'chelle suivante sera utilise pour estimer la gravit des vnements redouts et des risques : Niveaux de l'chelle 1. Ngligeable 2. Limite 3. Importante 4. Critique Description dtaille de l'chelle @RCHIMED surmontera les impacts sans aucune difficult. @RCHIMED surmontera les impacts malgr quelques difficults. @RCHIMED surmontera les impacts avec de srieuses difficults. @RCHIMED ne surmontera pas les impacts (sa survie est menace).

Page 37 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 1.2.3. laborer une chelle de niveaux de vraisemblance

Description Cette action consiste crer une chelle dcrivant tous les niveaux possibles de vraisemblance des scnarios de menaces. Tout comme les chelles de besoins et de niveaux d'impacts, une chelle de niveaux de vraisemblance est gnralement ordinale (les objets sont classs par ordre de grandeur, les nombres indiquent des rangs et non des quantits) et compose de plusieurs niveaux permettant de classer l'ensemble des risques analyss. Chaque niveau reflte l'estimation de la possibilit de ralisation d'un sinistre. Il doit tre facile de dterminer le niveau ncessaire pour chaque risque. Les diffrents niveaux devraient ainsi tre trs explicites, non ambigus, et avec des limites claires. Le principal enjeu concernant une chelle de niveaux de vraisemblance rside dans le fait qu'elle soit comprise et utilisable par les personnes qui vont juger de la possibilit qu'un sinistre ait lieu. Son laboration peut utilement tre ralise en collaboration avec les personnes qui vont estimer ces niveaux. Ainsi, chaque valeur aura une relle signification pour elles et les valeurs seront cohrentes. Conseils Bien que les chelles de niveaux de vraisemblance puissent tre relativement subjectives, il convient surtout de s'assurer que les parties prenantes sauront discriminer clairement les diffrents niveaux. S'assurer que les niveaux et leurs descriptions sont bien compris par les parties prenantes et les ajuster si besoin. Une chelle par niveaux permettra de mettre en vidence les progrs raliss par la mise en place de mesures de scurit, alors qu'une chelle ordinale permettra de positionner de manire bien distincte tous les risques dans une cartographie. Il est galement possible d'utiliser les deux types d'chelles simultanment. Exemple L'chelle suivante sera utilise pour estimer la vraisemblance des scnarios de menaces et des risques : Niveaux de l'chelle 1. Minime 2. Significative 3. Forte 4. Maximale Description dtaille de l'chelle Cela ne devrait pas se (re)produire. Cela pourrait se (re)produire. Cela devrait se (re)produire un jour ou l'autre. Cela va certainement se (re)produire prochainement.

Page 38 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 1.2.4. Dfinir les critres de gestion des risques

Description Cette action consiste formaliser les rgles choisies pour faire des choix tout au long d'une tude. Toute action de l'tude qui ncessite une dcision peut faire l'objet d'un critre de gestion de risques. Les critres de gestion des risques permettent notamment d'estimer et d'valuer les risques et de prendre des dcisions concernant leur apprciation et leur traitement. Ils refltent les valeurs, les objectifs et les ressources de l'organisme. Ils peuvent tre imposs ou rsulter d'obligations lgales et rglementaires, ou d'autres exigences auxquelles l'organisme rpond. Ils tiennent ainsi compte de la nature des causes et des consquences qui peuvent survenir, de la faon dont elles vont tre mesures, des mthodes d'estimation, des chelles choisies, des avis des parties prenantes, du niveau partir duquel les risques deviennent acceptables ou tolrables, de la prise en compte ou non des combinaisons de plusieurs risques Il convient que les critres de gestion des risques soient cohrents avec la politique de gestion des risques de l'organisme, dfinis au pralablement l'tude, ce qui contribue la transparence et la rigueur de l'approche, et facilite l'adhsion des parties prenantes, et revus rgulirement. On peut ainsi dfinir la manire dont : les vnements redouts sont estims et valus ; les scnarios de menaces sont estims et valus ; les risques sont estims et valus ; les risques sont traits et valids (notamment les choix de traitement et les risques rsiduels) Conseils Minimiser les automatismes, qui dresponsabilisent les parties prenantes et peuvent de plus apporter une scientificit illusoire. Lors d'une premire utilisation de la mthode et s'il n'existe pas dj de critres de gestion des risques, il est possible de les formaliser au fur et mesure du droulement de l'tude. Exemple Les critres de gestion des risques retenus sont les suivants : Action Estimation des vnements redouts (module 2) valuation des vnements redouts (module 2) Estimation des risques (module 4) Critre de gestion des risques (rgle choisie pour raliser l'action) Les vnements redouts sont estims en termes de gravit l'aide de l'chelle dfinie cet effet. Les vnements redouts sont classs par ordre dcroissant de vraisemblance. La gravit d'un risque est gale celle de l'vnement redout considr. La vraisemblance d'un risque est gale la vraisemblance maximale de tous les scnarios de menaces lis l'vnement redout considr. Les risques dont la gravit est critique, et ceux dont la gravit est importante et la vraisemblance forte ou maximale, sont jugs comme intolrables. Les risques dont la gravit est importante et la vraisemblance significative, et ceux dont la gravit est limite et la vraisemblance forte ou maximale, sont jugs comme significatifs. Les autres risques sont jugs comme ngligeables.

valuation des risques (module 4)

Page 39 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Activit 1.3 Identifier les biens


Objectif Cette activit fait partie de l'tablissement du contexte. Elle a pour but d'identifier les biens au sein du primtre de l'tude et ainsi de mettre en vidence les lments ncessaires aux autres activits. Avantages Permet de comprendre le fonctionnement du primtre de l'tude Permet de prendre en compte les mesures de scurit existantes (que celles-ci soient formalises ou non) pour valoriser le travail dj effectu et ne pas le remettre en cause Donnes d'entre Donnes concernant le contexte du primtre de l'tude (documents concernant le systme d'information, synthses d'entretiens avec des responsables de l'organisme). Propritaire R R R Dpositaire R Actions prconises et rle des parties prenantes Parties prenantes : Actions : Action 1.3.1. Identifier les biens essentiels, leurs relations et leurs dpositaires Action 1.3.2. Identifier les biens supports, leurs relations et leurs propritaires Action 1.3.3. Dterminer le lien entre les biens essentiels et les biens supports Action 1.3.4. Identifier les mesures de scurit existantes Donnes produites Biens essentiels Biens supports Tableau crois biens essentiels / biens supports Mesures de scurit existantes Communication et concertation Les donnes sont obtenues sur la base d'tude de l'existant, d'entretiens individuels ou d'changes entre les parties prenantes Elles peuvent tre intgres la politique de scurit de l'information Surveillance et revue La mthode de collecte et d'enregistrement des donnes est clairement prcise Toutes les donnes produites sont comprises et acceptes par les parties prenantes Risk manager I Responsable

A A A A

C C C C

Page 40 sur 95

Autorit

RSSI

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Propositions pour mettre en uvre les actions prconises

Action 1.3.1. Identifier les biens essentiels, leurs relations et leurs dpositaires

Description Cette action consiste recenser, au sein du patrimoine informationnel du primtre de l'tude, celui qui peut tre jug comme essentiel. Les biens essentiels reprsentent le patrimoine informationnel, ou les "biens immatriels", que l'on souhaite protger, c'est--dire ceux pour lesquels le non respect de la disponibilit, de l'intgrit, de la confidentialit, voire d'autres critres de scurit, mettrait en cause la responsabilit du dpositaire, ou causerait un prjudice eux-mmes ou des tiers. Par exemple : les informations on fonctions vitales pour l'exercice de la mission ou du mtier de l'organisme ; les traitements secrets ou procds technologiques de haut niveau ; les informations personnelles, notamment les informations nominatives au sens de la loi franaise informatique et liberts ; les informations stratgiques ncessaires pour atteindre les objectifs correspondants aux orientations stratgiques ; les informations coteuses, dont la collecte, le stockage, le traitement ou la transmission ncessitent un dlai important et/ou un cot d'acquisition lev ; les informations relevant du secret dfense dfinies dans l'[IGI 1300] et pour lesquelles le niveau d'exigence de scurit n'est pas ngociable ; les informations classifies d'autres natures Selon leur finalit, certaines tudes ne mriteront pas une analyse exhaustive de lensemble des biens informationnels composant le primtre de l'tude. Dans ce contexte, ils seront limits aux lments vitaux du primtre de l'tude. Ceux qui n'auront pas t retenues l'issue de cette activit ne feront l'objet dans la suite de l'tude d'aucun besoin de scurit. Cependant, ils hriteront souvent des mesures de scurit prises pour protger les autres biens informationnels. Le niveau de dtail des biens essentiels doit tre cohrent avec le primtre et l'objectif de l'tude. Ainsi, l'tude d'un organisme entier traitera de ses principaux processus ou domaines d'activits, alors que l'tude d'un systme informatique en dveloppement ncessitera de recenser les principaux flux d'information concerns, voire chaque champ d'une base de donnes. Par ailleurs, il est important de bien comprendre les relations fonctionnelles entre les biens essentiels. Il est donc souhaitable de les dcrire, par exemple sous la forme de modles de flux. Enfin, chaque bien essentiel doit tre "rattach" un dpositaire nommment ou fonctionnellement identifi. C'est ce dpositaire qui est cens tre responsable de ses biens essentiels, des risques pesant sur ceux-ci et qui sera le plus lgitime pour exprimer leurs besoins de scurit. Conseils Comme leur nom l'indique, il s'agit de recenser les biens rellement "essentiels" et non de raliser un recensement exhaustif. Dix ou quinze biens essentiels, suffisamment reprsentatifs, permettent ainsi de rduire le travail de la suite de l'tude un volume ncessaire et suffisant. Il est possible de partir d'un recensement relativement exhaustif pour ensuite slectionner un sous-ensemble de biens essentiels. Un bien essentiel, dont les besoins de scurit varieront dans le temps peut tre utilement scind en plusieurs biens essentiels (ex : une rponse un appel d'offres, avant ou aprs, de rpondre l'appel d'offres, pourra tre dcompos en deux biens essentiels distincts) La slection devrait tre effectue par un groupe de travail htrogne et reprsentatif du primtre de l'tude (responsables, informaticiens et utilisateurs). Des schmas simples sont trs utiles la comprhension de toutes les parties prenantes.

Page 41 sur 95

ANSSI/ACE/BAC Exemple

EBIOS Mthode de gestion des risques 25 janvier 2010

Dans le cadre du sujet d'tude, le cabinet @RCHIMED a retenu les processus suivants en tant que biens essentiels : Processus essentiels tablir les devis (estimation du cot global d'un projet, ngociations avec les clients) Informations essentielles concernes Cahier des charges Catalogues techniques Contrat (demande de ralisation) Devis Dossier technique d'un projet Paramtres techniques (pour les calculs de structure) Plan technique Rsultat de calcul de structure Dossier technique d'un projet Visualisation 3D Informations socit (contacts, prsentation) Exemple de devis Exemple de visualisation 3D Page Web Dpositaires Service commercial

Crer des plans et calculer les structures

Bureau d'tudes

Crer des visualisations

Bureau d'tudes

Grer le contenu du site Internet

Directeur adjoint

Page 42 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 1.3.2. Identifier les biens supports, leurs relations et leurs propritaires

Description Cette action consiste prendre connaissance des composants du systme d'information, qu'il s'agisse de biens techniques ou non techniques, supports aux biens essentiels prcdemment identifis. On note que ces biens supports possdent des vulnrabilits que des sources de menaces pourront exploiter, portant ainsi atteinte aux biens essentiels. L'identification des biens supports ne peut se faire que lorsque ceux-ci sont connus. Ainsi, lors des phases prliminaires du cycle de vie d'un projet, il n'est pas possible de les recenser, puisqu'ils ne sont pas encore spcifis. En revanche, cela devient progressivement possible mesure que l'on affine les spcifications et la connaissance concrte du primtre de l'tude. Le niveau de dtail des biens supports peut galement varier selon les objectifs de l'tude. Ainsi, une tude rapide destine donner les grandes orientations en matire de scurit de l'information sera trs peu dtaille pour cette action (un rseau, un site, une organisation), alors qu'une tude prcise et exhaustive destine dmontrer relativement formellement que tous les risques ont t grs sur un systme critique ncessitera un niveau de dtail beaucoup plus important (telle version de tel systme d'exploitation, tel type de personnel, telle pice dans les btiments). cet effet, les bases de connaissances de la mthode proposent une liste gnrique que l'on peut directement utiliser ou que l'on peut ajuster. En outre, il est important de bien comprendre les relations entre les biens supports. Il est donc souhaitable de les dcrire, par exemple en prcisant les inclusions, les interconnexions Ceci permettra d'tudier les possibles phnomnes de propagation d'incident ou de sinistre. Une fois les biens supports identifis, il convient de "rattacher" un propritaire pour chacun d'eux, nommment ou fonctionnellement identifi. En effet, la personne qui en a la responsabilit sera sans doute la plus mme d'analyser ses vulnrabilits et celle qui sera garante de l'application de mesures de scurit. Conseils Commencer par recenser les grands types de biens supports et n'affiner le niveau de dtail qu'en cas de besoin, ou bien les affiner mais ne retenir pour la suite de ltude quun nombre raisonnable de biens supports. Il peut tre parfois utile de dcrire les biens supports afin d'liminer les ambiguts ou d'expliciter la diffrence par rapport aux autres biens supports. Recenser les biens supports partir des biens essentiels permet de ne considrer que les biens supports rellement dans le primtre du primtre de l'tude. Des schmas simples sont trs utiles la comprhension de toutes les parties prenantes.

Page 43 sur 95

ANSSI/ACE/BAC Exemple

EBIOS Mthode de gestion des risques 25 janvier 2010

Sans les dtailler dans un premier temps, @RCHIMED a retenu les biens supports suivants : en interne : o SYS Rseau interne, o SYS Sous rseau Ethernet, o SYS Sous rseau Wifi, o ORG Organisation du cabinet, o LOC Locaux du cabinet ; en interface : o SYS Systme de l'hbergeur (Internet et par courrier lectronique), o ORG Hbergeur (par courrier papier), o SYS Internet (pour des accs distants et le courrier lectronique), o ORG Partenaire (cotraitants btiment, clients). Le schma suivant dcompose ces biens supports et les positionne les uns par rapport aux autres :

Page 44 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 1.3.3. Dterminer le lien entre les biens essentiels et les biens supports

Description Cette action consiste dterminer le lien entre les biens essentiels et les biens supports. Ceci permettra de rvler la criticit de ces derniers, ainsi que les risques vritables pesant sur le primtre de l'tude. Pour ce faire, il suffit de se demander sur quels biens supports, parmi ceux identifis dans l'action prcdente, repose chaque bien essentiel. On s'interroge ainsi sur les biens supports qui vont stocker ou traiter les biens essentiels, un moment ou un autre de leur cycle de vie. Conseils Un simple tableau crois entre les biens essentiels et les biens supports permet de reprsenter le lien entre les deux. Exemple Le tableau suivant prsente les biens supports et leurs liens avec les biens essentiels : Crer des plans et calculer les structures Crer des visualisations Grer le contenu du site Internet X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X

Biens essentiels

Biens supports Biens supports communs @RCHIMED SYS Rseau interne MAT Serveur rseau et fichiers LOG Serveurs logiciels du rseau interne MAT Disque USB MAT BOX Wifi MAT Commutateur MAT PABX (commutateur tlphonique) MAT Tlphone fixe MAT Tlphone portable RSX Canaux informatiques et de tlphonie ORG Organisation du cabinet PER Utilisateur PER Administrateur informatique PAP Support papier CAN Canaux interpersonnels LOC Locaux du cabinet Biens supports spcifiques au bureau dtudes SYS Sous rseau Ethernet MAT Ordinateur de design LOG MacOS X LOG ARC+ (visualisation) LOG Pagemaker (PAO) LOG Suite bureautique et de messagerie MAT Ordinateur de calcul et de cration

Page 45 sur 95

tablir les devis X X X X X X X X X X X X X X X

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 1.3.4. Identifier les mesures de scurit existantes

Description

Cette action consiste recenser l'ensemble des mesures de scurit existantes sur les biens supports ou d'ores et dj prvues. Pour chaque bien support identifi, il convient de s'interroger sur l'existence de mesures de scurit. Ces mesures peuvent tre techniques ou non techniques (produit de scurit logique ou physique, configuration particulire, mesures organisationnelles ou humaines, rgles, procdures). Chaque mesure de scurit peut utilement tre catgorise selon la ligne de dfense (prventive, protectrice ou rcupratrice) laquelle elle appartient. Cela facilitera ultrieurement la dtermination des mesures de scurit en appliquant une dfense en profondeur. Conseils Cette action s'enrichit gnralement au fur et mesure de l'avancement de l'tude. L'identification de mesures de scurit existantes permet souvent de mettre en vidence des biens supports que l'on n'avait pas prcdemment identifis. Il est souvent plus facile de relever les mesures existantes telles qu'elles sont exprimes par les parties prenantes et d'investiguer ensuite pour les prciser et les catgoriser (ligne de dfense et bien support). Exemple @RCHIMED a recens les mesures de scurit existantes suivantes :
Rcupration X X X X X X X X X

Prvention X X X X

Mesure de scurit

Bien support sur lequel elle repose

Thme ISO 27002

Accord sur le niveau de service de l'hbergeur Activation dune alarme antiintrusion durant les heures de fermeture Consignes de fermeture clef des locaux Dispositifs de lutte contre lincendie Climatisation Contrat de maintenance informatique (intervention sous 4h) Alimentation secourue Installation dun antivirus sous Windows XP Sauvegarde hebdomadaire sur des disques USB stocks dans une armoire fermant clef Activation du WPA2 Accs restreint en entre (messagerie, services WEB) Contrle d'accs par mot de passe sous Windows XP Assurance multirisque professionnelle et sur les matriels informatiques

ORG Organisation du cabinet LOC Locaux du cabinet LOC Locaux du cabinet LOC Locaux du cabinet LOC Locaux du cabinet ORG Organisation du cabinet MAT Serveur rseau et fichiers LOG Windows XP MAT Disque USB MAT Commutateur MAT Commutateur LOG Windows XP ORG Organisation du cabinet

6.2. Tiers 9.1. Zones scurises 9.1. Zones scurises 9.1. Zones scurises 9.2. Scurit du matriel 9.2. Scurit du matriel 9.2. Scurit du matriel 10.4. Protection contre les codes malveillant et mobile 10.5. Sauvegarde 10.6. Gestion de la scurit des rseaux 10.6. Gestion de la scurit des rseaux 11.5. Contrle daccs au systme dexploitation 14.1. Aspects de la scurit de linformation en matire de gestion de la continuit de lactivit

Page 46 sur 95

Protection X X

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Module 2 tude des vnements redouts


Ce module a pour objectif d'identifier de manire systmatique les scnarios gnriques que l'on souhaite viter concernant le primtre de l'tude : les vnements redouts. Les rflexions sont menes un niveau davantage fonctionnel que technique (sur des biens essentiels et non sur des biens supports). Il permet tout d'abord de faire merger tous les vnements redouts en identifiant et combinant chacune de leurs composantes : on estime ainsi la valeur de ce que l'on souhaite protger (les besoins de scurit des biens essentiels), on met en vidence les sources de menaces auxquelles on est confront et les consquences (impacts) des sinistres. Il est alors possible d'estimer le niveau de chaque vnement redout (sa gravit et sa vraisemblance).
Module 1 tude du contexte Module 2 tude des vnements redouts Module 4 tude des risques Module 3 tude des scnarios de menaces

Module 5 tude des mesures de scurit

Il permet galement de recenser les ventuelles mesures de scurit existantes et d'estimer leur effet en r-estimant la gravit des vnements redouts, une fois les mesures de scurit appliques. l'issue de ce module, les vnements redouts sont identifis, explicits et positionns les uns par rapport aux autres, en termes de gravit et de vraisemblance. Le module comprend une activit : Activit 2.1 Apprcier les vnements redouts

Page 47 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Activit 2.1 Apprcier les vnements redouts


Objectif Cette activit fait partie de l'apprciation des risques. Elle a pour but de faire merger et de caractriser les vnements lis la scurit de l'information que l'organisme redoute, sans tudier la manire dont ceux-ci peuvent arriver. Elle permet galement de fournir les lments ncessaires au choix de traitement des risques affrents et la dfinition des priorits de traitement. Avantages Permet aux parties prenantes de comparer objectivement l'importance des biens essentiels et de prendre conscience des vritables enjeux de scurit Permet d'tudier un primtre sans dtailler les biens supports et les scnarios envisageables Permet de hirarchiser les vnements redouts, voire d'en carter de la suite de l'tude Donnes d'entre Critres de scurit Biens essentiels chelles de mesures Typologie d'impacts Sources de menaces Critres de gestion des risques Propritaire Dpositaire R C Actions prconises et rle des parties prenantes Parties prenantes : Actions : Action 2.1.1. Analyser tous les vnements redouts Action 2.1.2. valuer chaque vnement redout Donnes produites vnements redouts Communication et concertation Les donnes sont obtenues sur la base d'changes entre les parties prenantes Les besoins peuvent tre exprims par plusieurs personnes qui ne donneront pas forcment les mmes rponses ; il convient alors de confronter les arguments, de les collecter et d'obtenir un consensus qui peut ncessiter la dcision d'une autorit Les vnements redouts peuvent tre prsents sous la forme d'exemples d'vnements redouts hirarchiss, d'arbres d'impacts ou de fiches dtailles (bien essentiel, critre de scurit, besoins de scurit, sources de menaces, impacts, gravit) Surveillance et revue Les vnements redouts sont comparables les uns aux autres Des processus sont mis en place pour vrifier qu'on a bien considr toutes les informations ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits) Les rsultats sont justifis (sources externes, littrature, tudes, normes, cadres oprationnels, pratiques exemplaires, bases de connaissances) Les rsultats refltent lexprience des participants ou le contexte avec crdibilit Des descriptions riches et respectant la ralit sont illustres clairement et avec verve Les critres de gestion sont utiliss de faon cohrente avec les limites des chelles utilises Des chelles de mesures identiques sont utilises Lorsque des rsultats sont convertis, les choix sont justifis et valids Lanalyse des donnes recueillies et des rsultats ne dnature pas le sens de l'information L'interprtation des personnes ralisant l'tude s'accorde avec les donnes recueillies Les rsultats obtenus l'aide des critres de gestion des risques sont discuts Risk manager I Responsable

A R

C C

Page 48 sur 95

Autorit A

RSSI

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Propositions pour mettre en uvre les actions prconises

Action 2.1.1. Analyser tous les vnements redouts

Description Cette action consiste identifier et estimer les vnements redouts pour chaque critre de scurit et chaque bien essentiel identifi. On va ainsi faire merger les besoins de scurit des biens essentiels, les impacts encourus au cas o ils ne seraient pas respects et les sources de menaces susceptibles d'en tre l'origine, et leur attribuer un niveau de gravit. Pour mener bien cette activit, un groupe de travail htrogne et reprsentatif du primtre de l'tude (responsable du primtre de l'tude, dpositaires des biens essentiels, experts mtiers) est constitu. Pour chaque critre de scurit de chaque bien essentiel, le but est de dfinir le besoin de scurit, les impacts occasionns par son non-respect et les sources de menaces susceptibles d'en tre l'origine. Ces vnements redouts sont obtenus en questionnant les parties prenantes sur ce qu'elles craignent et en approfondissant la rflexion jusqu' ce que tous les lments aient t formuls. Bien que l'on puisse raliser cette action de manire squentielle (expression des besoins de scurit, puis identification des impacts, et enfin identification des sources de menaces), la rflexion est gnralement mene globalement. En effet, il semble plus naturel de s'interroger sur tous les lments constitutifs d'un mme vnement redout (besoins de scurit, impacts et sources de menaces) pour ensuite dvelopper chaque autre vnement redout, et par ailleurs, les parties prenantes ne rpondent pas forcment aux questions dans un ordre squentiel, du fait de l'interprtation qu'elles peuvent faire des diffrents concepts (besoin, impact, source, vnement redout). D'une manire gnrale, il est recommand : d'exprimer les besoins de scurit de chaque bien essentiel en choisissant la valeur limite acceptable de chaque chelle de besoins dfinie ; d'identifier, pour chaque besoin de scurit exprim et pour chaque type d'impact (d'aprs une typologie), des exemples d'impacts survenant par le non-respect du besoin de scurit ; d'identifier, pour chaque besoin de scurit exprim et pour chaque type de sources de menace (d'aprs une typologie), des exemples de sources de menaces susceptibles d'tre l'origine du non respect du besoin de scurit. Concernant les besoins de scurit, les parties prenantes devraient tre invites choisir un niveau sur chaque chelle de besoins pour chaque bien essentiel. Pour ce faire, on peut par exemple leur demander partir de quel niveau : le bien essentiel n'est plus conforme la qualit attendue, ou elles ne peuvent plus exercer leur mtier dans de bonnes conditions. Il s'agit de besoins exprims au regard des processus mtiers. Ils sont indpendants des risques encourus et des moyens de scurit mis en uvre. Ils reprsentent donc une valeur intrinsque de la sensibilit des biens essentiels. Si un bien essentiel a des besoins qui varient dans le temps, il est recommand dtudier sparment ses diffrents tats comme sil sagissait dautant de biens essentiels. Quand les parties prenantes sont interroges sparment, une synthse devrait tre tablie pour harmoniser les diffrents points de vue. Cette opration devrait tre effectue par des personnes disposant d'une vision globale des biens essentiels. Un consensus peut alors tre obtenu par expression des argumentaires de chacun, suivie d'un arbitrage. Dans le cas o des divergences trop importantes apparatraient, il peut tre ncessaire de demander aux parties prenantes de justifier davantage leurs valeurs, voire de les reconsidrer. Concernant les impacts, les parties prenantes devraient expliquer les consquences possibles du non-respect de chaque besoin de scurit exprim.

Page 49 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

On peut y parvenir en leur demandant : ce qui peut concrtement arriver si le besoin de scurit n'est pas respect, ou ce qui est dfinitivement perdu ou plus rattrapable si la limite est dpasse. Pour ce faire, il convient d'identifier les types d'impacts pertinents dans le contexte du sujet tudi. Les bases de connaissances de la mthode proposent une liste gnrique que l'on peut directement utiliser ou dans laquelle on peut slectionner des types d'impacts. Ces impacts sont proposs titre indicatif, le groupe de travail peut proposer les plus significatifs pour l'organisme et les adapter prcisment l'organisme. Les rsultats prcdents pourront tre utiliss pour le choix de ces types d'impacts. On retiendra la remise en cause des missions, du mtier ou des valeurs de l'organisme, comme des impacts significatifs. Afin de rendre les impacts plus objectifs, il est utile de fournir des exemples explicites en termes de consquences envisageables. Les types d'impacts ainsi dfinis permettent de pousser les parties prenantes envisager des consquences de diffrentes natures, auxquelles elles n'auraient peut-tre pas song. Si les impacts identifis sont finalement jugs comme acceptables, cela peut signifier que le besoin de scurit exprim a t surestim. Il convient ds lors de reprendre le questionnement avec un niveau infrieur de l'chelle de besoins correspondante. Il est galement possible de constituer des arbres pour reprsenter enchanements d'impacts : pour chaque besoin de scurit exprim et pour chaque type d'impact, rechercher les impacts directs en se posant la question suivante : que se passerait-il dans le domaine de ce type d'impact si le besoin de scurit n'tait pas respect ? rechercher les ventuels impacts induits en se posant la question suivante pour chaque impact direct : que se passerait-il si cet impact arrivait ? puis rechercher les ventuels impacts induits, consquences de chaque impact induit, et ainsi de suite arrter l'inventaire quand les mmes impacts reviennent plusieurs fois et que ceux-ci correspondent des critres, croyances ou lments de cultures fort(e)s ; si possible, vrifier sur le terrain ou sur la base d'expriences vcues la ralit et le poids relatif de chaque impact identifi. Concernant les sources de menaces, les parties prenantes doivent slectionner, parmi celles qui ont t retenues, celles qui peuvent tre l'origine de chaque vnement redout et les illustrer par des exemples concrets. Pour estimer la gravit des vnements redouts au cas o ceux-ci se raliseraient, il convient d'attribuer un niveau de gravit chaque vnement redout en utilisant l'chelle de gravit dfinie. L'estimation est faite au regard : de la valeur du bien essentiel considr, de la hauteur et du nombre des impacts identifis. Elle ne doit pas tenir compte des ventuelles mesures de scurit existantes. Il convient finalement d'examiner les rsultats obtenus afin de mettre en vidence et de rsoudre les ventuelles incohrences entre leurs besoins de scurit, leurs impacts, leurs sources de menaces et leurs niveaux de gravit. l'issue, chaque vnement redout peut tre compar aux autres. Les valeurs doivent tre cohrentes les unes par rapport aux autres. Il est ainsi possible d'ajuster les rsultats obtenus en vrifiant : la corrlation ventuelle entre les diffrents vnements redouts (des biens essentiels peuvent avoir des dpendances les uns par rapports aux autres) ; l'importance relative des besoins de scurit entre les diffrents vnements redouts ; le niveau de dtail des libells des exemples (qui devraient tre harmoniss). Cette action ne doit pas tre nglige car elle permet d'accrotre la cohrence de l'tude, sa qualit et son ralisme, la facilit de validation, la comprhension et l'adhsion des parties prenantes. Conseils Le point de vue des parties prenantes devrait tre justifi par des commentaires. Les illustrations concrtes (impacts et sources de menaces) sont prfres aux gnralits. Il peut tre utile de formuler les vnements redouts sous la forme de scnarios narratifs. Cette forme peut tre mieux comprise et accepte de la part des parties prenantes. Considrer tous les types d'impacts des bases de connaissances pour pousser les parties prenantes envisager des impacts auxquels ils n'auraient peut-tre pas song. S'assurer que les termes sont bien compris par les parties prenantes et les ajuster si besoin. Pour que la traabilit des choix effectus soit la plus claire possible, il est possible de transformer les vnements redouts non retenus en hypothses. Faire estimer la gravit par les parties prenantes, leur prsenter l'ensemble des rsultats Page 50 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

collects et les ajuster de faon reflter leur point de vue. Cette action peut utilement permettre de revoir ou d'enrichir les besoins de scurit, les sources de menaces et les impacts. Exemple Chaque ligne du tableau suivant reprsente un vnement redout par le cabinet @RCHIMED (bien essentiel, critre de scurit, besoin de scurit selon les chelles de besoin, sources de menaces et impacts). La gravit de chaque vnement redout est estime (cf. chelle de gravit) sans tenir compte des mesures de scurit existantes.
vnement redout tablir les devis Indisponibilit de devis 24-72h Employ peu srieux Incendie des locaux Panne lectrique Impossibilit de signer un contrat Perte d'un march Perte de crdibilit Impossibilit de signer un contrat Perte d'un march Impossibilit de remplir les obligations lgales Perte de crdibilit Perte d'un march Action en justice l'encontre du cabinet Perte de crdibilit 2. Limite Besoin de scurit Sources de menaces Impacts Gravit

Altration de devis

Intgre

Employ peu srieux

3. Importante

Compromission de devis

Limit

Employ peu srieux Concurrent

3. Importante

Crer des plans et calculer les structures Employ peu srieux Virus non cibl Personnel de nettoyage (soudoy) Personnels de maintenance Panne lectrique

Indisponibilit de plans ou de calculs de structures

24-72h

Perte de crdibilit

2. Limite

Altration de plans ou de calculs de structures

Intgre

Employ peu srieux Concurrent

Compromission de plans ou calculs de structures Crer des visualisations Indisponibilit de visualisations Altration de visualisations

Limit

Employ peu srieux Personnel de nettoyage (soudoy) Personnels de maintenance Employ peu srieux Virus non cibl Incendie des locaux Panne lectrique Employ peu srieux Employ peu srieux Virus non cibl Concurrent Script-kiddies Panne lectrique Hbergeur Employ peu srieux Virus non cibl Concurrent Script-kiddies Hbergeur -

Impossibilit de remplir les obligations lgales Perte de crdibilit Action en justice l'encontre du cabinet Perte de notorit Mise en danger (btiment qui scroule) Perte d'un march Perte de crdibilit Perte de notorit Impossibilit de remplir les obligations lgales (si contractuel) Bouche oreille ngatif Perte de crdibilit Perte de notorit Bouche oreille ngatif Perte de crdibilit Perte de notorit

4. Critique

3. Importante

24-72h

2. Limite

Dtectable

2. Limite 1. Ngligeable

Compromission de Public visualisations Grer le contenu du site Internet

Indisponibilit du site Internet

24-72h

Perte de crdibilit Perte de notorit Bouche oreille ngatif Perte de crdibilit Perte de notorit Bouche oreille ngatif Perte d'un march ou de clientle

2. Limite

Altration du contenu du site Internet Compromission du contenu du site Internet

Matris

3. Importante

Public

1. Ngligeable

Page 51 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 2.1.2. valuer chaque vnement redout

Description Cette action consiste juger de l'importance des vnements redouts en les hirarchisant selon les critres de gestion des risques retenus. Il convient essentiellement de fournir les lments ncessaires pour dcider de dvelopper ou non l'tude concernant chaque vnement redout, de traiter ou non les risques affrents et de prioriser la mise en uvre de leur traitement. Pour ce faire, on peut positionner chaque vnement redout dans un tableau selon leur gravit. Dans ce cas, on utilise gnralement un libell court et explicite, refltant l'atteinte d'un critre de scurit d'un bien essentiel, pour chaque vnement redout. Certains vnements redouts peuvent tre carts de la suite de l'tude si les critres de gestion des risques retenus le prvoient (par exemple, si la gravit est trs faible). Il est important d'expliquer pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude et constituent ainsi des vnements redouts non traits. Cette opration doit donc tre dment justifie. Conseils La reprsentation par gravit permet de visualiser le positionnement des vnements redouts les uns par rapport aux autres. Certains vnements redouts peuvent ventuellement tre carts de la suite de l'tude si les critres de gestion des risques retenus le prvoient (par exemple, si le niveau des besoins de scurit ou la gravit est trs faible). Qu'ils soient jugs improbables, jugs sans consquence, traits par ailleurs, ultrieurement ou volontairement carts, il est important d'expliquer pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude bien qu'ils puissent tre l'origine de risques pour l'organisme. Cette opration doit donc tre dment justifie. Exemple L'importance relative des vnements redouts prcdemment analyss (identifis et estims) est value l'aide du tableau suivant (cf. critres de gestion des risques) : Gravit vnements redouts

4. Critique

Altration de plans ou de calculs de structures

3. Importante

Altration de devis Compromission de plans ou calculs de structures Compromission de devis Altration du contenu du site Internet Indisponibilit de devis Indisponibilit de visualisations Altration de visualisations Indisponibilit de plans ou de calculs de structures Indisponibilit du site Internet Compromission de visualisations Compromission du contenu du site Internet

2. Limite

1. Ngligeable

Page 52 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Module 3 tude des scnarios de menaces


Ce module a pour objectif d'identifier de manire systmatique les modes opratoires gnriques qui peuvent porter atteinte la scurit des informations du primtre de l'tude : les scnarios de menaces. Les rflexions sont menes un niveau davantage technique que fonctionnel (sur des biens supports et non plus des biens essentiels). Il permet tout d'abord de faire merger tous les scnarios de menaces en identifiant et combinant chacune de leurs composantes : on met ainsi en vidence les diffrentes menaces qui psent sur le primtre de l'tude, les failles exploitables pour qu'elles se ralisent (les vulnrabilits des biens supports), et les sources de menaces susceptibles de les utiliser. Il est ainsi possible d'estimer le niveau de chaque scnario de menace (sa vraisemblance).
Module 1 tude du contexte Module 2 tude des vnements redouts Module 4 tude des risques Module 3 tude des scnarios de menaces

Module 5 tude des mesures de scurit

Il permet galement de recenser les ventuelles mesures de scurit existantes et d'estimer leur effet en r-estimant la vraisemblance des scnarios de menaces, une fois les mesures de scurit appliques. l'issue de ce module, les scnarios de menaces sont identifis, explicits et positionns les uns par rapport aux autres en termes de vraisemblance. Le module comprend une activit : Activit 3.1 Apprcier les scnarios de menaces

Page 53 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Activit 3.1 Apprcier les scnarios de menaces


Objectif Cette activit fait partie de l'apprciation des risques. Elle a pour but d'identifier les diffrentes possibilits d'actions sur les biens supports, afin de disposer d'une liste complte de scnarios de menaces. Elle permet galement de fournir les lments ncessaires au choix de traitement des risques affrents et la dfinition des priorits de traitement. Avantages Permet aux parties prenantes de raliser la diversit des menaces et de comparer objectivement la faisabilit des modes opratoires Permet de garantir une exhaustivit de la rflexion sur les menaces et les vulnrabilits Permet de s'adapter aux connaissances dont on dispose sur le primtre de l'tude Permet de hirarchiser les scnarios de menaces, voire d'en carter de la suite de l'tude Donnes d'entre Critres de scurit Biens supports chelles de mesures Typologie de menaces et des vulnrabilits Sources de menaces Critres de gestion des risques Propritaire R C Dpositaire Actions prconises et rle des parties prenantes Parties prenantes : Actions : Action 3.1.1. Analyser tous les scnarios de menaces Action 3.1.2. valuer chaque scnario de menace Donnes produites Scnarios de menaces Communication et concertation Les donnes sont obtenues sur la base d'changes entre les parties prenantes Les scnarios de menaces peuvent tre prsents sous la forme d'exemples de scnarios hirarchiss, d'arbres de menaces ou de fiches dtailles (bien support, critre de scurit, sources de menaces, vraisemblance, menaces, vulnrabilits et pr-requis) Surveillance et revue Les scnarios de menaces sont comparables les uns aux autres Des processus sont mis en place pour vrifier qu'on a bien considr toutes les informations ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits dans la mme rgion, le mme pays, le mme continent ou l'internationale) Les rsultats sont justifis de manire explicite et, si possible, bass sur des lments factuels (donnes historiques, frquence des sinistres, non-pertinence) Les rsultats refltent lexprience des participants ou le contexte avec crdibilit Des descriptions riches et respectant la ralit sont illustres clairement et avec verve Des chelles de mesures identiques et comparables sont utilises pour tous les scnarios Les critres de gestion sont utiliss de faon cohrente en considrant les limites des chelles La conversion de rsultats (ex. : en valeurs numriques) est justifie et valide Lanalyse des donnes recueillies et des rsultats ne dnature pas le sens de l'information L'interprtation des personnes ralisant l'tude s'accorde avec les donnes recueillies Les rsultats obtenus l'aide des critres de gestion des risques sont discuts Risk manager I Responsable

A A

C C

Page 54 sur 95

Autorit

RSSI

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Propositions pour mettre en uvre les actions prconises

Action 3.1.1. Analyser tous les scnarios de menaces

Description Cette action consiste identifier les scnarios de menaces pour chaque critre de scurit et chaque bien support identifi et les estimer en termes de vraisemblance. Les scnarios de menaces sont obtenus en questionnant les parties prenantes sur ce qu'elles savent et en approfondissant la rflexion jusqu' ce que tous les lments aient t formuls. D'une manire gnrale, il est recommand d'identifier ensemble tous les lments qui composent les scnarios de menaces : les menaces qui pourraient se concrtiser ; les vulnrabilits exploitables sur les biens supports ; les sources de menaces susceptibles d'en tre l'origine. Pour mener bien cette action, il convient tout d'abord de choisir une typologie de menaces. cet effet, les bases de connaissances de la mthode proposent une liste gnrique que l'on peut directement utiliser ou que l'on peut ajuster. Cette typologie doit aider les parties prenantes envisager des vnements auxquels elles n'auraient peut-tre pas song, et ce, dans leur contexte particulier. Au sein des menaces retenues, on ne slectionne que celles qui touchent le critre de scurit et le bien support considrs. On peut galement carter les menaces que l'on estime inapplicables ou que l'on ne souhaite pas tudier. Cela signifie que des risques ne seront pas apprcis. Il convient donc de justifier cette opration. Il est galement possible de constituer des arbres pour reprsenter enchanements de menaces : pour chaque critre de scurit et pour chaque bien support, rechercher les menaces directes en se posant la question suivante : que peut-il se passer sur ce bien support pour que ce critre de scurit soit touch ? rechercher les menaces qui devraient tre ralises pour que les menaces se ralisent en se posant la question suivante pour chaque menace directe : quelles sont les menaces qui requises au pralable pour que cette menace puisse se raliser ? puis rechercher les ventuelles menaces requises pour que chaque menace requise se ralise, et ainsi de suite arrter l'inventaire quand les mmes menaces reviennent plusieurs fois et que celles-ci convergent vers des sources de menaces ; si possible, vrifier sur le terrain ou sur la base d'expriences vcues la ralit et le poids relatif de chaque menace identifie. Pour chaque bien support et chaque menace slectionne, on dtermine les vulnrabilits qui peuvent tre exploites pour que la menace se ralise. Les bases de connaissances de la mthode proposent une typologie de vulnrabilits que l'on peut directement utiliser ou que l'on peut ajuster. Le nombre et le niveau de dtail des vulnrabilits dpendent de l'objectif de l'tude et des livrables attendus. Les sources de menaces doivent tre slectionnes parmi celles retenues. Il convient de ne retenir que celles qui peuvent tre l'origine des diffrents scnarios de menaces et de les illustrer par des exemples concrets. Pour estimer la vraisemblance des scnarios de menaces, il convient d'attribuer un niveau chaque scnario de menace en utilisant l'chelle de vraisemblance dfinie. L'estimation est essentiellement faite au regard : de lexistence plus ou moins avre et de la facilit dexploitation des vulnrabilits identifies, de lexposition aux menaces considres, de lexposition et du potentiel des sources de menaces identifies. Elle ne doit pas tenir compte des ventuelles mesures de scurit existantes.

Page 55 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Il convient finalement d'examiner les scnarios de menaces dans leur ensemble afin de mettre en vidence et de rsoudre les ventuelles incohrences entre leurs menaces, leurs biens supports et leurs vulnrabilits, leurs sources de menaces et leurs niveaux de vraisemblance. l'issue, chaque scnario de menace peut tre compar aux autres : les valeurs doivent tre cohrentes les unes par rapport aux autres. Il est ainsi possible d'ajuster les rsultats obtenus en vrifiant : la corrlation ventuelle entre les diffrents scnarios de menaces (des biens supports peuvent avoir des dpendances les uns par rapports aux autres) ; le niveau de dtail des libells des exemples (qui devraient tre harmoniss). Cette action ne doit pas tre nglige car elle permet d'accrotre la cohrence de l'tude, sa qualit et son ralisme, la facilit de validation, la comprhension et l'adhsion des parties prenantes. Conseils Le point de vue des parties prenantes devrait tre justifi par des commentaires. Les illustrations concrtes (menaces, vulnrabilits et sources de menaces) sont prfres aux gnralits. Il peut tre utile de formuler les scnarios de menaces sous la forme de scnarios narratifs. Cette forme peut tre mieux comprise et accepte de la part des parties prenantes. S'assurer que les termes sont bien compris par les parties prenantes et les ajuster si besoin. Pour que la traabilit des choix effectus soit la plus claire possible, il est possible de transformer les scnarios de menaces non retenus en hypothses. Faire estimer la vraisemblance par les parties prenantes, leur prsenter l'ensemble des rsultats collects et les ajuster de faon reflter leur point de vue. Cette action peut utilement permettre de revoir ou d'enrichir les menaces, les vulnrabilits et les sources de menaces. Exemple Les pages suivantes prsentent les scnarios de menaces potentiellement ralisables dans le cadre du sujet de l'tude. Les sources de menaces susceptibles d'en tre l'origine sont identifies et la vraisemblance de chaque scnario de menace est estime (cf. chelle de vraisemblance). Le dtail des scnarios de menaces (menaces, vulnrabilits et pr-requis) est dcrit dans les bases de connaissances de la mthode EBIOS.
Scnarios de menaces SYS Rseau interne Employ peu srieux Maintenance informatique Script-kiddies Virus non cibl Incendie des locaux Panne lectrique Phnomne naturel (foudre, usure) Employ peu srieux Maintenance informatique Script-kiddies Virus non cibl Employ peu srieux Maintenance informatique Script-kiddies Employ peu srieux Maintenance informatique Script-kiddies Virus non cibl Incendie des locaux Panne lectrique Phnomne naturel (foudre, usure) Employ peu srieux Maintenance informatique Script-kiddies Virus non cibl Employ peu srieux Maintenance informatique Sources de menaces Vraisemblance

Menaces sur le rseau interne causant une indisponibilit

3. Forte

Menaces sur le rseau interne causant une altration

2. Significative

Menaces sur le rseau interne causant une compromission SYS Sous rseau Ethernet

2. Significative

Menaces sur le sous rseau Ethernet causant une indisponibilit

3. Forte

Menaces sur le sous rseau Ethernet causant une altration Menaces sur le sous rseau Ethernet causant une compromission

2. Significative

2. Significative

Page 56 sur 95

ANSSI/ACE/BAC
Scnarios de menaces SYS Sous rseau Wifi

EBIOS Mthode de gestion des risques 25 janvier 2010


Sources de menaces Script-kiddies Employ peu srieux Maintenance informatique Script-kiddies Virus non cibl Incendie des locaux Panne lectrique Phnomne naturel (foudre, usure) Employ peu srieux Maintenance informatique Script-kiddies Virus non cibl Employ peu srieux Maintenance informatique Script-kiddies Employ peu srieux Personnel de nettoyage Maladie Employ peu srieux Personnel de nettoyage Concurrent (en visite incognito) Employ peu srieux Cotraitant Client Maintenance informatique Personnel de nettoyage Hbergeur Script-kiddies Virus non cibl Panne lectrique Phnomne naturel (foudre, usure) Hbergeur Script-kiddies Virus non cibl Concurrent Client Partenaire Hbergeur Hbergeur Hbergeur Fournisseur d'accs Internet Script-kiddies Script-kiddies Concurrent Partenaire Partenaire Partenaire Vraisemblance

Menaces sur le sous rseau Wifi causant une indisponibilit

3. Forte

Menaces sur le sous rseau Wifi causant une altration

3. Forte

Menaces sur le sous rseau Wifi causant une compromission ORG Organisation du cabinet Menaces sur lorganisation d'@RCHIMED causant une indisponibilit Menaces sur lorganisation d'@RCHIMED causant une altration

3. Forte

2. Significative 1. Minime

Menaces sur lorganisation d'@RCHIMED causant une compromission

4. Maximale

SYS Systme de l'hbergeur Menaces sur le systme de l'hbergeur causant une indisponibilit

4. Maximale

Menaces sur le systme de l'hbergeur causant une altration Menaces sur le systme de l'hbergeur causant une compromission ORG Hbergeur Menaces sur l'hbergeur causant une indisponibilit Menaces sur l'hbergeur causant une altration Menaces sur l'hbergeur causant une compromission SYS Internet Menaces sur Internet causant une indisponibilit Menaces sur Internet causant une altration Menaces sur Internet causant une compromission ORG Partenaire Menaces sur un partenaire causant une indisponibilit Menaces sur un partenaire causant une altration Menaces sur un partenaire causant une compromission

3. Forte

4. Maximale

2. Significative 2. Significative 1. Minime 2. Significative 1. Minime 2. Significative 3. Forte 1. Minime 4. Maximale

Page 57 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 3.1.2. valuer chaque scnario de menace

Description Cette action consiste juger de l'importance des scnarios de menaces en les hirarchisant selon les critres de gestion des risques retenus. Il convient essentiellement de fournir les lments ncessaires pour dcider de traiter ou non les risques affrents et de prioriser la mise en uvre de leur traitement. Pour ce faire, on peut positionner chaque scnario de menace dans un tableau tri selon leur vraisemblance. Dans ce cas, on utilise gnralement un libell court et explicite, refltant l'atteinte d'un critre de scurit par un bien support, pour chaque scnario de menace. Certains scnarios de menaces peuvent tre carts de la suite de l'tude si les critres de gestion des risques retenus le prvoient (par exemple, si la vraisemblance est trs faible). Il est important d'expliquer pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude et constituent ainsi des scnarios de menaces non traits. Cette opration doit donc tre dment justifie. Conseils La reprsentation par vraisemblance permet de visualiser le positionnement des scnarios de menaces les uns par rapport aux autres. Certains scnarios de menaces peuvent ventuellement tre carts de la suite de l'tude si les critres de gestion des risques retenus le prvoient (par exemple, si le niveau des besoins de scurit est trs faible). Qu'ils soient jugs improbables, jugs sans consquence, traits par ailleurs, ultrieurement ou volontairement carts, il est important d'expliquer pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude bien qu'ils puissent tre l'origine de risques pour l'organisme. Cette opration doit donc tre dment justifie. Exemple L'importance relative des scnarios de menaces prcdemment analyss (identifis et estims) est value de la faon suivante (cf. critres de gestion des risques) : Vraisemblance Scnarios de menaces Menaces sur lorganisation d'@RCHIMED causant une compromission Menaces sur le systme de l'hbergeur causant une indisponibilit Menaces sur le systme de l'hbergeur causant une compromission Menaces sur un partenaire causant une compromission Menaces sur le rseau interne causant une indisponibilit Menaces sur le sous rseau Ethernet causant une indisponibilit Menaces sur le sous rseau Wifi causant une indisponibilit Menaces sur le sous rseau Wifi causant une altration Menaces sur le sous rseau Wifi causant une compromission Menaces sur le systme de l'hbergeur causant une altration Menaces sur un partenaire causant une indisponibilit Menaces sur le rseau interne causant une altration Menaces sur le rseau interne causant une compromission Menaces sur le sous rseau Ethernet causant une altration Menaces sur le sous rseau Ethernet causant une compromission Menaces sur lorganisation d'@RCHIMED causant une indisponibilit Menaces sur l'hbergeur causant une indisponibilit Menaces sur l'hbergeur causant une altration Menaces sur Internet causant une indisponibilit Menaces sur Internet causant une compromission

4. Maximale

3. Forte

2. Significative

Page 58 sur 95

ANSSI/ACE/BAC Vraisemblance

EBIOS Mthode de gestion des risques 25 janvier 2010 Scnarios de menaces Menaces sur lorganisation d'@RCHIMED causant une altration Menaces sur l'hbergeur causant une compromission Menaces sur Internet causant une altration Menaces sur un partenaire causant une altration

1. Minime

Page 59 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Module 4 tude des risques


Ce module a pour objectif de mettre en vidence de manire systmatique les risques pesant sur le primtre de l'tude, puis de choisir la manire de les traiter en tenant compte des spcificits du contexte. Les rflexions sont menes un niveau davantage fonctionnel que technique. En corrlant les vnements redouts avec les scnarios de menaces susceptibles de les engendrer, ce module permet d'identifier les seuls scnarios rellement pertinents vis--vis du primtre de l'tude. Il permet en outre de les qualifier explicitement en vue de les hirarchiser et de choisir les options de traitement adquates. l'issue de ce module, les risques sont apprcis et valus, et les choix de traitement effectus. Le module comprend les activits suivantes : Activit 4.1 Apprcier les risques Activit 4.2 Identifier les objectifs de scurit
Module 1 tude du contexte Module 2 tude des vnements redouts Module 4 tude des risques Module 3 tude des scnarios de menaces

Module 5 tude des mesures de scurit

Page 60 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Activit 4.1 Apprcier les risques


Objectif Cette activit fait partie de l'apprciation des risques. Elle a pour but de mettre en vidence et de caractriser les risques rels pesant sur le primtre de l'tude. Avantages Permet de construire des scnarios de manire simple et exhaustive Permet de justifier de l'utilit des mesures de scurit existantes Permet d'viter de traiter des scnarios qui ne constituent pas des risques Permet de fournir les donnes ncessaires l'valuation des risques Permet de forcer les parties prenantes s'interroger objectivement sur le niveau des risques Donnes d'entre vnements redouts Scnarios de menaces Tableau crois biens essentiels / biens supports Critres de gestion des risques Mesures de scurit existantes Propritaire C I Dpositaire C I Actions prconises et rle des parties prenantes Parties prenantes : Actions : Action 4.1.1. Analyser les risques Action 4.1.2. valuer les risques Donnes produites Risques Communication et concertation Les donnes sont obtenues sur la base d'changes entre les parties prenantes Les rsultats peuvent faire l'objet d'une cartographie des risques Surveillance et revue Des processus sont mis en place pour assurer vrifier qu'on a bien considr toutes les informations ncessaires (par rapport l'tat de l'art, aux autres organismes dans le mme secteur d'activits) Il convient d'examiner les risques dans leur ensemble afin de mettre en vidence et de rsoudre les ventuelles incohrences entre leurs composantes. l'issue, chaque risque peut tre compar aux autres : la manire de les prsenter doit donc tre harmonise et les valeurs doivent tre cohrentes les unes par rapport aux autres. Risk manager I Responsable

R R

C C

Page 61 sur 95

Autorit A

RSSI

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Propositions pour mettre en uvre les actions prconises

Action 4.1.1. Analyser les risques

Description Cette action consiste mettre en vidence l'ensemble des risques qui psent rellement sur le primtre de l'tude et dterminer leur gravit et leur vraisemblance, une premire fois sans tenir compte des mesures de scurit existantes, et une seconde fois en les prenant en compte. On fait ainsi le lien entre les vnements redouts et les scnarios de menaces, c'est--dire entre ce que l'organisme craint et ce quoi il est expos. Pour identifier les risques, il convient pour chaque vnement redout de retenir les scnarios de menaces qui : concernent les biens supports lis au bien essentiel considr ; touchent le mme critre de scurit ; sont l'initiative des mmes sources de menaces (on ne gardera que celles en commun). Chaque combinaison constitue un risque. Nanmoins, il est souhaitable de regrouper les risques afin leur liste ne soit pas trop longue. On considre ainsi gnralement qu'un risque est compos d'un vnement redout et de tous les scnarios de menaces concerns. Pour chaque risque, il convient ensuite de dterminer parmi les mesures de scurit existantes identifies, celles qui doivent avoir pour effet de : protger les besoins de scurit des biens essentiels identifis (ces mesures de scurit sont essentiellement des mesures de prvention et de rcupration) ; rduire chaque impact identifi (prvision et prparation, prvention, confinement, lutte, rcupration, restauration, compensation) ; contrer chaque source de menaces identifie (prvision et prparation, dissuasion, dtection, confinement) ; se protger contre les menaces (essentiellement des mesures de dtection et de protection) ; rduire les vulnrabilits des biens supports identifis (essentiellement des mesures de prvention et de protection). Enfin, pour estimer le niveau de chaque risque identifi en termes de gravit et de vraisemblance, on exploite les donnes produites dans les modules prcdents. Une premire estimation, dite "brute", est ralise sans tenir compte des mesures de scurit existantes. Pour ce faire, la gravit et la vraisemblance de chaque risque sont estimes en fonction des critres de gestion des risques retenus. dfaut, sa gravit est gale celle de l'vnement redout considr et sa vraisemblance est gale la valeur maximale des scnarios de menace concerns. Elles peuvent ensuite tre ajustes, notamment la vraisemblance, qui jusqu' prsent, ne tenait pas compte des besoins de scurit de l'lment essentiel et des sources de menaces en commun. Une seconde estimation, dite "nette", est ralise pour la gravit et la vraisemblance de chaque risque en tenant compte de l'effet des mesures de scurit existantes, s'il en existe. Conseils Il est gnralement utile, des fins de communication, d'illustrer les risques par des exemples reprsentatifs et explicites pour les parties prenantes. Le regroupement de risques, dans le but de rduire leur nombre, peut tre ralis par vnement redout, par impact, par scnario de menace, ou encore par menace. L'ajustement de la vraisemblance des risques est gnralement effectu en fonction de la vraisemblance maximale des scnarios de menaces lis un mme vnement redout. Il n'est pas ncessaire de vrifier la bonne application des mesures de scurit existantes. En effet, l'important est ici d'identifier ce qui a dj t pens pour ne pas le perdre. Le fait que ce soit mis en uvre et la qualit de cette mise en uvre pourront tre vrifis l'occasion d'un audit spcifique.

Page 62 sur 95

ANSSI/ACE/BAC Exemple

EBIOS Mthode de gestion des risques 25 janvier 2010

@RCHIMED a tabli la liste des risques partir des vnements redouts et des scnarios de menaces prcdemment apprcis. Les mesures de scurit existantes ayant un effet sur chaque risque ont galement t identifies. La gravit et la vraisemblance ont finalement t estimes, sans, puis avec, les mesures de scurit (les niveaux rays correspondent aux valeurs avant application de ces mesures). Risque li l'indisponibilit d'un devis au-del de 72h
vnement redout Besoin de scurit 24-72h Sources de menaces Employ peu srieux Incendie des locaux Panne lectrique Impacts Impossibilit de signer un contrat Perte d'un march Perte de crdibilit Sources de menaces Employ peu srieux Maintenance informatique Script-kiddies Virus non cibl Incendie des locaux Panne lectrique Phnomne naturel (foudre, usure) Employ peu srieux Maintenance informatique Script-kiddies Virus non cibl Incendie des locaux Panne lectrique Phnomne naturel (foudre, usure) Employ peu srieux Personnel de nettoyage Maladie Fournisseur d'accs Internet Partenaire Prvention X X X X X X X X X X X Protection Gravit

Indisponibilit de devis

2. Limite

Scnarios de menaces

Vraisemblance

Menaces sur le rseau interne causant une indisponibilit

3. Forte

Menaces sur le sous rseau Wifi causant une indisponibilit

3. Forte

Menaces sur lorganisation d'@RCHIMED causant une indisponibilit Menaces sur Internet causant une indisponibilit Menaces sur un partenaire causant une indisponibilit Mesure de scurit existante Activation du WPA2 Assurance multirisque professionnelle et sur les matriels informatiques Climatisation Contrat de maintenance informatique (intervention sous 4h) Contrle d'accs par mot de passe Dispositifs de lutte contre lincendie Installation dun antivirus Alimentation secourue Accs restreint en entre (messagerie, services WEB) Sauvegarde hebdomadaire sur des disques USB stocks dans une armoire fermant clef Niveau de risque Gravit Vraisemblance

2. Significative 2. Significative 3. Forte Rcupration

Bien support sur lequel elle repose MAT Commutateur ORG Organisation du cabinet LOC Locaux du cabinet ORG Organisation du cabinet LOG Windows XP LOC Locaux du cabinet LOG Windows XP MAT Serveur rseau et fichiers MAT Commutateur MAT Disque USB

1. Ngligeable 1. Minime

2. Limite 2. Significative

3. Importante 3. Forte

4. Critique 4. Maximale

Risque li l'altration d'un devis qui doit rester rigoureusement intgre [] Risque li la compromission d'un devis au-del du personnel et des partenaires []

Page 63 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 4.1.2. valuer les risques

Description Cette action consiste juger de l'importance des risques en les hirarchisant selon les critres de gestion des risques retenus. Certains risques peuvent tre carts de la suite de l'tude si les critres de gestion des risques dfinis le prvoient (par exemple, si la gravit et/ou la vraisemblance est trs faible). Il est important d'expliquer pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude et constituent ainsi des risques non traits. Cette opration doit donc tre dment justifie. Conseils La reprsentation sous une forme graphique (vraisemblance en abscisses et gravit en ordonnes) permet de visualiser le positionnement des risques les uns par rapport aux autres. Il peut s'avrer utile d'carter des risques quand leur nombre est important afin d'obtenir des rsultats rapidement en se concentrant sur l'essentiel. On pourra les tudier dans un second temps. Nanmoins, il reste prfrable d'viter cette opration. Exemple Les risques prcdemment analyss (identifis et estims) peuvent tre valus l'aide du tableau suivant (les risques rays correspondent ceux rduits par des mesures de scurit existantes) :
Risque li l'altration de plans ou de calculs de structures qui doivent rester rigoureusement intgres Risque li l'altration d'un devis qui doit rester rigoureusement intgre Risque li l'altration du contenu du site Internet sans pouvoir la dtecter ni la retrouver Risque li l'indisponibilit d'un devis au-del de 72h Risque li l'indisponibilit de plans ou de calculs de structures au-del de 72h Risque li l'indisponibilit de visualisations au-del de 72h Risque li l'altration de visualisations sans pouvoir la dtecter Risque li la compromission d'un devis au-del du personnel et des partenaires Risque li la compromission de plans ou calculs de structures au-del des personnels et partenaires

4. Critique

3. Importante

Risque li l'altration du contenu du site Internet sans pouvoir la dtecter ni la retrouver

2. Limite

Risque li l'indisponibilit d'un devis au-del de 72h Risque li l'indisponibilit de plans ou de calculs de structures au-del de 72h Risque li l'indisponibilit de visualisations au-del de 72h Risque li l'indisponibilit du contenu du site Internet au-del de 72h

Gravit

Risque li l'indisponibilit du contenu du site Internet au-del de 72h

1. Ngligeable

Risque li la compromission de visualisations, juges comme publiques Risque li la compromission du contenu du site Internet public 1. Minime 2. Significative 3. Forte Vraisemblance 4. Maximale

Risques ngligeables

Risques significatifs

Risques intolrables

Page 64 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Activit 4.2 Identifier les objectifs de scurit


Objectif Cette activit fait partie du traitement des risques. Elle a pour but de choisir la manire dont chaque risque devra tre trait au regard de son valuation. Avantages Permet de choisir entre diffrentes options orientant le traitement des risques Permet aux parties prenantes de s'exprimer sans prjuger des moyens mettre en uvre Permet de constituer un cahier des charges cohrent avec l'ensemble des informations recueillies tout au long de l'tude Donnes d'entre Risques Paramtres prendre en compte Propritaire Dpositaire Actions prconises et rle des parties prenantes Parties prenantes : Actions : Action 4.2.1. Choisir les options de traitement des risques Action 4.2.2. Analyser les risques rsiduels Donnes produites Objectifs de scurit identifis Risques rsiduels identifis Communication et concertation Les donnes sont obtenues sur la base d'changes entre les parties prenantes Les objectifs de scurit peuvent faire l'objet : o d'une fiche d'expression rationnelle des objectifs de scurit (FEROS), au sens du [Guide 150] ; o d'un cahier des charges "ouvert", c'est--dire laissant toute libert pour dterminer des mesures de scurit pour traiter les risques Surveillance et revue Des processus sont mis en place pour vrifier qu'on a bien considr toutes les informations ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits) Risk manager Responsable

Page 65 sur 95

Autorit A

RSSI

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Propositions pour mettre en uvre les actions prconises

Action 4.2.1. Choisir les options de traitement des risques

Description Cette action consiste identifier les objectifs de scurit, c'est--dire choisir la manire dont on va devoir traiter les risques afin que le niveau de risque rsiduel devienne acceptable. Cette action doit tre ralise en fonction des critres de gestion des risques retenus. Il convient ainsi, pour tout ou partie de chaque risque de choisir parmi les options suivantes : l'viter (ou le refuser) : changer le contexte de telle sorte qu'on n'y soit plus expos ; le rduire : prendre des mesures de scurit pour diminuer l'impact et/ou la vraisemblance ; le prendre (ou le maintenir), voire l'augmenter : assumer les consquences sans prendre de mesure de scurit supplmentaire ; le transfrer (ou le partager) : partager les pertes occasionnes par un sinistre ou faire assumer la responsabilit un(des) tiers. On note que l'on peut choisir plusieurs options pour chaque risque (ex. : un risque peut tre partiellement rduit par la mise en uvre de mesures de scurit, partiellement transfr par le recours une assurance et partiellement pris pour ce qui subsiste). Le choix des options de traitement doit tre fait au regard : des lments constitutifs du risque (bien essentiel, bien support, critre de scurit touch, impacts, menaces) : ils permettent de juger de la faisabilit de leur traitement ; des critres de gestion des risques retenus : ils peuvent orienter le choix (vitement, rduction, prise ou transfert) selon la gravit et la vraisemblance (par exemple, il peut tre dcid que les risques dont la gravit et la vraisemblance sont trs faibles doivent tre pris, les plus importants vits, et les autres rduits ou transfrs) ; des paramtres prendre en compte : ils peuvent avoir une influence sur les choix de traitement, notamment les contraintes et les hypothses. Conseils Il peut s'avrer utile l'illustrer ou d'orienter les choix de traitement en indiquant des exemples de mesures de scurit pour chaque objectif de scurit. Cette action fait gnralement l'objet de modifications lorsque les ngociations du module suivant poussent rviser les choix de traitement.

Page 66 sur 95

ANSSI/ACE/BAC Exemple

EBIOS Mthode de gestion des risques 25 janvier 2010

@RCHIMED souhaite essentiellement rduire les risques jugs comme prioritaires et significatifs, et prendre les risques jugs comme non prioritaires. Le tableau suivant prsente les objectifs de scurit identifis (les croix correspondent aux premiers choix, les croix entre parenthses correspondent aux autres possibilits acceptes) : Risque Risque li l'indisponibilit d'un devis au-del de 72h Risque li l'altration d'un devis qui doit rester rigoureusement intgre Risque li la compromission d'un devis au-del du personnel et des partenaires Risque li l'indisponibilit de plans ou de calculs de structures au-del de 72h Risque li l'altration de plans ou de calculs de structures qui doivent rester rigoureusement intgres Risque li la compromission de plans ou calculs de structures au-del des personnels et partenaires Risque li l'indisponibilit de visualisations au-del de 72h Risque li l'altration de visualisations sans pouvoir la dtecter Risque li la compromission de visualisations, juges comme publiques Risque li l'indisponibilit du contenu du site Internet au-del de 72h Risque li l'altration du contenu du site Internet sans pouvoir la dtecter ni la retrouver Risque li la compromission du contenu du site Internet public vitement (X) (X) Rduction (X) X X (X) (X) (X) X X (X) X (X) (X) X (X) Prise X X X X X X X (X) X X (X) X (X) (X) (X) (X) Transfert (X) (X)

Page 67 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 4.2.2. Analyser les risques rsiduels

Description Cette action consiste identifier et estimer les risques rsiduels qui subsisteront quand chaque objectif de scurit sera atteint, et vrifier que l'on sera prt les accepter en toute connaissance de cause. Cette action doit tre ralise en fonction des critres de gestion des risques retenus. D'une manire gnrale, les risques rsiduels sont mis en vidence selon le choix de traitement : un risque vit ne gnre aucun risque rsiduel s'il est compltement vit ; sinon, les risques rsiduels correspondent ce qui n'est pas vit ; un risque rduit mne des risques rsiduels s'il n'est pas totalement rduit ; un risque pris constitue un risque rsiduel part entire ; un risque transfr n'induit aucun risque rsiduel s'il est totalement transfr ; sinon, les risques rsiduels correspondent ce qui n'est pas transfr. La gravit et la vraisemblance des risques rsiduels doivent finalement tre estimes. Pour chaque risque, il peut tre utile de dterminer la gravit et la vraisemblance attendues une fois les objectifs de scurit satisfaits. Ces niveaux constituent ainsi le niveau de risque acceptable. Conseils Il est prfrable de mettre systmatiquement des risques rsiduels en vidence. Ceci montre qu'une rflexion a t mene et tend dmontrer par leur nonc que ces risques rsiduels peuvent tre accepts. Il est possible que cette action ne mette en vidence aucun risque rsiduel, notamment dans le cas o l'on prvoirait de rduire tous les risques. Le module suivant permettra de mettre en vidence des risques rsiduels si la rduction des risques n'est pas complte. Lestimation des risques rsiduels ne doit pas tre nglige. En effet, cest sur cette base que lon pourra juger de leur acceptation. Exemple l'issue de l'identification des objectifs de scurit, @RCHIMED a mis en vidence les risques rsiduels suivants : Risques rsiduels Risque li l'indisponibilit d'un devis au-del de 72h Risque li l'indisponibilit de plans ou de calculs de structures au-del de 72h Risque li l'indisponibilit de visualisations au-del de 72h Risque li la compromission de visualisations, juges comme publiques Risque li l'indisponibilit du contenu du site Internet au-del de 72h Risque li la compromission du contenu du site Internet public Gravit 2. Limite 2. Limite 2. Limite 1. Ngligeable 2. Limite 1. Ngligeable Vraisemblance 2. Significative 2. Significative 2. Significative 4. Maximale 2. Significative 4. Maximale

On note que ces risques rsiduels pourront tre rduits ultrieurement, quand les autres risques seront devenus acceptables.

Page 68 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Module 5 tude des mesures de scurit


Ce module a pour objectif de dterminer les moyens de traiter les risques et de suivre leur mise en uvre, en cohrence avec le contexte de l'tude. Les rflexions sont prfrentiellement menes de manire conjointe entre les niveaux fonctionnels et techniques. Il permet de trouver un consensus sur les mesures de scurit destines traiter les risques, conformment aux objectifs prcdemment identifis, d'en dmontrer la bonne couverture, et enfin, d'effectuer la planification, la mise en uvre et la validation du traitement. l'issue de ce module, les mesures de scurit sont dtermines et les points cls valids formellement. Le suivi de la mise en uvre peut galement tre ralis. Le module comprend les activits suivantes : Activit 5.1 Formaliser les mesures de scurit mettre en uvre Activit 5.2 Mettre en uvre les mesures de scurit
Module 2 tude des vnements redouts Module 4 tude des risques Module 1 tude du contexte Module 3 tude des scnarios de menaces

Module 5 tude des mesures de scurit

Page 69 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Activit 5.1 Formaliser les mesures de scurit mettre en uvre


Objectif Cette activit fait partie du traitement des risques. Elle a pour but de dterminer les mesures de scurit adquates pour atteindre les objectifs de scurit identifis, d'identifier les risques rsiduels et de valider "formellement" les choix effectus. Avantages Permet d'exploiter les rfrentiels de mesures existants et/ou d'en laborer des spcifiques Permet de s'adapter l'objectif de la gestion des risques et aux livrables attendus Permet de mesurer l'efficacit des mesures de scurit (rapport cot / effet) Permet aux parties prenantes de dcider objectivement de la poursuite des actions Favorise l'implication et la responsabilisation des parties prenantes Donnes d'entre Objectifs de scurit identifis Paramtres prendre en compte Meilleures pratiques (ex. : mesures de scurit de l'[ISO 27002]) Propritaire C C C Dpositaire I I Actions prconises et rle des parties prenantes Parties prenantes : Actions : Action 5.1.1. Dterminer les mesures de scurit Action 5.1.2. Analyser les risques rsiduels Action 5.1.3. tablir une dclaration d'applicabilit Donnes produites Mesures de scurit spcifies Risques rsiduels complts Dclaration dapplicabilit Communication et concertation Les rsultats sont ngocis au regard des objectifs de scurit Les rsultats de cette activit peuvent faire l'objet : o d'une dclaration d'applicabilit au sens de l'[ISO 27001] ; o d'une politique ou d'un rglement de scurit de l'information ; o d'un profil de protection au sens de l'[ISO 15408] ; o d'une cible de scurit au sens de l'[IGI 1300] ou de l'[ISO 15408] ; o d'un cahier des charges "ferm", c'est--dire spcifiant les mesures de scurit destines traiter les risques Trier les mesures de scurit selon l'objectif de l'tude et les livrables attendus Surveillance et revue Des processus sont mis en place pour vrifier qu'on a bien considr toutes les informations ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits) Les rsultats prcdents orientent les choix des mesures de scurit (capacit de relier les mesures de scurit aux objectifs de scurit et aux paramtres prendre en compte dans le traitement des risques) Les rsultats revtent une signification prcise pour l'organisation (ils sont explicites pour les personnes auxquelles ils sont destins) Les conclusions de l'tude couvrent lensemble des questions poses au dpart Les rsultats de lanalyse des donnes recueillies refltent lexprience des participants ou le contexte avec crdibilit Les rsultats correspondent ce que les participants voulaient dire et non simplement ce qui a t exprim (perspective mique) Page 70 sur 95 Risk manager I I Responsable

R R R

C C C

Autorit A A

RSSI

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Ltude reflte le fait qu'elle soit rptable et rcursive Les dcisions et interprtations mthodologiques, de mme que les positions particulires des personnes ralisant l'tude, sont considres Des descriptions riches et respectant la ralit sont illustres clairement et avec verve Des mthodes dorganisation, de prsentation et danalyse des donnes crative sont incorpores ltude La dmarche et ses rsultats sont cohrents et s'inscrivent dans le contexte particulier de l'tude (congruence) Ltude a t faite en tenant compte de la nature humaine et du contexte socioculturel de l'organisation tudie

Page 71 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Propositions pour mettre en uvre les actions prconises

Action 5.1.1. Dterminer les mesures de scurit

Description Cette action consiste dterminer les moyens datteindre les objectifs de scurit. Il s'agit donc ici de dfinir les mesures de scurit qui vont permettre d'viter, de rduire ou de transfrer tout ou partie des risques (la prise de risque ne requiert pas de mesures de scurit), en tenant compte des contraintes identifies, notamment budgtaires et techniques. Les mesures de scurit peuvent tre slectionnes et utilises telles quelles dans des rfrentiels de mesures (normes, mthodes, bases de connaissances, catalogues de scurit), adaptes d'aprs des rfrentiels, ou cres de toute pice. cette fin, les bases de connaissances de la mthode proposent une liste gnrique que l'on peut directement utiliser ou que l'on peut ajuster. Le contenu et le niveau de dtail des mesures de scurit doivent tre cohrents avec le but de l'tude et des livrables attendus. Il peut s'agir d'exigences plus ou moins dtailles, de principes, de rgles, de consignes, de procdures, de points de contrle, de choix de produits, etc Par ailleurs, ds lors qu'une mesure de scurit est spcifie, il convient d'identifier : la ligne de dfense (prventive, protectrice ou rcupratrice) laquelle elle appartient, afin de faciliter la dtermination des mesures de scurit en appliquant une dfense en profondeur ; le bien support qui la porte, afin de faciliter l'optimisation des mesures de scurit, son propritaire tant a priori responsable de l'application de la mesure de scurit. Pour qu'un risque soit vit, il convient de changer un lment du contexte afin de ne plus y tre expos. Cela peut se traduire par des mesures de scurit telles que le changement de localisation gographique, le fait de ne pas commencer ou poursuivre l'activit porteuse du risque, la sparation d'informations ayant des besoins de scurit bien diffrents sur des biens supports isols Pour qu'un risque soit transfr, il convient de partager les pertes avec un tiers. Les mesures de scurit peuvent ainsi consister souscrire une assurance, financer le risque, utiliser des produits, des services ou des individus certifis, contractualiser des clauses de transfert de responsabilit Pour qu'un risque soit rduit un niveau acceptable, il convient de diminuer sa gravit et/ou sa vraisemblance en agissant sur ses composantes (sources de menaces, menaces, vulnrabilits, impacts). Il est ainsi souvent ncessaire de mettre en uvre plusieurs mesures de scurit, et si 3 possible, en appliquant les principes de dfense en profondeur .

Les principes de la dfense en profondeur sont les suivants : la globalit : la dfense englobe toutes les dimensions des systmes dinformation (aspects techniques, organisationnels, humains ou autres) ; la coordination : les moyens mis en place agissent l'aide d'une capacit dalerte et de diffusion et la suite de corrlations d'incidents ; le dynamisme : l'organisme considre plusieurs niveaux de risques, planifie ses actions selon ces niveaux et dispose d'une capacit de raction ; la suffisance : chaque mesure de scurit bnficie dune protection propre, dun moyen de dtection, et de procdures de raction ; la compltude : les biens essentiels sont protgs de manire proportionne au niveau des risques, par au minimum trois lignes de dfense et des retours dexpriences sont formaliss ; la dmonstration : le dispositif de dfense est justifi par la dmonstration de couverture, et il existe une stratgie d'homologation qui adhre au cycle de vie du systme dinformation. Page 72 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Afin de mettre en place une dfense en profondeur, la dmarche consiste dans un premier temps tablir au moins trois lignes de dfense (selon la gravit des risques et la capacit des sources de menaces) pour chaque risque : une ligne prventive, destine viter l'apparition des incidents et des sinistres l'aide de mesures de scurit qui agissent sur : o les sources de menaces (dissuasion, dception), o les besoins de scurit des biens essentiels (anticipation, prvention), o les vulnrabilits des biens supports (rduction des failles, prparation) ; une ligne protectrice, destine bloquer, contenir et dtecter l'apparition des incidents et des sinistres l'aide de mesures de scurit qui agissent sur : o les besoins de scurit des biens essentiels (confinement), o les sources de menaces (lutte), o les menaces (dtection, protection, raction dfensive), o les vulnrabilits des biens supports (rsistance, rsilience) ; une ligne rcupratrice, destine minimiser les consquences des incidents et des sinistres et revenir l'tat initial, l'aide de mesures de scurit qui agissent sur : o les besoins de scurit des biens essentiels (rcupration, restauration), o les sources de menaces (raction offensive), o les impacts (compensation). Chaque ligne de dfense peut ensuite tre renforce en dterminant plusieurs mesures de scurit sur un ou plusieurs bien support (un matriel, un logiciel, des locaux, une organisation). Un ensemble de mesures de soutien (alerte, diffusion, corrlation d'vnements, protection des mesures de scurit, raction) devrait complter le dispositif de dfense en profondeur. On note que les ventuelles mesures de scurit existantes doivent tre considres, mais peuvent aussi tre remises en question par des mesures de scurit plus appropries. Il convient enfin d'amliorer le dispositif global de scurit, bien support par bien support. Le but est ici de faire le bilan pour gagner en pertinence, en conomie et en efficacit. La liste des mesures de scurit portes par chaque bien support doit tout d'abord tre tablie. Ensuite, l'applicabilit et la cohrence des mesures de scurit portes par chaque bien support doivent tre tudies. Il est ainsi possible de vrifier que les mesures de scurit sont compatibles entre elles, de factoriser certaines mesures de scurit, de vrifier que la formulation va tre comprise par le propritaire du bien support, qu'il va tre capable de la mettre en uvre Le cas chant, les mesures de scurit peuvent tre adaptes en consquence. On estime finalement l'impact de la mise en uvre de chaque mesure de scurit en termes de cot financier ou de charge de personnel (tude, ralisation, application, maintien en situation oprationnelle), mais aussi en termes de consquences sur les habitudes et la culture des personnes et sur les processus mtiers du fait du changement induit. Conseils Les mesures de scurit devraient tre claires, simples et mesurables. La manire dont les mesures de scurit sont rdiges doit tre adapte ceux qui elles sont destines. Dans le cadre de la mise en place d'un systme de management de la scurit de l'information selon l'[ISO 27001], il convient de slectionner en premier lieu les mesures de scurit de son annexe A (ou de l'[ISO 27002]). Il est important dans lors de cette action de considrer les contraintes, notamment budgtaires ou techniques, et de privilgier la performance et le confort pour ceux qui vont devoir appliquer les mesures de scurit (rapport entre scurit et acceptation psychologique).

Page 73 sur 95

ANSSI/ACE/BAC Exemple

EBIOS Mthode de gestion des risques 25 janvier 2010

Le tableau suivant prsente la liste des mesures de scurit destines rduire ou transfrer les risques prioritaires (elles traitent galement les autres risques) :

Prvention

Mesure de scurit

R1

R2

R3

R4

R5

R6

Thme ISO 27002

Chiffrement des fichiers lis aux plans et calculs de structures l'aide de certificats lectroniques Dsactivation des composants inutiles sur le serveur Mise jour rgulire de l'antivirus des serveurs et de sa base de signatures Accs restreint en entre (messagerie, services WEB) Rangement des supports amovibles dans un meuble fermant clef Utilisation dantivols pour les ordinateurs portables Utilisation de films empchant lespionnage de lcran des ordinateurs portables Accompagnement systmatique des visiteurs dans les locaux Inventaire des biens sensibles Accord sur le niveau de service de l'hbergeur Contrle annuel de lapplication des mesures de scurit Assurance multirisque professionnelle et sur les matriels informatiques Destruction des documents sensibles lors de leur mise au rebut Sensibilisation rgulire des personnels aux risques encourus Retrait des droits daccs en fin de contrat Utilisation de mots de passe de qualit pour chaque compte utilisateur X X X X X X X

LOG MacOS X LOG Serveurs logiciels du rseau interne LOG Windows XP MAT Commutateur

7.1. Responsabilits relatives aux biens 10.1. Procdures et responsabilits lies lexploitation 10.4. Protection contre les codes malveillant et mobile 10.6. Gestion de la scurit des rseaux 10.7. Manipulation des supports 9.2. Scurit du matriel 9.2. Scurit du matriel X

MAT Disque USB


MAT Ordinateurs portables MAT Ordinateurs portables ORG Organisation du cabinet ORG Organisation du cabinet ORG Organisation du cabinet ORG Organisation du cabinet ORG Organisation du cabinet PAP Support papier X X X X X PER Utilisateur PER Administrateur PER Utilisateur

Protection X X X X

Bien support sur lequel elle repose

6.2. Tiers 7.1. Responsabilits relatives aux biens 10.2. Gestion de la prestation de service par un tiers 15.3. Prises en compte de laudit du systme dinformation 14.1. Aspects de la scurit de linformation en matire de gestion de la continuit de lactivit 10.7. Manipulation des supports 8.2. Pendant la dure du contrat 8.3. Fin ou modification de contrat 11.3. Responsabilits utilisateurs

X X X

X X X

X X X

X X X

X X X

Ces mesures de scurit ont t dtermines dans lobjectif de couvrir diffrents lments des risques traiter (vulnrabilits, menaces, sources de menaces, besoins de scurit ou impacts), daborder la plupart des thmes de lISO 27002, de couvrir les diffrentes lignes de dfense (prvention, protection et rcupration), et ont t optimises bien support par bien support.

Page 74 sur 95

Rcupration X X X X X

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 5.1.2. Analyser les risques rsiduels

Description Cette action consiste identifier et estimer les risques rsiduels qui subsisteront quand chaque mesure de scurit sera mise en uvre. Cela permet de vrifier que l'on sera prt les accepter en toute connaissance de cause. Pour chaque objectif de scurit, il convient de : raliser un argumentaire justificatif, qui devrait dmontrer que : o la combinaison des mesures de scurit traite le risque conformment l'objectif de scurit identifi, o l'ensemble des mesures de scurit constitue un tout cohrent et dont les lments se soutiennent mutuellement, o le niveau de rsistance des mesures de scurit choisi est cohrent avec les sources de menaces retenues ; complter la liste des risques rsiduels au regard des mesures de scurit identifies, et les estimer en termes de gravit et de vraisemblance ; estimer l'effet des mesures de scurit sur la gravit et la vraisemblance du risque concern en les r-estimant. Conseils Il peut tre utile de raliser un tableau crois entre les objectifs de scurit et les mesures de scurit pour vrifier la couverture et qu'il n'existe pas de mesure de scurit inutile. Lanalyse des risques rsiduels ne doit pas tre nglige. En effet, cest sur cette base que lon pourra juger de leur acceptation. Exemple Si les mesures de scurit prcdemment identifies sont mises en uvre, alors le niveau des risques jugs comme intolrables ou significatifs peut tre r-estim comme suit : Risque li l'altration d'un devis qui doit rester rigoureusement intgre
Niveau de risque Gravit Vraisemblance 1. Ngligeable 1. Minime 2. Limite 2. Significative 3. Importante 3. Forte 4. Critique 4. Maximale

Risque li la compromission d'un devis au-del du personnel et des partenaires


Niveau de risque Gravit Vraisemblance 1. Ngligeable 1. Minime 2. Limite 2. Significative 3. Importante 3. Forte 4. Critique 4. Maximale

Risque li l'altration de plans ou de calculs de structures qui doivent rester rigoureusement intgres
Niveau de risque Gravit Vraisemblance 1. Ngligeable 1. Minime 2. Limite 2. Significative 3. Importante 3. Forte 4. Critique 4. Maximale

Risque li la compromission de plans ou calculs de structures au-del des personnels et partenaires


Niveau de risque Gravit Vraisemblance 1. Ngligeable 1. Minime 2. Limite 2. Significative 3. Importante 3. Forte 4. Critique 4. Maximale

[]

Page 75 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 5.1.3. tablir une dclaration d'applicabilit

Description Cette action consiste expliquer comment les paramtres prendre en compte (rfrences applicables, contraintes et hypothses) ont t pris en compte au sein de l'tude et de justifier le fait de ne pas en avoir tenu compte, le cas chant. Elle permet ainsi de ne rien oublier de ce qu'il a t dcid de considrer lors de l'tude, et donc de rappeler, si ce n'est pas dj fait, qu'il est ncessaire de tenir compte des paramtres identifis dans l'tablissement du contexte dans l'apprciation et dans le traitement des risques, et notamment dans la dtermination des mesures de scurit. Certains paramtres prendre en compte, notamment les rfrences applicables, peuvent faire l'objet de mesures de scurit complmentaires, dont il convient de vrifier la cohrence avec les autres mesures de scurit. On note que le fait de ne pas prendre en compte des rfrences rglementaires applicables engendre des risques de nature juridique qu'il convient de mettre en vidence. Certains paramtres prendre en compte peuvent galement requrir de modifier des mesures de scurit. Cette action peut ainsi servir dmontrer lapplicabilit dtaille de meilleures pratiques en expliquant le positionnement face chacune delles. Pour chacune des meilleures pratiques, il suffit de dterminer, parmi les mesures de scurit prcdemment identifies, celles qui lui correspondent. Ainsi, les meilleures pratiques couvertes par au moins une mesure de scurit peuvent tre juges comme utiles pour le primtre de l'tude. Les mesures de scurit lies ces meilleures pratiques expliquent comment celles-ci sont appliques, et ce, de manire ncessaire et suffisante. A contrario, les meilleures pratiques qui ne sont couvertes par aucune mesure de scurit peuvent tre juges comme inutiles pour le primtre de l'tude. En effet, elles ne servent traiter aucun risque ni couvrir aucun paramtre prendre en compte. Conseils Ne pas ngliger cette action, en termes d'importance ou de charges. En effet, la prise en compte des rfrences applicables ncessite d'une part de vrifier que le contenu de ces rfrences n'est pas en contradiction avec les mesures de scurit, et d'autre part de crer des mesures de scurit correspondant ce contenu (crer des mesures de scurit correspondant aux clauses de l'[ISO 27001]). Il peut tre utile de capitaliser les mesures de scurit cres partir des rfrences applicables en compltant les bases de connaissances. Le rsultat de cette action peut directement constituer une dclaration d'applicabilit selon l'[ISO 27001]. Exemple La prise en compte de chaque contrainte identifie est explicite comme suit : Paramtre prendre en compte Le personnel est utilisateur de l'informatique, mais pas spcialiste Le personnel de nettoyage intervient de 7h 8h Aucun dmnagement n'est planifi Explication / Justification Pris en compte Les mesures de scurit applicables par le personnel ne demandent pas une grande expertise Non pris en compte Les horaires doivent correspondrent ceux du personnel Pris en compte Les mesures de scurit formalises ne demandent pas de dmnagement

Page 76 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Activit 5.2 Mettre en uvre les mesures de scurit


Objectif Cette activit fait partie du traitement des risques. Elle a pour but d'laborer et de suivre la ralisation du plan de traitement des risques par les mesures de scurit afin de pouvoir prononcer lhomologation de scurit. Avantages Amliore la lgitimit et la visibilit des actions Favorise la ralisation et l'application des mesures de scurit spcifies Donnes d'entre Mesures de scurit spcifies Objectifs de scurit identifis Propritaire C I A Dpositaire Actions prconises et rle des parties prenantes Parties prenantes : Actions : Action 5.2.1. laborer le plan d'action et suivre la ralisation des mesures de scurit Action 5.2.2. Analyser les risques rsiduels Action 5.2.3. Prononcer l'homologation de scurit Donnes produites Plan d'action Mesures de scurit mises en uvre Risques rsiduels mis jour Dcision dhomologation de scurit Communication et concertation Les donnes sont obtenues sur la base de runions Elles peuvent faire l'objet d'un plan d'action ou d'un plan de traitement des risques Le contenu du dossier servant lhomologation de scurit doit tre adapt lautorit et/ou la commission dhomologation Surveillance et revue L'interprtation des personnes ralisant l'tude s'accorde avec les donnes recueillies Risk manager Responsable

R R R

C C C

Page 77 sur 95

Autorit

RSSI

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Propositions pour mettre en uvre les actions prconises

Action 5.2.1. laborer le plan d'action et suivre la ralisation des mesures de scurit

Description Cette action consiste identifier parmi les mesures de scurit formalises celles qui ne seraient pas dj appliques et planifier concrtement les actions ncessaires leur mise en uvre. Pour chaque mesure de scurit prcdemment formalise, il convient d'indiquer, par exemple sous la forme d'un tableau : son libell ; sa priorit (qui peut tre dtermine par les critres de gestion de risques, par exemple en fonction de la gravit et de la vraisemblance des risques concerns) ; le responsable de la mise en uvre (une personne ou une fonction) ; si besoin, le dtail des actions mener (notamment si plusieurs tapes sont ncessaires) ; l'chance prvisionnelle ; le cot prvisionnel de mise en uvre (notamment l'achat de produits et la charge estime) ; l'tat d'avancement (non dmarr / en cours / termin / contrl) ; les moyens de contrler la mise en uvre (indicateur oprationnel, lments de preuve) ; les ventuels risques, rsiduels ou induits, mis en vidence au fur et mesure de l'avancement du plan d'action. Conseils Il peut tre utile de prciser si les mesures de scurit doivent tre appliques avant ou aprs l'homologation. Celles qui servent traiter des risques jugs comme bloquants devraient gnralement tre appliques avant et celles qui servent traiter des risques jugs comme majeurs, indirects et mineurs peuvent tre appliques aprs. D'une manire gnrale, chaque action du plan d'action devrait tre : o S spcifique (un acteur, un domaine la fois) ; o M mesurable (dfinition du moyen de contrle) ; o A atteignable (ventuellement en plusieurs tapes, avec les ressources ncessaires) ; o R raliste (en fonction des acteurs, de leurs capacits) ; o T lie au temps (avec une date buttoir, un dlai, une priode dfinie). Exemple Le plan d'action d'@RCHIMED, tri par terme, avancement et cot financier, est tabli comme suit :
Mesure de scurit Mesures du trimestre Activation dune alarme anti-intrusion durant les heures de fermeture Consignes de fermeture clef des locaux Dispositifs de lutte contre lincendie Climatisation Contrle d'accs par mot de passe sous MacOS X Contrle d'accs par mot de passe sous Windows XP Accs restreint en entre (messagerie, services WEB) Activation du WPA2 Sauvegarde hebdomadaire sur des disques USB stocks dans un meuble fermant clef Installation dun antivirus sous MacOS X Installation dun antivirus sous Windows XP Responsable Directeur Directeur Directeur adjoint Directeur adjoint Directeur adjoint Directeur adjoint Directeur adjoint Directeur adjoint Directeur adjoint Directeur adjoint Directeur adjoint Difficult 1. Faible 1. Faible 1. Faible 1. Faible 1. Faible 1. Faible 1. Faible 1. Faible 1. Faible 1. Faible 1. Faible Cot financier 1. Nul 1. Nul 1. Nul 1. Nul 1. Nul 1. Nul 1. Nul 1. Nul 1. Nul 2. Moins de 1000 2. Moins de 1000 Terme 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre Avancement 3. Termin 3. Termin 3. Termin 3. Termin 3. Termin 3. Termin 3. Termin 3. Termin 3. Termin 3. Termin 3. Termin

Page 78 sur 95

ANSSI/ACE/BAC
Mesure de scurit Alimentation secourue Contrat de maintenance informatique (intervention sous 4h) Accord sur le niveau de service de l'hbergeur Assurance multirisque professionnelle et sur les matriels informatiques laboration dune politique de scurit de linformation Rangement systmatique des documents lis aux plans et calculs de structures dans un meuble ferm clef Chiffrement des fichiers lis aux plans et calculs de structures l'aide de certificats lectroniques Cration d'empreintes des fichiers lis aux plans et aux calculs de structure Cration d'empreintes des fichiers lis aux visualisations Installation dun antivirus sur les serveurs Utilisation dantivols pour les ordinateurs portables Utilisation de films empchant lespionnage de lcran des ordinateurs portables Destruction des documents sensibles lors de leur mise au rebut Pose de barreaux aux fentres Mesures de l'anne tablissement de la liste des exigences rglementaires Test trimestriel des fichiers sauvegards Vrification des empreintes des fichiers lis aux devis de manire rgulire Marquage du besoin de confidentialit des documents lectroniques lis aux devis Marquage du besoin de confidentialit des documents papiers lis aux devis Extension de l'assurance aux risques d'altration d'informations Extension de l'assurance aux risques de vol d'informations Utilisation de scells sur les ordinateurs afin de pouvoir constater leur ouverture non dsire Formation des personnels aux outils mtiers et aux mesures de scurit Mesures dans les trois ans Gestion des vulnrabilits sur les serveurs Gestion des vulnrabilits sur Windows XP Gestion des vulnrabilits sur MacOS X tablissement dun accord dchange dinformations avec les clients et les partenaires Mise en place d'un systme RAID logiciel

EBIOS Mthode de gestion des risques 25 janvier 2010


Responsable Directeur adjoint Directeur adjoint Directeur adjoint Directeur Directeur adjoint Bureau d'tudes Difficult 1. Faible 1. Faible 1. Faible 1. Faible 2. Moyenne 1. Faible Cot financier 2. Moins de 1000 2. Moins de 1000 2. Moins de 1000 3. Plus de 1000 1. Nul 1. Nul Terme 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre Avancement 3. Termin 3. Termin 3. Termin 3. Termin 2. En cours 1. Non dmarr

Bureau d'tudes Bureau d'tudes Bureau d'tudes Directeur adjoint Service commercial Service commercial Tous Directeur adjoint Directeur adjoint Directeur adjoint Directeur adjoint Service commercial Service commercial Directeur Directeur Directeur adjoint Directeur adjoint

2. Moyenne 2. Moyenne 2. Moyenne 1. Faible 1. Faible 1. Faible 1. Faible 1. Faible 1. Faible 2. Moyenne 2. Moyenne 2. Moyenne 2. Moyenne 2. Moyenne 2. Moyenne 1. Faible 2. Moyenne

1. Nul 1. Nul 1. Nul

1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 1. Trimestre 2. Anne 2. Anne 2. Anne 2. Anne 2. Anne 2. Anne 2. Anne 2. Anne 2. Anne

1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr

2. Moins de 1000 2. Moins de 1000 2. Moins de 1000 2. Moins de 1000 3. Plus de 1000 1. Nul 1. Nul 1. Nul

1. Nul 1. Nul 2. Moins de 1000 2. Moins de 1000 2. Moins de 1000 3. Plus de 1000

Directeur adjoint Directeur adjoint Directeur adjoint Directeur adjoint et partenaires Directeur adjoint

3. leve 3. leve 3. leve 2. Moyenne 3. leve

1. Nul 1. Nul 1. Nul 1. Nul 3. Plus de 1000

3. 3 ans 3. 3 ans 3. 3 ans 3. 3 ans 3. 3 ans

1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr 1. Non dmarr

Page 79 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 5.2.2. Analyser les risques rsiduels

Description Cette action consiste identifier et estimer les risques rsiduels qui subsiste rellement une fois les mesures de scurit mises en uvre. Cela permet de vrifier que l'on sera prt les accepter en toute connaissance de cause. Pour chaque objectif de scurit, il convient de complter la dmonstration de couverture et donc de : revoir largumentaire justificatif, qui devrait dmontrer que : o la combinaison des mesures de scurit mises en uvre traite le risque conformment l'objectif de scurit identifi, o l'ensemble des mesures de scurit mises en uvre constitue un tout cohrent et dont les lments se soutiennent mutuellement, o le niveau de rsistance des mesures de scurit mises en uvre est cohrent avec les sources de menaces retenues ; complter la liste des risques rsiduels au regard des mesures de scurit mises en uvre, et les estimer en termes de gravit et de vraisemblance ; estimer l'effet des mesures de scurit mises en uvre sur la gravit et la vraisemblance du risque concern en les r-estimant. Conseils Il peut tre utile de raliser un tableau crois entre les objectifs de scurit et les mesures de scurit mises en uvre pour vrifier la couverture et qu'il n'existe pas de mesure de scurit inutile. Lanalyse des risques rsiduels ne doit pas tre nglige. En effet, cest sur cette base que lon pourra juger de leur acceptation. Exemple Un ensemble de risques subsiste aprs la mise en uvre des mesures de scurit formalises : Risque li l'altration d'un devis qui doit rester rigoureusement intgre
Niveau de risque Gravit Vraisemblance 1. Ngligeable 1. Minime 2. Limite 2. Significative 3. Importante 3. Forte 4. Critique 4. Maximale

Risque li la compromission d'un devis au-del du personnel et des partenaires


Niveau de risque Gravit Vraisemblance 1. Ngligeable 1. Minime 2. Limite 2. Significative 3. Importante 3. Forte 4. Critique 4. Maximale

Risque li l'altration de plans ou de calculs de structures qui doivent rester rigoureusement intgres
Niveau de risque Gravit Vraisemblance 1. Ngligeable 1. Minime 2. Limite 2. Significative 3. Importante 3. Forte 4. Critique 4. Maximale

Risque li la compromission de plans ou calculs de structures au-del des personnels et partenaires


Niveau de risque Gravit Vraisemblance 1. Ngligeable 1. Minime 2. Limite 2. Significative 3. Importante 3. Forte 4. Critique 4. Maximale

[]

Page 80 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Action 5.2.3. Prononcer l'homologation de scurit

Description Cette action consiste faire valider les conclusions de l'tude de manire formelle. La dcision dhomologation est lengagement par lequel l'autorit atteste que le projet a bien pris en compte les contraintes oprationnelles tablies au dpart, que le systme et les informations sont protgs conformment aux objectifs de scurit, et que le systme dinformation est apte entrer en service avec des risques rsiduels accepts et matriss. Cette dcision est thoriquement prise pralablement l'emploi du systme d'information considr. Lautorit peut sappuyer sur une commission dhomologation qui lui fournira les lments dinformation et la synthse ncessaires sa dcision. Si la responsabilit du systme dinformation nest pas incarne par une seule autorit, lhomologation peut tre collgiale ou confie une autorit parmi les autorits concernes. Lautorit peut prononcer : une homologation provisoire, assortie de rserves et dun dlai de mise en conformit ; un refus d'homologation au vu des rsultats d'audit et des risques rsiduels encourus jugs inacceptables ; une homologation complte, assortie le cas chant de conditions, pour une dure dtermine (frquemment entre 3 et 5 ans). Lhomologation peut tre assortie de conditions, qui sont alors mentionnes dans la dcision dhomologation. Lautorit peut modifier les conditions dont lhomologation est assortie ou retirer lhomologation lorsquelle estime que les risques encourus ne sont pas acceptables au regard du besoin de protection du systme et des informations. Toute volution du systme ayant une rpercussion sur la scurit devrait donner lieu une nouvelle homologation de scurit. Conseils Afin d'assurer une intgration de la SSI tout au long du projet, la commission d'homologation doit tre cre ds l'tude d'opportunit. La commission d'homologation doit valider les diffrentes tapes de l'tude des risques, aux jalons cls du programme, sur la base de livrables adapts. La commission d'homologation peut se prononcer sur la base d'un plan d'action visant rduire les risques rsiduels, satisfaire des objectifs de scurit et mettre en uvre les mesures de scurit. Les diffrentes tapes de l'tude des risques doivent tre raffines tout au long du projet. Exemple Le Directeur d'@RCHIMED a prononc l'homologation de scurit du cabinet au vu de l'tude ralise (dlimitation du primtre, apprciation des risques, laboration du plan d'action, mise en vidence des risques rsiduels) et des livrables labors (note de cadrage, note de stratgie, politique de scurit de l'information). Cette homologation de scurit est valable un an et pourra tre renouvele tous les ans. La mise en uvre du plan d'action devra tre dmontre, ainsi que l'amlioration continue de l'tude de scurit.

Page 81 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Annexe A Dmonstration de la couverture des normes


EBIOS satisfait les exigences de l'[ISO 27001]
La mthode EBIOS permet de raliser l'ensemble de la phase de planification (premire phase du systme de management de la scurit de l'information information security management system ISMS) de l'[ISO 27001] et peut servir de support la mise en uvre des autres phases. Elle permet notamment de satisfaire l'ensemble des exigences relatives la gestion des risques de l'[ISO 27001]. Le tableau suivant en illustre la correspondance : Exigences de l'[ISO 27001] relatives la gestion des risques 4.2.1 tablissement de lISMS L'organisme doit effectuer les tches suivantes : a) dfinir le domaine d'application et les limites de lISMS en termes des caractristiques de l'activit, de l'organisme, de son emplacement, de ses biens, de sa technologie, ainsi que des dtails et de la justification de toutes exclusions du domaine d'application b) dfinir une politique pour lISMS en termes des caractristiques de l'activit, de l'organisme, de son emplacement, de ses biens, et de sa technologie, qui : 1) inclut un cadre pour fixer les objectifs et indiquer une orientation gnrale et des principes d'action concernant la scurit de l'information ; 2) tient compte des exigences lies l'activit et des exigences lgales ou rglementaires, ainsi que des obligations de scurit contractuelles ; 3) s'aligne sur le contexte de management du risque stratgique auquel est expos l'organisme, dans lequel se drouleront l'tablissement et la mise jour de lISMS ; 4) tablit les critres d'valuation future du risque (voir 4.2.1c)) c) dfinir l'approche d'apprciation du risque de l'organisme : 1) Identifier une mthodologie d'apprciation du risque adapte lISMS, ainsi qu' la scurit de l'information identifie de l'organisme et aux exigences lgales et rglementaires. 2) Dvelopper des critres d'acceptation des risques et identifier les niveaux de risque acceptables. (voir 5.1f)). La mthodologie d'apprciation du risque choisie doit assurer que les apprciations du risque produisent des rsultats comparables et reproductibles. d) identifier les risques. 1) Identifier les biens relevant du domaine d'application de lISMS, ainsi que leurs propritaires. 2) Identifier les menaces auxquelles sont confronts ces biens. 3) Identifier les vulnrabilits qui pourraient tre exploites par les menaces. 4) Identifier les impacts que les pertes de confidentialit, d'intgrit et de disponibilit peuvent avoir sur les biens. Activits d'EBIOS permettant de les satisfaire Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.3 Identifier les biens

Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.2 Prparer les mtriques

Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.2 Prparer les mtriques

Activit 1.3 Identifier les biens Activit 2.1 Apprcier les vnements redouts Activit 3.1 Apprcier les scnarios de menaces

Page 82 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010 Activits d'EBIOS permettant de les satisfaire

Exigences de l'[ISO 27001] relatives la gestion des risques e) analyser et valuer les risques. 1) valuer l'impact sur l'activit de l'organisme qui pourrait dcouler d'une dfaillance de la scurit, en tenant compte des consquences d'une perte de confidentialit, intgrit ou disponibilit des biens. 2) valuer la probabilit raliste d'une dfaillance de scurit de cette nature au vu des menaces et des vulnrabilits prdominantes, des impacts associs ces biens et des mesures actuellement mises en uvre. 3) Estimer les niveaux de risques. 4) Dterminer si le risque est acceptable ou doit faire l'objet d'un traitement en utilisant les critres d'acceptation du risque tablis en 4.2.1c)2). f) identifier et valuer les options de traitement des risques. Les actions envisageables incluent : 1) l'application de mesures appropries ; 2) l'acceptation des risques en connaissance de cause et avec objectivit, dans la mesure o ils sont acceptables au regard des politiques de l'organisme et des critres d'acceptation du risque (voir 4.2.1c)2)) ; 3) l'annulation des risques ; et 4) le transfert des risques lis l'activit associs, des tiers, par exemple assureurs, fournisseurs. g) slectionner les objectifs des mesures et les mesures proprement dites pour le traitement des risques. Les objectifs des mesures et les mesures proprement dites doivent tre slectionns et mis en uvre pour rpondre aux exigences identifies par le processus d'apprciation du risque et de traitement du risque. Cette slection doit tenir compte des critres d'acceptation des risques (voir 4.2.1c)) ainsi que des exigences lgales, rglementaires et contractuelles. Les objectifs des mesures et les mesures proprement dites dfinis l'annexe A doivent tre slectionns comme partie intgrante de ce processus, dans la mesure o ils peuvent satisfaire ces exigences. Les objectifs des mesures et les mesures proprement dites numrs l'annexe A ne sont pas exhaustifs et des objectifs des mesures et des mesures proprement dites additionnels peuvent galement tre slectionns. h) obtenir l'approbation par la direction des risques rsiduels proposs i) obtenir l'autorisation de la direction pour mettre en uvre et exploiter lISMS j) prparer une dclaration d'applicabilit (Statement of Applicability SoA). Une SoA doit tre labore et comprendre les informations suivantes : 1) les objectifs des mesures et les mesures proprement dites, slectionns en 4.2.1g) et les raisons pour lesquelles ils ont t slectionns ; 2) les objectifs des mesures et les mesures proprement dites actuellement mis en uvre (voir 4.2.12)) ; et 3) l'exclusion des objectifs des mesures et des mesures proprement dites spcifis l'annexe A et la justification de leur exclusion.

Activit 2.1 Apprcier les vnements redouts Activit 4.1 Apprcier les risques

Activit 4.2 Identifier les objectifs de scurit

Activit 5.1 Formaliser les mesures de scurit mettre en uvre

Activit 5.2 Mettre en uvre les mesures de scurit Activit 5.1 Formaliser les mesures de scurit mettre en uvre

Activit 5.1 Formaliser les mesures de scurit mettre en uvre

Page 83 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010 Activits d'EBIOS permettant de les satisfaire

Exigences de l'[ISO 27001] relatives la gestion des risques 4.2.2 Mise en uvre et fonctionnement de lISMS L'organisme doit effectuer les tches suivantes : a) laborer un plan de traitement du risque qui identifie les actions engager, les ressources, les responsabilits et les priorits appropries pour le management des risques lis la scurit de l'information (voir l'article 5) ; b) mettre en uvre le plan de traitement du risque afin d'atteindre les objectifs des mesures identifis, ce plan prvoyant le mode de financement et l'affectation de rles et de responsabilits ; c) mettre en uvre les mesures slectionnes en 4.2.1g) afin de rpondre aux objectifs des mesures ; [] 4.2.3 Surveillance et rexamen de lISMS [] d) rexaminer les apprciations du risque intervalles planifis et rexaminer le niveau de risque rsiduel et le niveau de risque acceptable identifi, compte tenu des changements apports : 1) l'organisme ; 2) la technologie ; 3) aux objectifs mtiers et aux processus de l'organisme ; 4) aux menaces identifies ; 5) l'efficacit des mesures mises en uvre ; et 6) aux vnements extrieurs, tels que les modifications apportes au milieu de la lgislation ou de la rglementation, les obligations contractuelles modifies et les changements du climat social ; []

Activit 5.2 Mettre en uvre les mesures de scurit

Toutes les activits

4.3 Exigences relatives la documentation

Les donnes produites par les activits d'EBIOS permettent d'laborer la plupart des documents exigs

Page 84 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

EBIOS dcline parfaitement l'[ISO 27005]


La mthode EBIOS permet de mettre en uvre l'[ISO 27005] (cadre pour les mthodes de gestion des risques de scurit de l'information). Le tableau suivant en illustre la correspondance : Chapitres de l'[ISO 27005] Foreword Introduction 1. Scope 2. Normative references 3. Terms and definitions 4. Structure of this standard 5. Background 6. Overview of the information security risk management process 7. Context establishment 7.1. General considerations 7.2. Basic Criteria 7.3. The scope and boundaries 7.4. Organization for information security risk management Activits d'EBIOS correspondantes Avant-propos Introduction Domaine d'application Rfrences rglementaires et normatives Annexe B Rfrences Dfinitions Structure du document 1. Grer durablement les risques sur le patrimoine informationnel 2. EBIOS : la mthode de gestion des risques

Module 1 tude du contexte Module 1 tude du contexte Activit 1.2 Prparer les mtriques Activit 1.3 Identifier les biens Activit 1.1 Dfinir le cadre de la gestion des risques Module 2 tude des vnements redouts 8. Information security risk assessment Module 3 tude des scnarios de menaces Module 4 tude des risques Module 2 tude des vnements redouts 8.1. General description of information security Module 3 tude des scnarios de menaces risk assessment Module 4 tude des risques Module 2 tude des vnements redouts 8.2. Risk analysis Module 3 tude des scnarios de menaces Module 4 tude des risques 8.3. Risk evaluation Module 4 tude des risques Module 4 tude des risques 9. Information security risk treatment Module 5 tude des mesures de scurit 9.1. General description of information security Module 4 tude des risques risk treatment Module 5 tude des mesures de scurit Activit 4.2 Identifier les objectifs de scurit 9.2. Risk reduction Module 5 tude des mesures de scurit Activit 4.2 Identifier les objectifs de scurit 9.3. Risk retention Module 5 tude des mesures de scurit Activit 4.2 Identifier les objectifs de scurit 9.4. Risk avoidance Module 5 tude des mesures de scurit Activit 4.2 Identifier les objectifs de scurit 9.5. Risk transfer Module 5 tude des mesures de scurit 10. Information security risk acceptance Activit 5.2 Mettre en uvre les mesures de scurit Toutes les activits (partie Communication et 11. Information security risk communication concertation) 12. Information security risk monitoring and Toutes les activits (partie Surveillance et revue) review 12.1. Monitoring and review of risk factors Toutes les activits (partie Surveillance et revue) 12.2. Risk management monitoring, reviewing Toutes les activits (partie Surveillance et revue) and improving

Page 85 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

EBIOS est dcline parfaitement l'[ISO 31000]


La mthode EBIOS permet de mettre en uvre la dmarche type de gestion des risques (applicable tous les types de risques) dcrite dans l'[ISO 31000]. Le tableau suivant en illustre la correspondance : Chapitres de l'[ISO 31000] Avant-propos Introduction 1. Domaine dapplication 2. Rfrences normatives 3. Termes et dfinitions 4. Principes de management du risque 5. Cadre organisationnel de management du risque 5.1. Gnralits 5.2. Mandat et engagement 5.3. Conception du cadre organisationnel de management du risque 5.4. Mise en uvre du management du risque 5.5. Surveillance et revue du cadre organisationnel 5.6. Amlioration continue du cadre organisationnel 6. Processus de management du risque 6.1. Gnralits 6.2. Communication et consultation 6.3. tablissement du contexte 6.4. Apprciation du risque 6.5. Traitement du risque 6.6. Surveillance et revue 6.7. Documentation du processus de management du risque Activits d'EBIOS correspondantes Avant-propos Introduction Structure du document Domaine d'application Rfrences rglementaires et normatives Annexe B Rfrences Dfinitions 1. Grer durablement les risques sur le patrimoine informationnel 2. EBIOS : la mthode de gestion des risques Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.1 Dfinir le cadre de la gestion des risques Activit 1.1 Dfinir le cadre de la gestion des risques 3. Description de la dmarche 2.2. Une dmarche itrative en cinq modules Toutes les activits (partie Communication et concertation) Module 1 tude du contexte Module 2 tude des vnements redouts Module 3 tude des scnarios de menaces Module 4 tude des risques Module 4 tude des risques Module 5 tude des mesures de scurit Toutes les activits (partie Surveillance et revue) Toutes les activits (partie Donnes produites)

Page 86 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Annexe B Rfrences
Acronymes
ANSSI EBIOS FEROS ISO Agence Nationale de la Scurit des Systmes d'Information Expression des Besoins et Identification des Objectifs de Scurit Fiche d'Expression Rationnelle des Objectifs de Scurit International Organization for internationale de normalisation) Profil de Protection Standardization (organisation

PP

Page 87 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Dfinitions
Apprciation des risques (risk assessment) Sous-processus de la gestion des risques visant identifier, analyser et valuer les risques. (d'aprs [ISO Guide 73] Apprciation du risque : ensemble du processus d'identification des risques, d'analyse du risque et d'valuation du risque) Besoin de scurit (sensitivity) Dfinition prcise et non ambigu du niveau d'exigences oprationnelles relatives un bien essentiel pour un critre de scurit donn (disponibilit, confidentialit, intgrit). Exemples : Bien (asset) doit tre disponible dans la journe ; ne doit tre connu que du groupe projet ; peut ne pas tre intgre dans la mesure o l'on peut le dtecter et retrouver son intgrit ;

Toute ressource qui a de la valeur pour l'organisme et qui est ncessaire la ralisation de ses objectifs. On distingue notamment les biens essentiels et les biens supports. (d'aprs [ISO 27001] : tout lment reprsentant de la valeur pour lorganisme) Exemples : liste de noms ; requte de certification ; gestion de la facturation ; algorithme de chiffrement ; micro-ordinateur portable ; Ethernet ; systme d'exploitation ;

Bien essentiel (primary asset)

Information ou processus jug comme important pour l'organisme. On apprciera ses besoins de scurit mais pas ses vulnrabilits. Exemples : une liste de noms ; passer une commande client ; grer la facturation ; un algorithme de chiffrement ;

Page 88 sur 95

ANSSI/ACE/BAC Bien support (supporting asset)

EBIOS Mthode de gestion des risques 25 janvier 2010 Bien sur lequel reposent des biens essentiels. On distingue notamment les systmes informatiques, les organisations et les locaux. On apprciera ses vulnrabilits mais pas ses besoins de scurit. Exemples : socit d'infogrance ; locaux de l'organisme ; administrateur systme ; micro-ordinateur portable ; Ethernet ; systme d'exploitation ; portail de tlprocdure ;

Communication concertation (communication and consultation)

et

Processus itratifs et continus mis en oeuvre par un organisme afin de fournir, partager ou obtenir des informations et d'engager un dialogue avec les parties prenantes et autres parties, concernant la gestion des risques. (d'aprs [ISO Guide 73] : processus itratifs et continus mis en oeuvre par un organisme afin de fournir, partager ou obtenir des informations et d'engager un dialogue avec les parties prenantes et autres parties, concernant le management du risque)

Confidentialit (confidentiality)

Proprit des biens essentiels de n'tre accessibles qu'aux personnes autoriss. (d'aprs [IGI 1300] : caractre rserv d'une information ou dun traitement dont laccs est limit aux seules personnes admises la (le) connatre pour les besoins du service, ou aux entits ou processus autoriss)

Critre de scurit (security criteria)

Caractristique d'un bien essentiel permettant d'apprcier ses diffrents besoins de scurit. Exemples : disponibilit, intgrit, confidentialit,

Disponibilit (availability)

Proprit d'accessibilit au moment voulu des biens essentiels par les personnes autorises. (d'aprs [IGI 1300] : proprit d'une information ou dun traitement d'tre, la demande, utilisable par une personne ou un systme)

tablissement contexte (context establishment)

du

Dfinition des paramtres externes et internes prendre en compte lors de la gestion des risques et dfinition du primtre de l'tude ainsi que des critres de gestion des risques. (d'aprs [ISO Guide 73] : dfinition des paramtres externes et internes prendre en compte lors du management du risque et dfinition du domaine d'application ainsi que des critres de risque pour la politique de management du risque)

Page 89 sur 95

ANSSI/ACE/BAC vnement redout (feared event)

EBIOS Mthode de gestion des risques 25 janvier 2010 Scnario gnrique reprsentant une situation crainte par l'organisme. Il s'exprime par la combinaison des sources de menaces susceptibles d'en tre l'origine, d'un bien essentiel, d'un critre de scurit, du besoin de scurit concern et des impacts potentiels. Exemples : une personne mal intentionne (un journaliste, un concurrent) parvient obtenir le budget prvisionnel de l'organisme, jug confidentiel, et publie l'information dans les mdias

Gestion des risques (risk management)

Processus itratif de pilotage, visant maintenir les risques un niveau acceptable pour l'organisme. La gestion des risques inclut typiquement l'apprciation, le traitement, la validation du traitement et la communication relative aux risques. (d'aprs [ISO Guide 73] Processus de management du risque : application systmatique de politiques, procdures et pratiques de management aux activits de communication, de concertation, d'tablissement du contexte, ainsi qu'aux activits d'identification, d'analyse, d'valuation, de traitement, de surveillance et de revue des risques)

Gravit (consequences)

Estimation de la hauteur des effets d'un vnement redout ou d'un risque. Elle reprsente ses consquences. (d'aprs [ISO Guide 73] Consquence : effet d'un vnement affectant les objectifs) Exemples : ngligeable : l'organisme surmontera les impacts sans aucune difficult, limite : l'organisme surmontera les impacts malgr quelques difficults, importante : l'organisme surmontera les impacts avec de srieuses difficults, critique : l'organisme ne surmontera pas les impacts (sa survie est menace),

Homologation de scurit (security accreditation)

Dclaration, par une autorit dite dhomologation, que le primtre de l'tude est apte traiter des biens au niveau des besoins de scurit exprim, conformment aux objectifs de scurit viss, et quelle accepte les risques rsiduels induits. (d'aprs [IGI 1300] : dclaration par lautorit dhomologation, au vu du dossier dhomologation, que le systme dinformation considr est apte traiter des informations dun niveau de classification donn conformment aux objectifs de scurit viss, et que les risques de scurit rsiduels induits sont accepts et matriss. Lhomologation de scurit reste valide tant que le SI opre dans les conditions approuves par lautorit dhomologation)

Page 90 sur 95

ANSSI/ACE/BAC Impact (impact)

EBIOS Mthode de gestion des risques 25 janvier 2010 Consquence directe ou indirecte de l'insatisfaction des besoins de scurit sur l'organisme et/ou sur son environnement. Exemples de types d'impacts : sur les missions, sur la scurit des personnes, financiers, juridiques, sur l'image, sur l'environnement,

Information (information)

Tout renseignement ou tout lment de connaissance susceptible d'tre reprsent sous une forme adapte une communication, un enregistrement ou un traitement. [IGI 1300] Exemples : un message ; une liste de noms ; une requte de certification ; liste de rvocation ;

Intgrit (integrity)

Proprit d'exactitude et de compltude des biens essentiels. (d'aprs [IGI 1300] : proprit assurant quune information ou un traitement n'a pas t modifi ou dtruit de faon non autorise) Moyen type utilis par une source de menace. Exemples : vol de supports ou de documents ; pigeage du logiciel ; atteinte la disponibilit du personnel ; coute passive ; crue ;

Menace (threat)

Mesure de scurit (control) Objectif de scurit (security objective)

Moyen de traiter un risque de scurit de l'information. La nature et le niveau de dtail de la description d'une mesure de scurit peuvent tre trs variables. Expression de la dcision de traiter un risque selon des modalits prescrites. On distingue notamment la rduction, le transfert (partage des pertes), le refus (changements structurels pour viter une situation risque) et la prise de risque. Ensemble dinstallations et de personnes responsabilits, pouvoirs et relations. [ISO 9000] Exemples : entreprise, dpartement ministriel, avec des

Organisme (organisation)

Partie prenante (stakeholder)

Personne ou organisme susceptible d'affecter, d'tre affect ou de se sentir lui-mme affect par une dcision ou une activit. [ISO Guide 73]

Page 91 sur 95

ANSSI/ACE/BAC Prise de risques (risk retention)

EBIOS Mthode de gestion des risques 25 janvier 2010 Choix de traitement consistant accepter les consquences de la ralisation de tout ou partie de risques, sans appliquer de mesure de scurit. (d'aprs [ISO Guide 73] Prise de risque : acceptation de l'avantage potentiel d'un gain ou de la charge potentielle d'une perte dcoulant d'un risque particulier)

Processus de l'organisme (business process) Processus informationnel (information process) Rduction de risques (risk reduction)

Ensemble organis dactivits qui utilisent des ressources pour transformer des entres en sorties. [ISO 9000] Ensemble organis de traitements qui utilisent des biens supports pour transformer des informations d'entres en informations de sorties (d'aprs [ISO 9000]). Choix de traitement consistant appliquer des mesures de scurit destines rduire les risques. Exemples : laborer une politique de scurit de l'information, mettre en uvre un antivirus qui devra rgulirement tre mis jour, sensibiliser les personnels aux risques,

Refus de risques (risk avoidance)

Choix de traitement consistant viter les situations risque. (d'aprs [ISO Guide 73] Refus du risque : dcision argumente de ne pas s'engager dans une activit, ou de s'en retirer, afin de ne pas tre expos un risque particulier) Exemples : changement de lieu d'implantation des locaux, rduction des ambitions d'un projet, arrt d'un service,

Risque rsiduel (residual risk) Risque de scurit de l'information (information security risk)

Risque subsistant aprs le traitement du risque. [ISO Guide 73]

Scnario, avec un niveau donn, combinant un vnement redout et un ou plusieurs scnarios de menaces. Son niveau correspond l'estimation de sa gravit et de sa vraisemblance. (d'aprs [ISO Guide 73] : effet de l'incertitude sur l'atteinte des objectifs. [] NOTE 3 Un risque est souvent caractris en rfrence des vnements et des consquences potentiels ou une combinaison des deux. NOTE 4 Un risque est souvent exprim en termes de combinaison des consquences d'un vnement et de sa vraisemblance)

Page 92 sur 95

ANSSI/ACE/BAC Scnario de menace (vector)

EBIOS Mthode de gestion des risques 25 janvier 2010 Scnario, avec un niveau donn, dcrivant des modes opratoires. Il combine les sources de menaces susceptibles d'en tre l'origine, un bien support, un critre de scurit, des menaces et les vulnrabilits exploitables pour qu'elles se ralisent. Son niveau correspond l'estimation de sa vraisemblance. Exemples : vol de supports ou de documents du fait de la facilit de pntrer dans les locaux, pigeage du logiciel du fait de la navet des utilisateurs, inondation due au fait que les btiments sont inondables

Scurit de l'information (information security) Source de menace (threat source)

Satisfaction des besoins de scurit des biens essentiels.

Chose ou personne l'origine de menaces. Elle peut tre caractrise par son type (humain ou environnemental), par sa cause (accidentelle ou dlibre) et selon le cas par ses ressources disponibles, son expertise, sa motivation (d'aprs [ISO Guide 73] Source de risque : tout lment qui, seul ou combin d'autres, prsente un potentiel intrinsque d'engendrer un risque) Exemples : ancien membre du personnel ayant peu de comptences techniques et de temps mais susceptible d'avoir une forte motivation, pirate avec de fortes comptences techniques, bien quip et une forte motivation lie l'argent qu'il peut gagner, climat trs fortement pluvieux pendant trois mois par an, virus, utilisateurs,

Surveillance et revue (risk monitoring and review)

Sous-processus de la gestion des risques visant surveiller (de manire continue) et revoir (de manire rgulire) les risques de scurit de l'information et leur gestion. (d'aprs [ISO Guide 73] Surveillance : vrification, supervision, observation critique ou dtermination de l'tat afin d'identifier continment des changements par rapport au niveau de performance exig ou attendu ; Revue : activit entreprise afin de dterminer l'adaptation, l'adquation et l'efficacit de l'objet tudi pour atteindre les objectifs tablis)

Systme d'information (information system) Traitement des risques (risk treatment)

Ensemble des moyens humains et matriels ayant pour finalit d'laborer, traiter, stocker, acheminer, prsenter ou dtruire l'information. [IGI 1300] Sous-processus de la gestion des risques permettant de choisir et de mettre en uvre des mesures de scurit visant modifier les risques de scurit de l'information. (d'aprs [ISO Guide 73] Traitement du risque : processus destin modifier un risque)

Page 93 sur 95

ANSSI/ACE/BAC Transfert de risques (risk transfer)

EBIOS Mthode de gestion des risques 25 janvier 2010 Choix de traitement consistant partager les pertes conscutives la ralisation de risques. (d'aprs [ISO Guide 73] Partage du risque : forme de traitement du risque impliquant la rpartition consentie du risque avec d'autres parties) Exemples : recours une assurance, emploi de produits certifis,

Validation du traitement des risques (risk acceptance)

Sous-processus de la gestion des risques visant dcider d'accepter la manire dont les risques ont t traits ainsi que les risques rsiduels l'issue du traitement des risques. (d'aprs [ISO Guide 73] Acceptation du risque : dcision argumente en faveur de la prise d'un risque particulier)

Vraisemblance (likelihood)

Estimation de la possibilit qu'un scnario de menace ou un risque, se produise. Elle reprsente sa force d'occurrence. (d'aprs [ISO Guide 73] : possibilit que quelque chose se produise) Exemples : minime : cela ne devrait pas se (re)produire, forte : cela pourrait se (re)produire, significative : cela devrait se (re)produire un jour ou l'autre, maximale : cela va certainement se (re)produire prochainement,

Vulnrabilit (vulnerability)

Caractristique d'un bien support qui peut constituer une faiblesse ou une faille au regard de la scurit des systmes d'information. (d'aprs [ISO Guide 73] : proprits intrinsques de quelque chose entranant une sensibilit une source de risque pouvant induire une consquence) Exemples : crdulit du personnel, facilit de pntrer sur un site, possibilit de crer ou modifier des commandes systmes,

Page 94 sur 95

ANSSI/ACE/BAC

EBIOS Mthode de gestion des risques 25 janvier 2010

Rfrences bibliographiques
[Guide 150] Fiche dExpression Rationnelle des Objectifs de Scurit des systmes dinformation (FEROS), Secrtariat gnral de la dfense nationale SGDN (1991). Instruction gnrale interministrielle sur la protection du secret de la dfense nationale, Secrtariat gnral de la dfense nationale SGDN (2003). Critres Communs pour lvaluation de la scurit des Technologies de lInformation, International Organization for Standardization ISO (2005). Information technology Security Techniques Information security management systems Requirements, International Organization for Standardization ISO (2005). Information technology Code of practice for information security management, International Organization for Standardization ISO (2005). Information technology Security Techniques Information security risk management, International Organization for Standardization ISO (2008). Management du risque Principes et lignes directrices de mise en oeuvre, International Organization for Standardization ISO (2008). Systmes de management de la qualit Principes essentiels et vocabulaire International Organization for Standardization ISO (2000). Management du risque Vocabulaire International Organization for Standardization ISO (2009). Rfrentiel gnral de scurit SGDN (2009).

[IGI 1300]

[ISO 15408]

[ISO 27001]

[ISO 27002]

[ISO 27005]

[ISO 31000]

[ISO 9000]

[ISO Guide 73]

[RGS]

Page 95 sur 95