EBIOS 1 GuideMethodologique 2010-01-25

PREMIER MINISTRE
Secrtariat gnral de la dfense et de la scurit nationale

Agence nationale de la scurit des systmes dinformation
Sous-direction assistance, conseil et expertise
Bureau assistance et conseil
Expression des Besoins et

Identification des Objectifs de Scurit
EBIOS
MTHODE DE GESTION DES RISQUES
Version du 25 janvier 2010
51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 65 - Fax 01 71 75 84 90
ANSSI/ACE/BAC
EBIOS Mthode de gestion des risques 25 janvier 2010
Historique des modifications

Date
Objet de la modification
Statut
02/1997
Publication du guide d'expression des besoins et d'identification des

objectifs de scurit (EBIOS)
Valid
Publication de la version 2 du guide EBIOS (convergence vers l'ISO

05/02/2004 15408, ajout de l'tape 5 Dtermination des exigences de scurit,
clarifications et complments)
Valid
Amlioration du guide EBIOS :

Prise en compte des nombreux retours d'expriences de
l'ANSSI et du Club EBIOS
Convergence des concepts vers les normes internationales
relatives au systme de management de la scurit de
l'information et la gestion des risques ([ISO 27001],
[ISO 27005], [ISO Guide 73] et [ISO 31000])
Regroupement des sections 1 (Prsentation), 2 (Dmarche)
et 3 (Techniques) en un seul guide mthodologique
Refonte complte de la prsentation de la mthode
Rvision du contenu de la dmarche mthodologique
o Mise en vidence des avantages, des parties prenantes,
des actions de communication et concertation, et des
actions de surveillance et revue dans les descriptions des
activits
o Module 1 : ajout de la dfinition du cadre de la gestion des
risques (vision projet, tude des sources de menaces),
tude du contexte plus souple et davantage lie aux
processus mtiers, regroupement de toutes les mtriques
au sein de la mme activit, mise en vidence de
25/01/2010
l'identification des sources de menaces et des mesures de
scurit existantes
o Module 2 : expression des besoins selon les processus
mtiers, dveloppement de l'analyse des impacts, lien
avec les sources de menaces afin de disposer
d'vnements redouts complets au sein du mme
module, ajout de l'estimation et de l'valuation des
vnements redouts
o Module 3 : tude des scnarios de menaces par bien
support et non plus par vulnrabilit, lien avec les sources
de menaces afin de disposer de scnarios de menaces
complets au sein du mme module, ajout de l'estimation et
de l'valuation des scnarios de menaces
o Module 4 : mise en vidence de l'apprciation des risques,
hirarchisation explicite des risques, changement de forme
des objectifs de scurit (notions de rduction, transfert,
refus, prise de risques)
o Module 5 : ajout explicite des notions de dfense en
profondeur, de risques rsiduels, de dclaration
d'applicabilit, de plan d'action et de la validation
Valid
Page 2 sur 95
ANSSI/ACE/BAC
Table des matires

AVANT-PROPOS .................................................................................................................................... 7
INTRODUCTION ..................................................................................................................................... 8
QU'EST-CE QU'EBIOS ?........................................................................................................................ 8
OBJECTIFS DU DOCUMENT ..................................................................................................................... 8
DOMAINE D'APPLICATION ....................................................................................................................... 8
RFRENCES RGLEMENTAIRES ET NORMATIVES.................................................................................... 8
STRUCTURE DU DOCUMENT.................................................................................................................... 8
1
GRER DURABLEMENT LES RISQUES SUR LE PATRIMOINE INFORMATIONNEL ............. 9

1.1
L'ENJEU : ATTEINDRE SES OBJECTIFS SUR LA BASE DE DCISIONS RATIONNELLES ...................... 9
1.2
DES PRATIQUES DIFFRENTES MAIS DES PRINCIPES COMMUNS ................................................... 9
1.3
LA SPCIFICIT DE LA SCURIT DE L'INFORMATION : LE PATRIMOINE INFORMATIONNEL .............. 9
1.4
LA DIFFICULT : APPRHENDER LA COMPLEXIT ...................................................................... 10
1.5
LE BESOIN D'UNE MTHODE .................................................................................................... 10
EBIOS : LA MTHODE DE GESTION DES RISQUES............................................................... 11

2.1
COMMENT EBIOS PERMET-ELLE DE GRER LES RISQUES ? ..................................................... 11
L'tablissement du contexte ......................................................................................................... 11

L'apprciation des risques ............................................................................................................ 11
Le traitement des risques ............................................................................................................. 11
La validation du traitement des risques ........................................................................................ 12
La communication et la concertation relatives aux risques .......................................................... 12
La surveillance et la revue des risques ........................................................................................ 12
2.2
UNE DMARCHE ITRATIVE EN CINQ MODULES ......................................................................... 13
Module 1 tude du contexte ...................................................................................................... 13

Module 2 tude des vnements redouts ............................................................................... 13
Module 3 tude des scnarios de menaces .............................................................................. 13
Module 4 tude des risques ...................................................................................................... 13
Module 5 tude des mesures de scurit ................................................................................. 13
2.3
DIFFRENTS USAGES D'EBIOS ............................................................................................... 14
EBIOS est une bote outils usage variable ............................................................................. 14

Variation de la focale selon le sujet tudi ................................................................................... 14
Variation des outils et du style selon les livrables attendus ......................................................... 14
Variation de la profondeur selon le cycle de vie du sujet de l'tude ............................................. 15
Variation du cadre de rfrence selon le secteur ......................................................................... 15
Une rflexion pralable sur la stratgie de mise en uvre est ncessaire ................................. 15
2.4
FIABILISER ET OPTIMISER LA PRISE DE DCISION ...................................................................... 16
Un outil de ngociation et d'arbitrage ........................................................................................... 16

Un outil de sensibilisation ............................................................................................................. 16
Un outil compatible avec les normes internationales ................................................................... 16
Une souplesse d'utilisation et de multiples livrables ..................................................................... 16
Page 3 sur 95
ANSSI/ACE/BAC
Une mthode rapide ..................................................................................................................... 16

Un outil rutilisable ....................................................................................................................... 16
Une approche exhaustive ............................................................................................................. 16
Un rfrentiel complet ................................................................................................................... 16
Une exprience prouve ............................................................................................................. 16
De nombreux utilisateurs .............................................................................................................. 16
2.5
RIGUEUR DE LA MTHODE EBIOS ........................................................................................... 17
Une mthode valide : la dmarche peut tre reproduite et vrifie.............................................. 17

Une mthode fidle : la dmarche retranscrit la ralit ................................................................ 17
3
DESCRIPTION DE LA DMARCHE ........................................................................................... 18

MODULE 1 TUDE DU CONTEXTE ....................................................................................................... 19
Activit 1.1 Dfinir le cadre de la gestion des risques ............................................................... 20
Action 1.1.1. Cadrer l'tude des risques .................................................................................. 21
Action 1.1.2. Dcrire le contexte gnral ................................................................................. 23
Action 1.1.3. Dlimiter le primtre de l'tude .......................................................................... 26
Action 1.1.4. Identifier les paramtres prendre en compte ................................................... 29
Action 1.1.5. Identifier les sources de menaces ....................................................................... 32
Activit 1.2 Prparer les mtriques ............................................................................................ 34
Action 1.2.1. Dfinir les critres de scurit et laborer les chelles de besoins .................... 35
Action 1.2.2. laborer une chelle de niveaux de gravit ........................................................ 37
Action 1.2.3. laborer une chelle de niveaux de vraisemblance ........................................... 38
Action 1.2.4. Dfinir les critres de gestion des risques .......................................................... 39
Activit 1.3 Identifier les biens ................................................................................................... 40
Action 1.3.1. Identifier les biens essentiels, leurs relations et leurs dpositaires .................... 41
Action 1.3.2. Identifier les biens supports, leurs relations et leurs propritaires ...................... 43
Action 1.3.3. Dterminer le lien entre les biens essentiels et les biens supports .................... 45
Action 1.3.4. Identifier les mesures de scurit existantes ...................................................... 46
MODULE 2 TUDE DES VNEMENTS REDOUTS ................................................................................ 47
Activit 2.1 Apprcier les vnements redouts ....................................................................... 48
Action 2.1.1. Analyser tous les vnements redouts ............................................................. 49
Action 2.1.2. valuer chaque vnement redout ................................................................... 52
MODULE 3 TUDE DES SCNARIOS DE MENACES ................................................................................ 53
Activit 3.1 Apprcier les scnarios de menaces ...................................................................... 54
Action 3.1.1. Analyser tous les scnarios de menaces ............................................................ 55
Action 3.1.2. valuer chaque scnario de menace .................................................................. 58
MODULE 4 TUDE DES RISQUES ........................................................................................................ 60
Activit 4.1 Apprcier les risques .............................................................................................. 61
Action 4.1.1. Analyser les risques ............................................................................................ 62
Action 4.1.2. valuer les risques .............................................................................................. 64
Activit 4.2 Identifier les objectifs de scurit ............................................................................ 65
Action 4.2.1. Choisir les options de traitement des risques ..................................................... 66
Action 4.2.2. Analyser les risques rsiduels ............................................................................. 68
MODULE 5 TUDE DES MESURES DE SCURIT .................................................................................. 69
Activit 5.1 Formaliser les mesures de scurit mettre en uvre ......................................... 70
Action 5.1.1. Dterminer les mesures de scurit ................................................................... 72
Action 5.1.3. tablir une dclaration d'applicabilit .................................................................. 76
Activit 5.2 Mettre en uvre les mesures de scurit .............................................................. 77
Action 5.2.1. laborer le plan d'action et suivre la ralisation des mesures de scurit ......... 78
Action 5.2.3. Prononcer l'homologation de scurit ................................................................. 81
Page 4 sur 95
ANSSI/ACE/BAC
ANNEXE A DMONSTRATION DE LA COUVERTURE DES NORMES ........................................ 82

EBIOS SATISFAIT LES EXIGENCES DE L'[ISO 27001] ........................................................................... 82
EBIOS DCLINE PARFAITEMENT L'[ISO 27005] ................................................................................... 85
EBIOS EST DCLINE PARFAITEMENT L'[ISO 31000] ............................................................................. 86
ANNEXE B RFRENCES ............................................................................................................... 87
ACRONYMES ....................................................................................................................................... 87
DFINITIONS........................................................................................................................................ 88
Apprciation des risques .............................................................................................................. 88
Besoin de scurit ........................................................................................................................ 88
Bien ............................................................................................................................................... 88
Bien essentiel................................................................................................................................ 88
Bien support .................................................................................................................................. 89
Communication et concertation .................................................................................................... 89
Confidentialit ............................................................................................................................... 89
Critre de scurit ........................................................................................................................ 89
Disponibilit................................................................................................................................... 89
tablissement du contexte ............................................................................................................ 89
vnement redout ...................................................................................................................... 90
Gestion des risques ...................................................................................................................... 90
Gravit .......................................................................................................................................... 90
Homologation de scurit ............................................................................................................. 90
Impact ........................................................................................................................................... 91
Information .................................................................................................................................... 91
Intgrit ......................................................................................................................................... 91
Menace ......................................................................................................................................... 91
Mesure de scurit ....................................................................................................................... 91
Objectif de scurit ....................................................................................................................... 91
Organisme .................................................................................................................................... 91
Partie prenante ............................................................................................................................. 91
Prise de risques ............................................................................................................................ 92
Processus de l'organisme ............................................................................................................. 92
Processus informationnel ............................................................................................................. 92
Rduction de risques .................................................................................................................... 92
Refus de risques ........................................................................................................................... 92
Risque rsiduel ............................................................................................................................. 92
Risque de scurit de l'information ............................................................................................... 92
Scnario de menace ..................................................................................................................... 93
Scurit de l'information ............................................................................................................... 93
Source de menace ........................................................................................................................ 93
Surveillance et revue .................................................................................................................... 93
Systme d'information .................................................................................................................. 93
Page 5 sur 95
ANSSI/ACE/BAC
Traitement des risques ................................................................................................................. 93

Transfert de risques ...................................................................................................................... 94
Validation du traitement des risques............................................................................................. 94
Vraisemblance .............................................................................................................................. 94
Vulnrabilit .................................................................................................................................. 94
RFRENCES BIBLIOGRAPHIQUES ........................................................................................................ 95
Note : les libells entre crochets [] correspondent des rfrences bibliographiques en annexe.
Page 6 sur 95
ANSSI/ACE/BAC
Avant-propos
L'Agence nationale de la scurit des systmes d'information (ANSSI) labore et tient jour un
important rfrentiel mthodologique destin aider les organismes du secteur public et du secteur
priv grer la scurit de leurs systmes d'informations. Ce rfrentiel est compos de mthodes,
de meilleures pratiques et de logiciels, diffuss gratuitement sur son site Internet
(http://www.ssi.gouv.fr).
Le Club EBIOS est une association indpendante but non lucratif (Loi 1901), compose d'experts
individuels et d'organismes. Il regroupe une communaut de membres du secteur public et du secteur
priv, franais et europens. Il supporte et enrichit le rfrentiel de gestion des risques franais depuis
2003, en collaboration avec l'ANSSI. Le Club organise des runions priodiques pour favoriser les
changes d'expriences, l'homognisation des pratiques et la satisfaction des besoins des usagers.
Il constitue galement un espace pour dfinir des positions et exercer un rle d'influence dans les
dbats nationaux et internationaux.
Ce document a t ralis par le bureau assistance et conseil de l'ANSSI, avec la collaboration du
Club EBIOS. La communaut des utilisateurs d'EBIOS enrichit rgulirement le rfrentiel
complmentaire ce document (techniques de mise en uvre, bases de connaissances, guides
d'utilisations spcifiques de la mthode, documents relatifs la communication, la formation, la
certification, logiciels).
Page 7 sur 95
ANSSI/ACE/BAC
Introduction
Qu'est-ce qu'EBIOS ?
1
La mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) permet
d'apprcier et de traiter les risques. Elle fournit galement tous les lments ncessaires la
communication au sein de l'organisme et vis--vis de ses partenaires, ainsi qu' la validation du
traitement des risques. Elle constitue de ce fait un outil complet de gestion des risques.
Objectifs du document
Les principaux objectifs du prsent document sont :
de fournir une base commune de concepts et d'activits pragmatiques toute personne
implique dans la gestion des risques, notamment dans la scurit de l'information ;
de satisfaire les exigences de gestion des risques d'un systme de management de la
scurit de l'information ([ISO 27001]) ;
de dfinir une dmarche mthodologique complte en cohrence et en conformit avec les
normes internationales de gestion des risques ([ISO 31000], [ISO 27005]) ;
d'tablir une rfrence pour la certification de comptences relatives la gestion des risques.
Domaine d'application
La dmarche de gestion des risques prsente dans ce guide peut s'appliquer au secteur public et au
secteur priv, des petites structures (petites et moyennes entreprises, collectivits territoriales) et
des grandes structures (ministre, organisation internationale, entreprise multinationale), des
systmes en cours d'laboration et des systmes existants.
Historiquement employe dans le domaine de la scurit de l'information, elle a t exploite dans
d'autres domaines.
EBIOS fait aujourd'hui figure de rfrence en France, dans les pays francophones et l'international.
Rfrences rglementaires et normatives

Le prsent document dcline les normes internationales [ISO 27005] et [ISO 31000], tout en
satisfaisant les exigences de gestion des risques de l'[ISO 27001]. Aucune de ces normes n'est
indispensable l'utilisation de ce document.
Par ailleurs, il permet de mettre en uvre les pratiques prconises dans la rglementation ([RGS],
[IGI 1300]).
Structure du document
Aprs avoir prsent la problmatique de la gestion des risques, notamment dans le domaine de la
scurit de l'information (chapitre 1), ce document explique ce qu'est EBIOS et son fonctionnement
gnral (chapitre 2), puis dcrit chaque activit de la dmarche (chapitre 3).
Une dmonstration de la couverture des normes internationales (annexe A) et les rfrences utiles
(annexe B) compltent le document.
EBIOS est une marque dpose par le Secrtariat gnral de la dfense et de la scurit nationale.
Page 8 sur 95
ANSSI/ACE/BAC
1 Grer durablement les risques sur le patrimoine

informationnel
1.1 L'enjeu : atteindre ses objectifs sur la base de dcisions
rationnelles
Ne dans le domaine financier dans les annes 50 et tendue de nombreux autres domaines tels
que la gestion de projet, la scurit des personnes, la sret de fonctionnement, le marketing,
l'environnement ou encore la scurit de l'information, la gestion des risques a toujours eu pour
objectif de rationaliser des situations pour aider une prise de dcision claire.
Les choix effectus par les dcideurs peuvent ainsi tre faits au regard des lments fournis par les
risk managers. Et ces choix peuvent autant guider l'organisme vers l'atteinte de ses objectifs que faire
voluer sa stratgie.
1.2 Des pratiques diffrentes mais des principes communs

l'heure actuelle, les principes communs de la gestion des risques se retrouvent dans les normes
internationales (notamment [ISO Guide 73]) :
le risque est dcrit par un vnement, ses consquences et sa vraisemblance ;
le processus de gestion des risques comprend une tude du contexte, l'apprciation des
risques, le traitement des risques, la validation du traitement des risques, la communication
relative aux risques, le contrle, dans une amlioration continue.
La similitude des concepts et des mthodes danalyse montre quil existe un modle de gestion des
risques suffisamment gnrique pour tre partag et enrichi par les retours dexpriences
interdisciplinaires :
quils soient dcrits daprs leur cause et leurs impacts directs et indirects pour la scurit des
personnes ;
par les circonstances l'origine du risque et leurs consquences pour les risques juridiques ;
en termes de scnarios dcrivant l'origine des menaces, de vulnrabilits exploitables, de
sinistres et d'impacts comme cest le cas en scurit de l'information ;
sans oublier le vocable spcifique la protection des infrastructures vitales ou aux pratiques
de l'intelligence conomique.
Selon l'[ISO 31000], qui dcrit la gestion des risques quel que soit le domaine d'application, elle
devrait :
crer de la valeur ;
tre intgre aux processus organisationnels ;
tre intgre au processus de prise de dcision ;
traiter explicitement de l'incertitude ;
tre systmatique, structure et utilise en temps utile ;
s'appuyer sur la meilleure information disponible ;
tre taille sur mesure ;
intgrer les facteurs humains et culturels ;
tre transparente et participative ;
tre dynamique, itrative et ractive au changement ;
faciliter l'amlioration et l'volution continues de l'organisme.
1.3 La spcificit de la scurit de l'information : le patrimoine

informationnel
La scurit de l'information a pour but de protger le patrimoine informationnel de l'organisme. Celui-ci
permet son bon fonctionnement et l'atteinte de ses objectifs.
La valeur de ce patrimoine, dit informationnel, peut en effet tre apprcie au regard des opportunits
qu'il offre quand on l'utilise correctement et des consquences ngatives dans le cas contraire.
Page 9 sur 95
ANSSI/ACE/BAC
1.4 La difficult : apprhender la complexit

2
Le patrimoine informationnel nat, vit et disparat dans le cadre des diffrents systmes d'information
qui l'entourent. Ceux-ci ont un but, des moyens, et sont organiss pour crer, exploiter, transformer et
communiquer le savoir (informations) et le savoir-faire (fonctions, processus). Ils sont par nature
complexes, changeants et interfacs avec d'autres, chacun ayant ses propres contraintes.
De plus, ces systmes dinformation peuvent tre confronts des problmes varis, sont en
volution constante, sont parfois lis les uns aux autres, et sont difficiles mettre objectivement en
vidence.
Il est donc ncessaire d'employer des moyens rationnels pour apprhender la protection du
patrimoine informationnel de manire la fois globale et dynamique.
1.5 Le besoin d'une mthode

L'adoption de dmarches et doutils de prise de dcision rationnelle et de gestion de la complexit
apparat aujourd'hui comme une condition ncessaire la scurit de l'information. Il convient pour
cela d'utiliser des approches de gestion des risques structures, prouves, tout en prenant garde aux
illusions de scientificit et la manipulation de chiffres, offertes par de nombreuses mthodes.
D'une manire gnrale, une approche mthodologique permet de :
disposer d'lments de langage communs ;
disposer d'une dmarche claire et structure respecter ;
se baser sur un rfrentiel valid par l'exprience ;
s'assurer d'une exhaustivit des actions entreprendre ;
rutiliser la mme approche en amlioration continue et sur d'autres primtres
En matire de gestion des risques de scurit de l'information, une approche mthodologique permet
galement de :
tablir le contexte en prenant en compte ses spcificits (contexte interne et externe, enjeux,
contraintes, mtriques) ;
apprcier les risques (les identifier au travers des vnements redouts et des scnarios de
menaces, les estimer et les valuer) ;
traiter les risques (choisir les options de traitement l'aide d'objectifs de scurit, dterminer
des mesures de scurit appropries et les mettre en uvre) ;
valider le traitement des risques (valider formellement le plan de traitement des risques et les
risques rsiduels) ;
communiquer sur les risques (obtenir les informations ncessaires, prsenter les rsultats,
obtenir des dcisions et faire appliquer les mesures de scurit) ;
suivre les risques (veiller ce que les retours d'expriences et les volutions du contexte
soient prises en compte dans le cadre de gestion des risques, les risques apprcis et les
mesures de scurit).
On parle videmment ici de la notion de systme d'information correspondant l'ensemble de biens

supports (organisations, lieux, personnels, logiciels, matriels et rseaux) organis pour traiter des
biens essentiels (informations, processus, fonctions). Cette notion est encore parfois confondue
avec celle de systme informatique, principalement du fait que la scurit des systmes d'information
(SSI) a ses origines dans le domaine informatique. Afin d'viter les confusions encore trop frquentes,
le libell "scurit de l'information" a donc t prfr celui de "SSI" dans ce guide.
Page 10 sur 95
ANSSI/ACE/BAC
2 EBIOS : la mthode de gestion des risques

2.1 Comment EBIOS permet-elle de grer les risques ?
L'tablissement du contexte
Un contexte bien dfini permet de grer les risques de manire parfaitement approprie, et ainsi de
rduire les cots ce qui est ncessaire et suffisant au regard de la ralit du sujet tudi.
Pour ce faire, il est essentiel d'apprhender les lments prendre en compte dans la rflexion :
le cadre mis en place pour grer les risques ;
les critres prendre en considration (comment estimer, valuer et valider le traitement des
risques) ;
la description du primtre de l'tude et de son environnement (contexte externe et interne,
contraintes, recensement des biens et de leurs interactions).
La mthode EBIOS permet d'aborder tous ces points selon le degr de connaissance que l'on a du
sujet tudi. Il sera ensuite possible de l'enrichir, de l'affiner et de l'amliorer mesure que la
connaissance du sujet s'amliore.
L'apprciation des risques

Il y a risque de scurit de l'information ds lors qu'on a conjointement :
une source de menace ;
une menace ;
une vulnrabilit ;
un impact.
On peut ainsi comprendre qu'il n'y a plus de risque si l'un de ces facteurs manque. Or, il est
extrmement difficile, voire dangereux, d'affirmer avec certitude qu'un des facteurs est absent. Par
ailleurs, chacun des facteurs peut contribuer de nombreux risques diffrents, qui peuvent euxmmes s'enchaner et se combiner en scnarios plus complexes, mais tout autant ralistes.
On va donc tudier chacun de ces facteurs, de la manire la plus large possible. On pourra alors
mettre en vidence les facteurs importants, comprendre comment ils peuvent se combiner, estimer et
valuer (hirarchiser) les risques. Le principal enjeu reste, par consquent, de russir obtenir les
informations ncessaires qui puissent tre considres comme fiables. C'est la raison pour laquelle il
est extrmement important de veiller ce que ces informations soient obtenues de manire limiter
les biais et ce que la dmarche soit reproductible.
Pour ce faire, la mthode EBIOS se focalise tout d'abord sur les vnements redouts (sources de
menaces, besoins de scurit et impacts engendrs en cas de non respect de ces besoins), puis sur
les diffrents scnarios de menaces qui peuvent les provoquer (sources de menaces, menaces et
vulnrabilits). Les risques peuvent alors tre identifis en combinant les vnements redouts et les
scnarios de menaces, puis estims et valus afin d'obtenir une liste hirarchise selon leur
importance.
Le traitement des risques

Les risques apprcis permettent de prendre des dcisions objectives en vue de les maintenir un
niveau acceptable, compte-tenu des spcificits du contexte.
Pour ce faire, EBIOS permet de choisir le traitement des risques apprcis au travers des objectifs de
scurit : il est ainsi possible, pour tout ou partie de chaque risque, de le rduire, de le transfrer
(partage des pertes), de l'viter (se mettre en situation o le risque n'existe pas) ou de le prendre
(sans rien faire). Des mesures de scurit peuvent alors tre proposes et ngocies afin de satisfaire
ces objectifs.
Page 11 sur 95
ANSSI/ACE/BAC
La validation du traitement des risques

La manire dont les risques ont t grs et les risques rsiduels subsistants l'issue du traitement
doivent tre valids, si possible formellement, par une autorit responsable du primtre de l'tude.
Cette validation, gnralement appel homologation de scurit, se fait sur la base d'un dossier dont
les lments sont issus de l'tude ralise.
La communication et la concertation relatives aux risques

Obtenir des informations pertinentes, prsenter des rsultats, faire prendre des dcisions, valider les
choix effectus, sensibiliser aux risques et aux mesures de scurit appliquer, correspondent des
activits de communication qui sont ralises auparavant, pendant et aprs l'tude des risques.
Ce processus de communication et concertation relatives aux risques est un facteur crucial de la
russite de la gestion des risques. Si celle-ci est bien mene, et ce, de manire adapte la culture
de l'organisme, elle contribue l'implication, la responsabilisation et la sensibilisation des acteurs.
Elle cre en outre une synergie autour de la scurit de l'information, ce qui favorise grandement le
dveloppement d'une vritable culture de scurit et du risque au sein de l'organisme.
L'implication des acteurs dans le processus de gestion des risques est ncessaire pour dfinir le
contexte de manire approprie, s'assurer de la bonne comprhension et prise en compte des intrts
des acteurs, rassembler diffrents domaines dexpertise pour identifier et analyser les risques,
s'assurer de la bonne prise en compte des diffrents points de vue dans l'valuation des risques,
faciliter l'identification approprie des risques, l'application et la prise en charge scurise d'un plan de
traitement.
EBIOS propose ainsi des actions de communication raliser dans chaque activit de la dmarche.
La surveillance et la revue des risques

Le cadre mis en place pour grer les risques, ainsi que les rsultats obtenus, doivent tre pertinents et
tenus jour afin de prendre en compte les volutions du contexte et les amliorations prcdemment
identifies.
Pour ce faire, la mthode EBIOS prvoit les principaux lments surveiller lors de la ralisation de
chaque activit et lors de toute volution du contexte afin de garantir de bons rsultats et de les
amliorer en continu.
Page 12 sur 95
ANSSI/ACE/BAC
2.2 Une dmarche itrative en cinq modules

La mthode formalise une dmarche de gestion des risques dcoupe en cinq modules reprsents
sur la figure suivante :
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
La dmarche est dite itrative. En effet, il sera fait plusieurs fois appel chaque module afin d'en
amliorer progressivement le contenu, et la dmarche globale sera galement affine et tenue jour
de manire continue.
Module 1 tude du contexte

l'issue du premier module, qui s'inscrit dans l'tablissement du contexte, le cadre de la gestion des
risques, les mtriques et le primtre de l'tude sont parfaitement connus ; les biens essentiels, les
biens supports sur lesquels ils reposent et les paramtres prendre en compte dans le traitement des
risques sont identifis.
Module 2 tude des vnements redouts

Le second module contribue l'apprciation des risques. Il permet d'identifier et d'estimer les besoins
de scurit des biens essentiels (en termes de disponibilit, d'intgrit, de confidentialit), ainsi que
tous les impacts (sur les missions, sur la scurit des personnes, financiers, juridiques, sur l'image,
sur l'environnement, sur les tiers et autres) en cas de non respect de ces besoins et les sources de
menaces (humaines, environnementales, internes, externes, accidentelles, dlibres) susceptibles
d'en tre l'origine, ce qui permet de formuler les vnements redouts.
Module 3 tude des scnarios de menaces

Le troisime module s'inscrit aussi dans le cadre de l'apprciation des risques. Il consiste identifier
et estimer les scnarios qui peuvent engendrer les vnements redouts, et ainsi composer des
risques. Pour ce faire, sont tudies les menaces que les sources de menaces peuvent gnrer et les
vulnrabilits exploitables.
Module 4 tude des risques

Le quatrime module met en vidence les risques pesant sur l'organisme en confrontant les
vnements redouts aux scnarios de menaces. Il dcrit galement comment estimer et valuer ces
risques, et enfin comment identifier les objectifs de scurit qu'il faudra atteindre pour les traiter.
Module 5 tude des mesures de scurit

Le cinquime et dernier module s'inscrit dans le cadre du traitement des risques. Il explique comment
spcifier les mesures de scurit mettre en uvre, comment planifier la mise en uvre de ces
mesures et comment valider le traitement des risques et les risques rsiduels.
Page 13 sur 95
ANSSI/ACE/BAC
2.3 Diffrents usages d'EBIOS

EBIOS est une bote outils usage variable
Comme toute vritable mthode de gestion des risques, EBIOS permet d'analyser des risques, de les
valuer et de les traiter dans le cadre d'une amlioration continue. La spcificit d'EBIOS rside dans
sa souplesse d'utilisation. Il s'agit d'une vritable bote outils, dont les activits raliser, leur niveau
de dtail et leur squencement seront adapts l'usage dsir. En effet, la mthode ne sera pas
utilise de la mme manire selon le sujet tudi, les livrables attendus, le degr de connaissance du
primtre de l'tude, le secteur auquel on l'applique
Variation de la focale selon le sujet tudi

EBIOS peut tre utilise pour grer les risques portant sur un secteur d'activits, un organisme dans
son intgralit, une sous-partie ou des processus particuliers de celui-ci, un systme d'information, un
systme informatique, une interconnexion de systmes, une application, un produit de scurit, ou
mme un composant de produit.
La mthode peut galement tre employe pour tudier dans un premier temps un sujet global (par
exemple un organisme ou un systme complexe compos de plusieurs sous-systmes), pour ensuite
se focaliser sur un sous-ensemble (par exemple quelques processus de l'organisme jugs critiques ou
des sous-systmes).
Il est bien vident qu'une telle diversit de sujets ne sera pas aborde de manire uniforme si l'on
souhaite des rsultats pertinents. C'est ici le niveau de dtail qui variera : plus le sujet est large, moins
le niveau de dtail est important, et inversement.
Ainsi, une tude de haut niveau d'abstraction portera sur des biens essentiels (par exemple les
grandes activits d'un organisme) et des biens supports (par exemple les logiciels dans leur
ensemble) macroscopiques, et une tude focalise portera sur des biens essentiels (par exemple un
champ d'une base de donnes) et des biens supports (par exemple une version spcifique de
systme de gestion de bases de donnes) dtaills.
Il conviendra de veiller la cohrence d'une tude d'ensemble avec les tudes de ses sousensembles et entre les tudes des diffrents sous-ensembles.
Variation des outils et du style selon les livrables attendus

La gestion des risques permettant de rationaliser de nombreuses activits, la mthode EBIOS permet
d'laborer ou de contribuer l'laboration de nombreux documents livrables :
des documents fondateurs (schmas directeurs, politiques de scurit de l'information, notes
de cadrage, stratgies de scurit, plans de continuit d'activits) ;
des spcifications (fiches d'expression rationnelle des objectifs de scurit FEROS au sens
du [Guide 150], profils de protection PP au sens de l'[ISO 15408], cibles de scurit au sens
de l'[ISO 15408] ou au sens gnral, cahiers des charges, plans de traitement au sens de
l'[ISO 27001]) ;
d'autres livrables de scurit de l'information (cartographie des risques, rfrentiels d'audit,
tableaux de bord).
La manire d'utiliser la mthode EBIOS doit tre adapte au(x) livrable(s) que l'on souhaite produire
afin de ne raliser que les activits ncessaires et suffisantes et d'en exploiter directement les
rsultats. Il convient ds lors de bien dfinir le(s) livrable(s) attendu(s), les destinataires et l'objectif de
cette communication (prise de dcision, sensibilisation) pour choisir les activits de la dmarche
raliser et prsenter les rsultats directement dans la forme la plus approprie.
Ainsi, la rdaction d'une FEROS dans le but d'homologuer un systme d'information ne requiert pas
de raliser les dernires activits de la dmarche EBIOS et doit tre suffisamment synthtique et
claire pour tre lue dans le cadre d'une commission d'homologation ; l'tude pourra tre dtaille,
mais le style rdactionnel sera adapt en ce sens. Une politique de scurit de l'information d'un
organisme peut ne pas demander tudier les scnarios de menaces, mais uniquement les
vnements redouts ; le style de rdaction sera adapt aux personnes qui devront appliquer cette
politique. L'laboration d'une dclaration d'applicabilit et d'un plan de traitement (au sens de
l'[ISO 27001]) requiert l'emploi de l'[ISO 27002] dans les dernires activits de la dmarche
Page 14 sur 95
ANSSI/ACE/BAC
Variation de la profondeur selon le cycle de vie du sujet de l'tude

Il est conseill de grer les risques depuis les premires rflexions relatives un nouveau service ou
un nouveau systme. En effet, cela permet le cas chant d'orienter la conception et la ralisation, et
de faire des choix en amont avant d'avoir trop investi pour faire machine arrire.
Le peu de connaissances que l'on a d'un sujet dans les premires phases de son cycle de vie ne
permet qu'une tude peu approfondie. La rflexion se fera au fur et mesure de l'avancement des
travaux sur le sujet, par raffinements successifs, en fonction de ce qu'on est capable de connatre et
de modliser. Dans un premier temps, on s'intressera aux grands enjeux, dans un second temps on
pourra affiner la description du sujet et laborer des scnarios d'vnements redouts, puis on pourra
tudier les scnarios de menaces pour obtenir de vritables risques et des mesures de scurit
C'est donc en ralisant des itrations successives et des activits supplmentaires que la gestion des
risques accompagnera le cycle de vie du sujet.
Ainsi, lors des tudes d'opportunit et de faisabilit d'un systme d'information, il sera possible
d'tudier son contexte, d'identifier les enjeux du systme, de faire merger les fonctionnalits ou les
processus essentiels, d'exprimer leurs besoins de scurit, d'estimer les impacts et d'identifier des
sources de menaces. Une seconde itration de la dmarche aura lieu lors de la conception gnrale
et de la conception dtaille : les grandes fonctionnalits seront dcomposes en fonctions plus
dtailles et en informations manipules, les biens supports seront identifis, les besoins et les
impacts seront affins, les sources de menaces dveloppes et consolides, les menaces et les
vulnrabilits tudies, les risques apprcis, les objectifs identifis, les mesures de scurit
dtermines et les risques rsiduels mis en vidence. Lors de la phase de ralisation, une autre
itration permettra de rectifier et de complter l'ensemble de l'tude, notamment au niveau des
mesures de scurit et des risques rsiduels. Enfin, en phase d'exploitation et jusqu' la fin de vie du
systme, les volutions du contexte (biens supports, sources de menaces, vulnrabilits)
permettront d'ajuster l'tude et de grer les risques en continu.
Variation du cadre de rfrence selon le secteur

La mthode EBIOS est suffisamment gnrique pour tre applique diffrents secteurs. Elle a
majoritairement t utilise dans le secteur de la scurit de l'information, mais galement dans le
secteur des infrastructures vitales, de l'ergonomie des outils de travail La convergence de la
mthode, en termes de vocabulaire et de dmarche, vers les plus rcents travaux de normalisation
internationale ([ISO Guide 73], [ISO 31000]) la rend applicable encore plus largement.
L'usage d'EBIOS dans un autre secteur que celui de la scurit de l'information est en effet
relativement ais. Il suffit ventuellement de transposer la terminologie et d'exploiter des bases de
connaissances du secteur concern si celles-ci ne semblent pas applicables ou comprises. En effet,
chaque secteur (protection de l'environnement, protection des personnes, gestion des risques
juridiques) dispose d'un cadre de rfrence, d'une culture et de connaissances qui lui sont propres.
Les principes et les activits de gestion des risques restent globalement les mmes.
Ainsi, l'emploi d'EBIOS dans le cadre de la protection des infrastructures vitales contre le terrorisme a
impliqu de transposer le vocabulaire de la mthode la terminologie employe dans ce secteur et de
crer des bases de connaissances de critres de scurit, de sources de menaces, de biens
supports, de menaces et de vulnrabilits spcifiques, et d'intgrer les plans de prvention et de
raction gouvernementaux en guise de bases de mesures de scurit.
Une rflexion pralable sur la stratgie de mise en uvre est ncessaire

La mthode EBIOS est donc une vritable bote outils, qu'il convient d'utiliser de manire approprie
au sujet tudi, aux livrables attendus, la phase du cycle de vie et au secteur dans lequel les risques
doivent tre grs. On dfinit ainsi la stratgie de gestion des risques de scurit de l'information.
Il est par consquent important de bien cerner ces paramtres avant d'initier la dmarche pour :
prvoir l'ventuelle dcomposition du primtre en sous-primtres ;
prvoir les ventuelles itrations de la mthode ;
choisir le niveau de dtail appropri ;
choisir les activits pertinentes, la manire de les raliser et les rsultats produire ;
prvoir les ventuels ajustements de terminologie et des bases de connaissances
Page 15 sur 95
ANSSI/ACE/BAC
2.4 Fiabiliser et optimiser la prise de dcision

Un outil de ngociation et d'arbitrage
En fournissant les justifications ncessaires la prise de dcision (descriptions prcises, enjeux
stratgiques, risques dtaills avec leur impact sur l'organisme, objectifs et exigences de scurit
explicites), EBIOS est un vritable outil de ngociation et d'arbitrage.
Un outil de sensibilisation
EBIOS permet de sensibiliser toutes les parties prenantes d'un projet (direction gnrale, financire,
juridique ou des ressources humaines, matrise d'ouvrage, matrise d'uvre, utilisateurs), d'impliquer
les acteurs du systme d'information et d'uniformiser le vocabulaire.
Un outil compatible avec les normes internationales

La mthode EBIOS contribue la reconnaissance internationale des travaux de scurit en assurant
la compatibilit avec les normes internationales. Elle permet en effet de mettre en uvre l'[ISO 31000]
et l'[ISO 27005]. Elle constitue en outre le cur du systme de management de la scurit d
l'information de l'[ISO 27001]. Elle peut exploiter les mesures de scurit de l'[ISO 27002]
Une souplesse d'utilisation et de multiples livrables

La dmarche peut tre adapte au contexte de chacun et ajuste sa culture et ses outils. Sa
flexibilit en fait une vritable bote outils pour de nombreuses finalits, dans le cadre de projets ou
d'activits existantes, dans d'autres domaines que celui de la scurit de l'information
Une mthode rapide

La dure de ralisation d'une tude EBIOS est optimise car elle permet d'obtenir les lments
ncessaires et suffisants selon le rsultat attendu.
Un outil rutilisable
EBIOS favorise la prennit des analyses de risques et la cohrence globale de la scurit. En effet,
l'tude spcifique d'un systme peut tre base sur l'tude globale de l'organisme ; une tude peut
tre rgulirement mise jour afin de grer les risques de manire continue ; l'tude d'un systme
comparable peut aussi tre utilise comme rfrence.
Une approche exhaustive

Contrairement aux approches d'analyse des risques par catalogue de scnarios prdfinis, la
dmarche structure de la mthode EBIOS permet d'identifier et de combiner les lments constitutifs
des risques. Cette construction mthodique garantit l'exhaustivit de l'analyse des risques.
Un rfrentiel complet
La mthode dispose de bases de connaissances riches et adaptables (types de biens supports,
menaces, vulnrabilits, mesures de scurit), d'un logiciel libre et gratuit, de formations de qualit
pour le secteur public et le secteur priv et de documents de communication varis.
Une exprience prouve

Cre en 1995, EBIOS repose sur une exprience prouve en matire de conseil et d'assistance
matrise d'ouvrage. Elle contribue la notorit des outils mthodologiques de l'ANSSI.
De nombreux utilisateurs
Elle est largement utilise dans le secteur public (l'ensemble des ministres et des organismes sous
tutelle), dans le secteur priv (cabinets de conseil, industriels, petites et grandes entreprises), en
France et l'tranger (Union europenne, Qubec, Belgique, Tunisie, Luxembourg). L'association
Club EBIOS runit rgulirement la communaut d'experts et d'utilisateurs soucieux de contribuer au
dveloppement de la mthode et de disposer des dernires informations son sujet.
Page 16 sur 95
ANSSI/ACE/BAC
2.5 Rigueur de la mthode EBIOS

EBIOS met en uvre des contrles mthodologiques afin d'assurer d'une part la validit interne et
externe de la dmarche, et d'autre part que les rsultats de l'tude sont fidles la ralit. Il en rsulte
ainsi un outil mthodologique rigoureux.
Une mthode valide : la dmarche peut tre reproduite et vrifie

La mthodologie, science de la mthode, est une mta-mthode que l'on peut voir comme une sorte
de bote outils. Dans cette bote, chaque outil est un processus, une technique ou une technologie
approprie rsoudre un problme particulier. Elle permet de le rsoudre de manire plus efficace et
de systmatiser l'tude, indpendamment du primtre de l'tude lui-mme, en tablissant une suite
d'actions mener, de questions se poser, de choix faire
Ceci permet d'obtenir des rsultats qui ont une rigueur dmontrable par une dmarche qui peut tre
reproduite et vrifie.
Sur le plan scientifique, cette validit se dcompose en validit interne et en validit externe.
La validit interne fait rfrence l'exactitude des rsultats. Il y a validit interne lorsquil y a
concordance entre les donnes et leur interprtation. Une tude peut ainsi tre considre pour sa
validit interne, c'est--dire que les rsultats correspondent ce qui a t tudi pour des individus et
un moment donns.
La validit externe rfre la possibilit de gnraliser des rsultats, c'est ce qui permet d'en tirer des
conclusions impartiales au sujet dune population cible plus grande que lensemble des individus
ayant particip l'tude. Par exemple, les rsultats dune tude mene avec un chantillon de sept
participants dans une unit d'affaires peuvent tre gnraliss lensemble de l'organisation lorsque
l'tude a un niveau adquat de validit externe.
Une mthode fidle : la dmarche retranscrit la ralit

La mthode peut s'avrer un outil efficace lorsqu'elle est utilise diligemment dans un contexte bien
dtermin (avec des contraintes et des besoins particuliers). Nanmoins, comme d'autres
mthodologies servant rpondre des questionnements, elle doit tenir compte de plusieurs sources
d'erreur et de biais, en relation la slection des participants, aux mesures utilises, l'analyse
(explicative ou statistique) ou l'interprtation des rsultats Elle doit galement donner aux
personnes ralisant l'tude des moyens pour limiter l'impact de ces sources d'erreurs et de ces biais.
Afin d'assurer que la mthode est fidle la ralit, il convient de respecter un ensemble de critres :
la crdibilit : les rsultats de lanalyse des donnes recueillies refltent lexprience des
participants ou le contexte avec crdibilit ;
l'authenticit : la perspective mique (intrieure des participants) prsente dans les rsultats
de l'analyse dmontre une conscience des diffrences subtiles dopinion de tous les
participants ;
le criticisme : le processus danalyse des donnes recueillies et des rsultats montre des
signes dvaluation du niveau de pertinence de ces informations ;
l'intgrit : lanalyse reflte une validation de la validit rptitive et rcursive associe une
prsentation simple ;
l'explicit : les dcisions et interprtations mthodologiques, de mme que les positions
particulires de ceux qui ralisent l'tude, sont considres ;
le ralisme : des descriptions riches et respectant la ralit sont illustres clairement et avec
verve dans les rsultats ;
la crativit : des mthodes dorganisation, de prsentation et danalyse des donnes
cratives sont incorpores ltude ;
l'exhaustivit : les conclusions de l'tude couvrent lensemble des questions poses au dpart
de faon exhaustive ;
la congruence : le processus et les rsultats sont congruents, ils vont de pair les uns avec les
autres et ne sinscrivent pas dans un autre contexte que celui de la situation tudie ;
la sensibilit : ltude a t faite en tenant compte de la nature humaine et du contexte
socioculturel de l'organisation tudie.
Page 17 sur 95
ANSSI/ACE/BAC
3 Description de la dmarche
Ce chapitre prsente les cinq modules de la mthode EBIOS :
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
Chaque activit des cinq modules est dcrite sous la forme d'une fiche selon le mme formalisme :
Objectif
But et description de l'activit, replace dans un contexte gnral.
Avantages
Liste des principaux avantages apports par la mise en uvre de l'activit.
Donnes d'entre
Liste des informations d'entre, ncessaires la mise en uvre de l'activit.
Actions prconises et rle des parties prenantes
Liste des actions prconises et responsabilits gnriques pour raliser l'activit :
- "R"
=
Responsable de la mise en uvre de l'activit
- "A"
=
Autorit lgitime pour approuver l'activit (imputable)
- "C"
=
Consult pour obtenir les informations ncessaires l'activit
- "I"
=
Inform des rsultats de l'activit
Les fonctions gnriques, qui peuvent endosser ces responsabilits, sont les suivantes :
- Responsable =
Responsables du primtre de l'tude
- RSSI
=
Responsable de la scurit de l'information
- Risk manager =
Gestionnaire de risques
- Autorit
=
Autorits de validation
- Dpositaire =
Dpositaire de biens essentiels (utilisateurs ou matrises d'ouvrage)
- Propritaire =
Propritaire de biens supports
Donnes produites
Liste des informations de sortie, produites par les actions de l'activit.
Communication et concertation
Liste des principales ides pour obtenir de l'information (techniques employer) et la restituer
(prsentation des rsultats, reprsentations graphiques).
Surveillance et revue
Liste des points de contrle pour vrifier la qualit de la ralisation de l'activit et la tenue jour des
informations rsultantes.
Propositions pour mettre en uvre les actions prconises
Description dtaille de la (des) manire(s) possible(s) de procder pour mettre en uvre les actions
prconises.
Page 18 sur 95
ANSSI/ACE/BAC

Ce module a pour objectif de collecter les lments
ncessaires la gestion des risques, afin qu'elle
puisse tre mise en uvre dans de bonnes
conditions, qu'elle soit adapte la ralit du
contexte d'tude et que ses rsultats soient
pertinents et utilisables par les parties prenantes.
Il permet notamment de formaliser le cadre de
gestion des risques dans lequel l'tude va tre
mene. Il permet galement d'identifier, de dlimiter
et de dcrire le primtre de l'tude, ainsi que ses
enjeux, son contexte d'utilisation, ses contraintes
spcifiques
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
l'issue de ce module, le champ d'investigation de

l'tude est donc clairement circonscrit et dcrit,
ainsi que l'ensemble des paramtres prendre en
compte dans les autres modules.
Le module comprend les activits suivantes :
Activit 1.1 Dfinir le cadre de la gestion des risques
Activit 1.2 Prparer les mtriques
Activit 1.3 Identifier les biens
Page 19 sur 95
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
ANSSI/ACE/BAC

Objectif
Cette activit fait partie de l'tablissement du contexte. Elle a pour but de circonscrire le primtre
d'tude et de dfinir le cadre dans lequel la gestion des risques va tre ralise.
Avantages

Permet de circonscrire objectivement le primtre de l'tude

Permet de s'assurer de la lgitimit et de la faisabilit des rflexions qui vont tre menes
Permet d'orienter les travaux et les livrables en fonction des objectifs rels
Donnes d'entre

R
R
R
R
R
Propritaire
Dpositaire
Actions :
Action 1.1.1. Cadrer l'tude des risques
Action 1.1.2. Dcrire le contexte gnral
Action 1.1.3. Dlimiter le primtre de l'tude
Action 1.1.4. Identifier les paramtres prendre en compte
Action 1.1.5. Identifier les sources de menaces
Autorit
Parties prenantes :
Risk manager
RSSI
Donnes concernant le contexte du primtre de l'tude (documents stratgiques, documents

relatifs aux missions, les attributions et l'organisation, politique de gestion des risques).
Donnes concernant le contexte de la gestion des risques et la structure de travail
Responsable
I
I
A
I
I
Donnes produites

Synthse relative au cadre de la gestion des risques

Paramtres prendre en compte
Sources de menaces

Les donnes sont obtenues l'aide de documents et d'entretiens avec les parties prenantes
Les donnes produites peuvent faire l'objet d'une note de cadrage
Elles peuvent utilement tre intgres la politique de scurit de l'information

Le primtre de l'tude (toute l'organisation, une unit d'affaires, un processus) est dfini et
dlimit de faon claire et explicite
La dfinition du risque est adapte au contexte particulier de l'organisation et dlimite de
faon claire et explicite
La population l'tude est dfinie
Le type dchantillonnage (probabiliste, non probabiliste ou autre) est identifi et justifi en
fonction de la population l'tude, du contexte et de la porte de l'tude
Les critres de slection (inclusion et exclusion) des participants l'tude sont choisis afin de
reprsenter de faon quilibre l'ensemble de l'organisation dans laquelle est ralise l'tude
Des processus sont mis en place pour vrifier qu'on a bien considr toutes les informations
ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits).
Par exemple, l'identification priori des principaux lments qui devront tre considrs dans
l'tude permettra de faire une validation post-tude de rsultats afin de s'assurer que rien n'a
t omis. Dans le cas de variance entre les attentes dfinies priori et l'analyse post-tude,
l'organisation pourra valuer les causes de cette variance afin de s'assurer que celle-ci fut
exhaustive et, au besoin, prendre des actions correctives.
Page 20 sur 95
ANSSI/ACE/BAC
Action 1.1.1. Cadrer l'tude des risques
Description
Cette action consiste formaliser le but de l'tude (en termes d'intention et de livrables) et dfinir la
manire dont elle va tre mene. En effet, la dmarche qui va tre employe (actions entreprendre
parmi l'ensemble des actions de la mthode EBIOS, particularits de mise en uvre, niveau de dtail,
parties prenantes impliquer) dpend essentiellement de l'objectif de l'tude.
Il convient tout d'abord de formaliser le but de l'tude, comme par exemple :
d'optimiser les processus mtiers en matrisant les risques de scurit de l'information ;
de mettre en place un systme de management de la scurit de l'information ;
d'homologuer un systme d'information ;
d'laborer d'une politique de scurit de l'information ;
de contribuer la gestion globale des risques de l'organisme
Ensuite, il convient d'identifier clairement les livrables attendus, comme par exemple :
une politique de scurit de l'information, destination de tout le personnel ;
un cahier des charges soumettre pour un appel d'offres ;
une cartographie des risques pour le risk manager ;
une fiche d'expression rationnelle des objectifs de scurit (FEROS), destination d'une
commission d'homologation ;
une cible de scurit en vue d'une valuation de produit de scurit ;
des orientations stratgiques en matire de scurit de l'information pour la direction
Enfin, il convient de planifier la structure de travail pour cadrer l'tude qui va tre ralise :
les actions entreprendre (choix des activits ou des actions, particularits d'application) ;
les ressources prvoir et le rle des parties prenantes ;
le calendrier prvisionnel ;
les documents produire (enregistrements, livrables intermdiaires et finaux) ;
On peut galement prciser :
les chemins de dcision emprunter ;
les mcanismes de communication interne et externe ;
la population l'tude ;
les critres de slection des personnes participant l'tude ;
la mthode selon laquelle les performances de la gestion des risques sont values.
Conseils

Formuler un objectif explicite et en lien avec les objectifs de l'organisme.

Identifier clairement le(s) livrable(s) attendu(s) et les personnes qui il(s) est(sont) destin(s).
S'interroger sur l'utilit de chaque activit de la mthode et sur la manire de la raliser
(quelles actions ? quelles parties prenantes ?...) pour satisfaire l'objectif de l'tude et/ou pour
laborer le(s) livrable(s). Le niveau de maturit de l'organisme constitue galement un
lment considrer.
Afin de dimensionner convenablement les charges ncessaires la ralisation des activits, il
convient de ne pas ngliger les runions impliquant de nombreux participants.
Page 21 sur 95
ANSSI/ACE/BAC
Exemple
L'objectif de l'tude : grer les risques SSI sur le long terme et laborer une politique
Le Directeur de la socit @RCHIMED souhaite que les risques de scurit de l'information qui
pourraient empcher l'organisme d'atteindre ses objectifs soient grs, et ce, de manire continue,
afin d'tre au plus proche d'une ralit en mouvement.
Une politique de scurit de l'information doit ainsi tre produite, applique et contrle.
Par ailleurs, il n'exclut pas l'ide de faire certifier terme les principales activits du cabinet selon
l'ISO 27001 et reconnat l'intrt d'exploiter des meilleures pratiques reconnues internationalement
(ISO 27002). Par consquent, une dclaration d'applicabilit devrait tre produite ultrieurement.
Service comptabilit
Activit 1.2 Prparer les

mtriques
Activit 1.3 Identifier les
biens
Activit 2.1 Apprcier les
vnements redouts
scnarios de menaces
risques
objectifs de scurit
Activit 5.1 Formaliser
les mesures de scurit
mettre en uvre
Activit 5.2 Mettre en
uvre les mesures de
scurit
Note de
cadrage
Note de
stratgie
Politique de
scurit de
l'information
Homologation
Lgende : R = Ralisation ; A = Approbation ; C = Consultation ; I = Information
Page 22 sur 95
Vrifier
l'uniformit de la
comprhension
Ne pas trop
dtailler
Utiliser les bases
gnriques
Utiliser les bases
gnriques
Cette activit ne
sera ralise de
suite
Dure (en jours)
Bureau d'tudes
Ressources
estimes (en h.j)
Service commercial
Consignes
particulires
Secrtariat
Documents
produire en plus de
l'tude des risques
Comit de suivi
Directeur
Activits d'EBIOS
Activit 1.1 Dfinir le
cadre de la gestion des
risques
Directeur adjoint
Le plan d'action : une rflexion sur 15 jours qui requiert la participation de tous
Pour ce faire, le cabinet @RCHIMED prvoit la structure de travail suivante :
15
ANSSI/ACE/BAC
Action 1.1.2. Dcrire le contexte gnral
Description
Cette action consiste se familiariser avec l'environnement et la conjoncture du primtre de l'tude,
de manire inscrire la gestion de risques dans sa ralit et identifier les lments pouvant
impacter la manire de grer les risques de scurit de l'information.
Le but est ici de faciliter l'intgration de la gestion des risques dans la culture, la structure et les
processus de l'organisme en mettant en vidence les lments qu'il conviendra de considrer dans la
rflexion de scurit de l'information. L'tude pourra ainsi tre adapte son contexte spcifique afin
que les objectifs et proccupations de toutes les parties prenantes puissent tre pris en compte.
On peut ainsi utilement collecter les informations suivantes :
sur le contexte externe :
o l'environnement social et culturel, politique, lgal, rglementaire, financier,
technologique, conomique, naturel et concurrentiel, au niveau international, national,
rgional ou local ;
o les facteurs et tendances ayant un impact dterminant sur les objectifs ;
o les relations avec les parties prenantes externes, leurs perceptions et leurs valeurs ;
sur le contexte interne :
o la description gnrale de l'organisme ;
o les aptitudes en termes de ressources (capital, personnels, technologies) ;
o les missions (ce que l'organisme doit faire) ;
o les valeurs (ce que l'organisme fait bien) ;
o les mtiers (ce que l'organisme sait faire) et la culture ;
o l'organisation, et les principaux processus mtiers, rles et responsabilits ;
o les politiques, les objectifs et les stratgies mises en place pour les atteindre ;
o les systmes d'information, flux d'information et processus de prise de dcision ;
o les normes, principes directeurs et modles adopts par l'organisme ;
o les relations avec les parties prenantes internes ;
o la forme et l'tendue des relations contractuelles ;
o des lments de conjoncture internes ;
o des lments de contexte socioculturel.
Il convient galement de replacer la gestion des risques dans la gestion de l'organisme et l'atteinte de
ses objectifs, en formalisant par exemples :
la dfinition du risque, adapte au contexte ;
l'organisation gnrale en matire de gestion des risques :
o les interfaces de la gestion des risques avec les processus de l'organisme ;
o la politique gnrale de gestion des risques ;
o l'engagement de la hirarchie ;
o une ventuelle dfinition particulire du risque ;
l'organisation spcifique l'tude :
o les personnes interroges par module ;
o l'(les)autorit(s) de validation ;
o les interfaces.
Conseils

Cette action peut tre prpare l'aide de documents publics (prsentation des activits, bilan
annuel), stratgiques (schma directeur, orientations), d'organisation
Parce qu'il s'agit d'effectuer une tude des risques, il est essentiel que l'organisme dtermine
ce qui consiste un risque pour lui. Par exemple, une rduction de l'utilit attendue (perte de
revenus, perte de clientle, diminution de la productivit) d'un systme d'information ou d'un
processus d'affaire.
Le rsultat de cette action doit tre synthtique : il suffit de faire prendre conscience, de
manire simple et concise, du contexte dans lequel l'tude va tre ralise.
Page 23 sur 95
ANSSI/ACE/BAC
Exemple
L'organisme tudi est la socit @RCHIMED. Il s'agit d'une PME toulonnaise constitue d'une
douzaine de personnes. C'est un bureau d'ingnierie en architecture qui ralise des plans d'usines et
d'immeubles. Sa vocation principale est de vendre des services pour les professionnels du btiment.
@RCHIMED compte de nombreux clients, privs ou publics, ainsi que quelques professionnels du
btiment.
Son capital s'lve xxxxx et son chiffre d'affaires yyyyy .
Ses missions consistent principalement laborer des projets architecturaux, ainsi que des calculs de
structures et la cration de plans techniques.
Ses valeurs sont la ractivit, la prcision des travaux, la crativit architecturale et la communication.
Les principaux mtiers reprsents sont l'architecture et l'ingnierie du btiment.
Sa structure organisationnelle est fonctionnelle avec une direction, un service commercial, un bureau
d'tudes, un service comptabilit et un service de gestion de site internet.
Ses axes stratgiques sont d'une part l'utilisation des nouvelles technologies (Internet, Intranet) dans
un but d'ouverture vers l'extrieur et d'optimisation des moyens, et d'autre part la consolidation de
l'image de marque (protection des projets sensibles).
Ses principaux processus mtiers sont les suivants :
Figure 1 -
Les principaux processus mtiers de la socit
Plusieurs lments de conjoncture ont t identifis :

la mise en rseau des systmes informatiques sest effectue avec succs et a permis de
rduire encore plus les dlais de ralisation des travaux ;
lentreprise a dernirement perdu un march : la rnovation de la mairie de Draguignan. Lors
de la prsentation des projets, il est apparu de curieuses similitudes entre la maquette
virtuelle d@RCHIMED et la proposition dun concurrent de Nice. Le directeur d@RCHIMED
souponne une compromission du projet quil avait prsent. Il a maintenant des craintes sur
la confidentialit de certains projets ;
larsenal de Toulon semble vouloir rnover certaines installations servant la maintenance
des btiments de la marine nationale. @RCHIMED souhaiterait pouvoir se prsenter
dventuels appels doffres ;
une rude concurrence, dpendant des appels d'offres, s'exerce dans le secteur ;
seule une crise trs grave dans le btiment pourrait affecter le fonctionnement du cabinet
darchitecture.
Page 24 sur 95
ANSSI/ACE/BAC
Une gestion des risques intgre

Le risque est dfini comme un "scnario, avec un niveau donn, combinant un vnement redout par
@RCHIMED sur son activit, et un ou plusieurs scnarios de menaces. Son niveau correspond
l'estimation de sa vraisemblance et de sa gravit".
En matire de gestion des risques, les rles et responsabilits sont les suivants :
le Directeur d'@RCHIMED est pleinement responsable des risques pesant sur sa socit ;
le Directeur adjoint a t mandat pour animer la gestion des risques de scurit de
l'information ; il est ainsi responsable de la ralisation des tudes de risques ;
un comit de suivi, compos d'un membre de chaque service et prsid par le Directeur
adjoint, ralisera la premire tude de risques et se runira ensuite tous les six mois afin de
faire le point sur les volutions apporter la gestion des risques de scurit de l'information.
Les interfaces de la gestion des risques sont les suivantes :
la gestion des risques de scurit de l'information est partie intgrante de la gestion
d'@RCHIMED ; ce titre, ses rsultats sont pris en compte dans la stratgie de la socit ;
l'ensemble de la socit est concern par la gestion des risques de scurit de l'information,
tant pour apprcier les risques que pour appliquer et faire appliquer des mesures de scurit.
Page 25 sur 95
ANSSI/ACE/BAC
Action 1.1.3. Dlimiter le primtre de l'tude
Description
Cette action consiste circonscrire le primtre d'tude au sein du contexte gnral que l'on a dcrit
prcdemment, expliquer ce qu'est le primtre de l'tude et ce quoi il sert. Les participants
l'tude sont galement dfinis.
Pour commencer, on peut formaliser :
la prsentation du primtre de l'tude ;
sa fonction ou son objectif ;
sa contribution aux processus mtiers ;
ses enjeux dans le contexte global ;
les processus concerns ;
les interfaces avec les autres processus ;
les parties prenantes ;
les ventuels lments carter de la rflexion (types de biens supports, menaces) ;
le mode d'exploitation de scurit.
l'issue, on doit clairement savoir ce qui fait partie du primtre et ce qui n'en fait pas partie.
Le dcoupage du primtre en sous-primtres peut tre envisag pour faciliter la suite de l'tude.
L'objectif principal de la dcomposition en sous-primtres est de simplifier l'application de la
dmarche. Il est ensuite possible de dterminer soit plusieurs sous-primtres plus simples tudier
sparment, soit un seul sous-primtre sur lequel portera prcisment l'tude. L'tude de ces sousprimtres est gnralement plus simple que l'tude globale d'un primtre multiforme, mais le
nombre de sous-primtres doit rester faible car chacun fera l'objet d'une tude spare.
La dcomposition en sous-primtres facilite :
la slection des axes d'effort : elle peut permettre de mettre en vidence des sous-primtres
pour lesquels une tude est inutile ou moins prioritaire ;
l'organisation de l'tude : l'tude d'un sous-primtre peut tre confie une quipe restreinte.
Il n'y a pas de mthode proprement parler permettant de dcomposer un primtre en sousprimtres, mais un ensemble de critres examiner. Les principaux critres de dcomposition
applicables sont les suivants :
au vu de l'architecture matrielle : faire autant de sous-primtres qu'il y a de machines (ou
ensemble de machines) autonomes. Si, dans le cas gnral, les diffrentes machines sont
relies les unes aux autres, la dcomposition dpend du niveau d'interoprabilit des
diffrentes parties (machines ou ensembles de machines) du primtre ;
dcomposition par les fonctions ou les informations essentielles : il peut tre possible de
dcomposer un mme sous-primtre physique au vu des fonctions ralises par telle ou telle
machine ou partie du primtre ou selon la faon dont sont traites les informations les plus
sensibles ;
autonomie de responsabilit : un ensemble d'entits formant un tout du point de vue de la
responsabilit de mise en uvre (ensemble d'utilisateurs ou mise en uvre technique),
pourra tre utilis comme un sous-primtre tudier sparment. Il pourra s'agir d'une partie
de primtre place sous la responsabilit d'un service dment identifi sur un organigramme
de l'organisme. Ce critre peut galement s'appliquer lorsqu'il existe plusieurs
documentations spares ;
implantation dans des sous-zones distinctes : si les constituants (matriels, supports,
personnels) sont implants dans des sous-zones diffrentes (btiments, sous-zones
rserves, sous-sols...), chaque sous-zone est susceptible de constituer un sous-primtre (
condition que le niveau d'interoprabilit avec l'extrieur soit suffisamment faible) ;
isolement de "sous-primtres communs" : les quatre premiers critres ayant t appliqus,
certains ensembles d'entits ou des constituants peuvent se trouver l'intersection de
plusieurs sous-primtres (serveurs communs, rseaux communs, personnels ou sous-zones
communes par exemple). Ils sont susceptibles de former des sous-primtres qu'il est
possible d'tudier sparment. Les rsultats de ces tudes tant par la suite reports sur les
sous-primtres englobant. Il s'agit en quelque sorte d'une factorisation du travail.
Page 26 sur 95
ANSSI/ACE/BAC
Il est galement possible d'identifier le mode d'exploitation de scurit du(des) systme(s)

informatique(s) prsents dans le primtre de l'tude. Celui-ci dfinit le contexte de gestion de
l'information. Il indique comment le systme permet aux utilisateurs de catgories diffrentes de
traiter, transmettre ou conserver des informations de sensibilits diffrentes. Gnralement, il
appartient l'une des catgories suivantes :
Catgorie 1 Exclusif : toutes les personnes ayant accs au systme sont habilites au plus
haut niveau de classification et elles possdent un besoin d'en connatre (ou quivalent)
identique pour toutes les informations traites, stockes ou transmises par le systme.
Catgorie 2 Dominant : toutes les personnes ayant accs au systme sont habilites au plus
haut niveau de classification mais elles n'ont pas toutes un besoin d'en connatre (ou
quivalent) identique pour les informations traites, stockes ou transmises par le systme.
Catgorie 3 Multi-niveaux : les personnes ayant accs au systme ne sont pas toutes
habilites au plus haut niveau de classification et elles n'ont pas toutes un besoin d'en
connatre (ou quivalent) identique pour les informations traites, stockes ou transmises par
le systme.
Pour choisir le mode d'exploitation de scurit, il est important de savoir s'il existe ou doit exister :
une classification des informations hirarchique (ex : confidentiel, secret) et/ou par
compartiment (mdical, socit, nuclaire) ;
des catgories d'utilisateurs ;
une notion de besoin d'en connatre, d'en modifier, d'en disposer
Le choix du mode d'exploitation de scurit peut tre reconsidr au vu des risques identifis lors des
tapes suivantes. Il est cependant important de s'interroger sur cet aspect au plus tt car sa mise en
uvre a de fortes consquences sur l'architecture du systme informatique.
Une fois le primtre dlimit, il convient de dfinir les participants l'tude :
la population l'tude, pour adapter les mtriques et gnraliser les rsultats ;
le type dchantillonnage (probabiliste, non probabiliste ou autre) selon la population l'tude,
le contexte et la porte de l'tude ;
les critres de slection (inclusion et exclusion).
Cette dfinition permet de mettre en place des critres objectifs de slection afin de rduire l'impact de
la subjectivit et de biais de slections sur l'tude.
Conseils
Le rsultat de cette action doit tre synthtique : il doit permettre de comprendre rapidement
et sans ambigut ce qu'est le primtre de l'tude, ce quoi il sert et ses enjeux pour
l'organisme.
Il n'est pas ncessaire de dcrire la composition du primtre de l'tude de manire dtaille
(cela sera demand dans l'activit suivante), mais il doit tre possible de se faire une bonne
ide de sa taille et de sa complexit.
Une attention particulire doit tre porte sur les liens avec les objectifs de l'organisme, car
c'est en reliant les risques de scurit de l'information ces objectifs qu'ils prendront tout leur
sens pour les parties prenantes.
La population l'tude est lie celle du primtre de l'tude, mais il est recommand de
dfinir cette population de faon explicite afin de permettre une validation des rsultats en
fonction de critres prcis, afin de permettre l'application des rsultats l'ensemble du
primtre vis.
Exemple
Le choix du primtre d'tude s'est port sur le sous-ensemble du systme d'information du cabinet
@RCHIMED correspondant son cur de mtier :
gestion des relations commerciales (gestion des devis, projets) ;
gestion des tudes (calculs de structure, plans techniques, visualisations 3D) ;
gestion des services web (nom de domaine, site Internet, courrier lectronique).
Page 27 sur 95
ANSSI/ACE/BAC
Figure 2 -
Le primtre dtude
La gestion administrative est donc en dehors du primtre d'tude :

grer la comptabilit ;
grer les contentieux juridiques et techniques ;
gestion administrative interne (ressources humaines, maintenance, assurances) ;
gestion des permis de construire.
Les principales interfaces concernent :
les clients (de visu, par tlphone, par courrier papier et lectronique),
les cotraitants btiment (de visu, par tlphone, par courrier papier et lectronique),
l'hbergeur du site web (via une connexion Internet, par courrier papier et lectronique).
Le systme informatique du cabinet @RCHIMED est compos de deux rseaux locaux, l'un pour le
bureau dtudes et l'autre pour le reste de la socit, sur un seul site et dpendant uniquement de la
socit, utiliss par une douzaine de personnes manipulant des logiciels mtiers.
La gestion du site web est assure par un poste isol, en relation avec un hbergeur sur Internet.
Le sujet de l'tude reprsente la partie du systme d'information d'@RCHIMED indispensable pour
qu'il exerce son mtier. L'ensemble du patrimoine informationnel du cabinet est cr, trait et stock
sur ce systme d'information.
Les enjeux suivants ont t identifis :
favoriser louverture du systme informatique vers lextrieur ;
dmontrer la capacit du cabinet protger les projets sensibles (assurer la confidentialit
relative aux aspects techniques) ;
amliorer les services rendus aux usagers et la qualit des prestations ;
amliorer les changes avec les autres organismes (fournisseurs, architectes).
Les participants l'tude sont dfinis comme suit :
la population l'tude est l'ensemble des collaborateurs travaillant dans le primtre choisi
(gestion des relations commerciales, gestion des tudes et gestion des services web) ;
au moins un personnel de chaque catgorie (direction, commercial, ingnieur, technicien)
participe ltude ; dautres personnels peuvent galement participer ltude afin dapporter
un point de vue extrieur ;
les critres de slection sont les meilleures connaissances du mtier en gnral, et des
processus d@RCHIMED.
Page 28 sur 95
ANSSI/ACE/BAC
Action 1.1.4. Identifier les paramtres prendre en compte
Description
Cette action consiste recenser les lments qui devraient avoir une incidence sur la gestion des
risques (sur l'apprciation et/ou le traitement) :
les rfrences communautaires, lgales et rglementaires appliquer ;
les rfrences internes relatives la scurit de l'information appliquer ;
les contraintes de conformit des rfrentiels (ex : ISO 27001, homologations) ;
les contraintes qui psent sur l'organisme ;
les contraintes pesant spcifiquement sur le primtre de l'tude ;
les hypothses.
La prise en compte des lois, rgles ou rglements peut enfin limiter le choix de solutions matrielles
ou procdures et modifier l'environnement ou les habitudes de travail. Il convient par consquent de
recenser les rfrences communautaires, lgales et rglementaires applicables au primtre de
l'tude. On ne retiendra que les rfrences susceptibles d'avoir un impact sur l'tude.
Les principales rfrences internes relatives la scurit de l'information et applicables au primtre
de l'tude, notamment :
des politiques de scurit (globale, de l'information, du systme d'information, du patrimoine
informationnel) ou documents d'application (politiques locales, procdures) ;
des schmas directeurs traitant de scurit de l'information ;
des plans de continuit (des activits, des applications), de secours ou de reprise ;
des rsultats d'audits relatifs la scurit de l'information
Les contraintes qui psent sur l'organisme pourront tre identifies. Elles peuvent tre d'origine
interne l'organisme, auquel cas celui-ci peut ventuellement les amnager, ou extrieures
l'organisme, et donc en rgle gnrale, incontournables. Il peut s'agir, par exemples, de :
contraintes d'ordre politique : elles peuvent concerner les administrations de l'tat, les
tablissements publics ou en rgle gnrale tout organisme devant appliquer les dcisions
gouvernementales. D'une manire gnrale, il s'agit de dcisions d'orientation stratgique ou
oprationnelle, manant d'une Direction ou d'une instance dcisionnelle et qui doivent tre
appliques ;
Par exemple, le principe de dmatrialisation des factures ou des documents administratifs
induit des problmes de scurit.
contraintes d'ordre stratgique : des contraintes peuvent rsulter d'volutions prvues ou
possibles des structures ou des orientations de l'organisme. Elles s'expriment dans les
schmas directeurs d'organisation stratgiques ou oprationnels ;
Par exemple, les cooprations internationales sur la mise en commun d'informations
sensibles peuvent ncessiter des accords au niveau des changes scuriss.
contraintes territoriales : la structure et/ou la vocation de l'organisme peut induire des
contraintes particulires telles que la dispersion des sites sur l'ensemble du territoire national
ou l'tranger ;
Par exemple, les agences de la poste, les ambassades, les banques, les diffrentes filiales
d'un grand groupe industriel...
contraintes conjoncturelles : le fonctionnement de l'organisme peut tre profondment modifi
par des situations particulires telles que des grves, des crises nationales ou
internationales ;
Par exemple, la continuit de certains services doit pouvoir tre assure mme en priode de
crise grave.
contraintes structurelles : la structure de l'organisme peut induire, du fait de sa nature
(divisionnelle, fonctionnelle ou autre), une politique de scurit qui lui est spcifique et une
organisation de la scurit adapte ces structures ;
Par exemple, une structure internationale doit pouvoir concilier des exigences de scurit
propres chaque nation.
contraintes fonctionnelles : il s'agit des contraintes directement issues des missions gnrales
ou spcifiques de l'organisme ;
Par exemple, un organisme peut avoir une mission de permanence qui exigera une
disponibilit maximale de ses moyens.
Page 29 sur 95
ANSSI/ACE/BAC
contraintes relatives au personnel : les contraintes relatives au personnel sont de natures trs
diverses et lies aux caractristiques suivantes : niveau de responsabilit, recrutement,
qualification, formation, sensibilisation la scurit, motivation, disponibilit
Par exemple, il peut tre ncessaire que l'ensemble du personnel d'un organisme de la
dfense soit habilit pour des confidentialits suprieures.
contraintes d'ordre calendaire : elles peuvent rsulter de rorganisations de services, de la
mise en place de nouvelles politiques nationales ou internationales qui vont imposer des
chances date fixe ;
Par exemple, la cration dune direction de la scurit.
contraintes relatives aux mthodes : compte tenu des savoir-faire internes l'organisme,
certaines mthodes (au niveau de la planification du projet, des spcifications, du
dveloppement) seront imposes ;
La contrainte peut tre, par exemple, de devoir associer la politique de scurit aux actions
relatives la qualit, en vigueur dans l'organisme.
contraintes d'ordre culturel : dans certains organismes les habitudes de travail ou le mtier
principal ont fait natre une "culture", propre cet organisme, qui peut constituer une
incompatibilit avec les mesures de scurit. Cette culture constitue le cadre de rfrence
gnral des personnes de l'organisme et peut concerner de nombreux paramtres tels que
les caractres, l'ducation, l'instruction, l'exprience professionnelle ou extra-professionnelle,
les opinions, la philosophie, les croyances, les sentiments, le statut social
contraintes d'ordre budgtaire : les mesures de scurit prconises ont un cot qui peut,
dans certains cas, tre trs important. Si les investissements dans le domaine de la scurit
ne peuvent s'appuyer sur des critres de rentabilit, une justification conomique est
gnralement exige par les services financiers de l'organisation ;
Par exemple, dans le secteur priv et pour certains organismes publics, le cot total des
mesures de scurit ne doit pas tre suprieur aux consquences des risques redouts. La
direction doit donc apprcier et prendre des risques calculs si elle veut viter un cot
prohibitif pour la scurit.
Les contraintes pesant spcifiquement sur le primtre de l'tude peuvent galement tre recenses
quand elles ont un impact. Il peut s'agir, par exemples, de :
contraintes d'antriorit : tous les projets d'applications ne peuvent pas tre dvelopps
simultanment. Certains sont dpendants de ralisations pralables. Un systme peut faire
l'objet d'une dcomposition en sous-systmes ; un systme n'est pas forcment conditionn
par la totalit des sous-systmes (par extension des fonctions d'un systme) d'un autre
systme ;
contraintes techniques : elles peuvent provenir des fichiers (exigences en matire
d'organisation, de gestion de supports, de gestion des rgles d'accs), de l'architecture
gnrale (exigences en matire de topologie, qu'elle soit centralise, rpartie, distribue, ou
de type client-serveur, d'architecture physique), des logiciels applicatifs (exigences en
matire de conception des logiciels spcifiques, de standards du march), des progiciels
(exigences de standards, de niveau d'valuation, qualit, conformit aux normes, scurit),
des matriels (exigences en matire de standards, qualit, conformit aux normes), des
rseaux de communication (exigences en matire de couverture, de standards, de capacit,
de fiabilit), des infrastructures immobilires (exigences en matire de gnie civil,
construction des btiments, courants forts, courants faibles)
contraintes financires : la mise en place de mesures de scurit est souvent limite par le
budget que l'organisme peut y consacrer, nanmoins la contrainte financire est prendre en
compte en dernier lieu (la part du budget alloue la scurit pouvant tre ngocie en
fonction de l'tude de scurit) ;
contraintes d'environnement : elles proviennent de l'environnement gographique ou
conomique dans lequel le SI est implant : pays, climat, risques naturels, situation
gographique, conjoncture conomique
contraintes de temps : le temps ncessaire la mise en place de mesures de scurit doit
tre mis en rapport avec l'volutivit du SI ; en effet, si le temps d'implmentation est trs
long, la parade peut ne pas tre en rapport avec les risques qui auront volus. Le temps est
dterminant dans le choix des solutions et des priorits ;
contraintes relatives aux mthodes : compte tenu des savoir-faire et des habitudes dans
l'organisme, certaines mthodes (au niveau de la planification du projet, des spcifications et
du dveloppement) seront imposes ;
contraintes organisationnelles : l'exploitation (exigences en matire de dlais, de fourniture de
rsultats, de services, exigences de surveillance, de suivi, de plans de secours,
fonctionnement en mode dgrad), la maintenance (exigences d'actions de diagnostic
Page 30 sur 95
ANSSI/ACE/BAC
d'incidents, de prvention, de correction rapide), la gestion des ressources humaines

(exigences en matire de formation des oprationnels et des utilisateurs, de qualification pour
l'occupation des postes tels qu'administrateur systme ou administrateur de donnes), la
gestion administrative (exigences en matire de responsabilits des acteurs), la gestion des
dveloppements (exigences en matire d'outils de dveloppement, AGL, de plans de recette,
d'organisation mettre en place), la gestion des relations externes (exigences en matire
d'organisation des relations tierces, en matire de contrats)
Les hypothses sont le plus souvent imposes par lorganisme responsable de ltude, pour des
raisons de politique interne ou externe de lorganisme, financires ou de calendrier. Les hypothses
peuvent aussi constituer un risque accept a priori sur un environnement donn.
Conseils

Enrichir cette action au fur et mesure de l'tude.

Une fois ces paramtres identifis, il peut tre utile d'indiquer s'ils vont avoir une incidence sur
l'apprciation et/ou sur le traitement des risques, ce qui facilitera la dmonstration ultrieure
de couverture de ces paramtres.
Exemple
Un ensemble de contraintes prendre en compte a t identifi :
relatives au personnel :
o le personnel est utilisateur de l'informatique, mais pas spcialiste,
o le responsable informatique est l'adjoint du directeur, il est architecte de formation,
o le personnel de nettoyage intervient de 7h 8h,
o la rception des clients se fait dans les bureaux des commerciaux, mais des visites
ont parfois lieu au bureau d'tudes ;
d'ordre calendaire :
o la priode de pointe se situant d'octobre mai, toute action (installation de systme
de scurit, formation et sensibilisation) se fera en dehors de cette priode ;
d'ordre budgtaire :
o la socit a fait un effort important en matire d'informatisation, tout investissement
supplmentaire devra tre dment justifi ;
d'ordre technique :
o les rgles de conception architecturale doivent tre respectes,
o des logiciels professionnels du domaine architectural doivent tre employs ;
d'environnement :
o le cabinet loue deux tages d'un immeuble au centre ville,
o le cabinet est au voisinage de commerces divers,
o aucun dmnagement n'est planifi.
Page 31 sur 95
ANSSI/ACE/BAC
Action 1.1.5. Identifier les sources de menaces
Description
Cette action consiste dterminer les sources de menaces pertinentes vis--vis du contexte
particulier du primtre de l'tude.
Les parties prenantes doivent rflchir aux origines des risques : qui ou quoi pourrait porter atteinte
aux besoins de scurit exprims et engendrer les impacts identifis ?
La rflexion, qui devrait tre mene avec lautorit responsable du primtre de l'tude du fait qu'elle
est la plus mme d'en avoir une vision globale et objective, consiste slectionner les sources de
menaces les plus pertinentes selon le contexte particulier du primtre de l'tude. Elle aura
essentiellement pour finalit d'apprcier les risques de manire pertinente vis--vis de ces sources et
de dterminer des mesures de scurit adaptes ces sources.
Il convient tout d'abord de choisir une typologie de sources de menaces. Les bases de connaissances
de la mthode proposent une liste gnrique que l'on peut directement utiliser ou que l'on peut
ajuster. Cette typologie doit aider les parties prenantes envisager des origines de diffrentes
natures, auxquelles elles n'auraient peut-tre pas song, et ce, dans leur contexte particulier.
Bien que, potentiellement, n'importe quelle source de menace puisse tre considre, il convient ici
d'identifier celles qui sont rellement prsentes dans l'environnement du primtre de l'tude et
auxquelles on dcide de pouvoir s'opposer. Cela ne signifie pas forcment qu'elles soient visibles, ni
mme prcisment connues. Il s'agit en effet des sources de menaces que l'on peut redouter, selon la
conjoncture sociale, politique, conomique, gographique, climatique Ainsi, il conviendra de ne pas
retenir les sources de menaces auxquelles on estime ne pas tre expos selon :
leur origine, humaine ou non humaine ;
leur lien avec le primtre de l'tude (interne ou externe) ;
dans le cas de sources humaines :
o leur caractre intentionnel (et dans ce cas leur motivation) ou accidentel,
o leurs capacits (force intrinsque, selon leurs ressources, leur expertise, leur
dangerosit) ;
dans le cas de sources non humaines :
o leur type (naturelle, animale, contingence).
Les sources de menaces devraient ensuite tre caractrises. Plus la rflexion est pousse, plus
l'apprciation des risques sera pertinente et plus les mesures de scurit destines les contrer
seront appropries. Chaque source de menace peut ainsi tre illustre d'exemples reprsentatifs dans
le contexte considr, et dcrite de manire plus ou moins dtaille.
De plus, des valeurs peuvent tre estimes pour :
l'exposition ces sources de menaces ("frquence" des incidents ou sinistres SSI lis ces
sources de menaces) ;
leur potentiel :
o leur motivation (attraction envers les biens dans le cadre du primtre de l'tude, jeu,
vengeance, agent, effet mdiatique, peur),
o leur facilit d'accs au primtre de l'tude,
o leur capacit mobiliser de l'nergie,
o le temps disponible l'action,
o les comptences techniques disponibles,
o les ressources financires ou matrielles ;
leur capacit de dissimulation
Page 32 sur 95
ANSSI/ACE/BAC
Conseils
Une manire de procder consiste partir de la typologie propose dans les bases de
connaissances, carter les sources de menaces qui ne concernent pas le primtre de l'tude
en le justifiant (ne garder que les plus pertinentes), illustrer simplement les sources de
menaces retenues (un employ, un concurrent, le personnel d'entretien, un pirate, une
fort) et les dcrire plus prcisment afin de sensibiliser et d'impliquer les parties prenantes.
Ce sont souvent des acteurs externes (par exemple les autorits publiques) qui informent
l'organisme des sources de menaces considrer plus particulirement un moment donn.
Exemple
Le cabinet @RCHIMED souhaite s'opposer aux sources de menaces suivantes :
Types de sources de menaces
Source humaine interne, malveillante, avec
de faibles capacits
des capacits importantes
des capacits illimites
Retenu ou non
Non, le cabinet
n'estime pas y tre
expos
Non, le cabinet
n'estime pas y tre
expos
Non, le cabinet
n'estime pas y tre
expos
Source humaine externe, malveillante,

avec de faibles capacits
Oui

avec des capacits importantes
Oui

avec des capacits illimites
Non, le cabinet
n'estime pas y tre
expos
Source humaine interne, sans intention de

nuire, avec de faibles capacits
Oui

nuire, avec des capacits importantes
Non, le cabinet
n'estime pas y tre
expos

nuire, avec des capacits illimites
Oui
Source humaine externe, sans intention de

nuire, avec de faibles capacits
Oui

nuire, avec des capacits importantes
Oui
Virus non cibl
Non, le cabinet
n'estime pas y tre
expos
Oui
Phnomne naturel
Oui
Catastrophe naturelle ou sanitaire
Oui
Non, le cabinet
n'estime pas y tre
expos

nuire, avec des capacits illimites
Activit animale
vnement interne
Oui
Page 33 sur 95
Exemple
Personnel de nettoyage
(soudoy)
Script-kiddies
Concurrent
(ventuellement en visite
incognito)
Maintenance informatique
Employ peu srieux
Employ peu srieux

(ceux qui ont un rle
d'administrateur)
Client
Cotraitant
Partenaire
Fournisseur d'accs
Internet
Hbergeur
Virus non cibl

Phnomne naturel
(foudre, usure)
Maladie
Panne lectrique
Incendie des locaux
ANSSI/ACE/BAC

Objectif
Cette activit fait partie de l'tablissement du contexte. Elle a pour but de fixer l'ensemble des
paramtres et des chelles qui serviront grer les risques. Elle peut tre commune plusieurs
tudes.
Avantages

Permet de garantir l'homognit des estimations

Permet la rptabilit dans le temps des activits de gestion des risques
Donnes d'entre

R
R
R
C
C
C
A
C
C
C
A
A
A
Donnes produites

Critres de scurit
chelles de mesures
Critres de gestion des risques

Les donnes sont obtenues sur la base d'tude de l'existant, d'entretiens individuels ou
d'changes entre les parties prenantes
Les rsultats peuvent tre intgrs dans la politique de scurit de l'information

Les variables (critres de scurit, types dimpacts) qui seront mesures sont justifies en
fonction de la dfinition du risque, du contexte de l'tude et des objectifs.
Les types d'chelles utiliss sont explicitement identifis :
o nominale (objets classs dans des catgories, nombres sans valeur numrique),
o ordinale (objets classs par ordre de grandeur, nombres indiquant des rangs et non
des quantits),
o ordinale avec continuum sous-jacent (identique l'ordinale, mais qui utilise des
curseurs ou une chelle de Lickert, pour effectuer des oprations statistiques avec les
mesures rsultantes),
o intervalles (gaux entre les nombres, nombres qui peuvent tre additionns ou
soustraits, sans tre absolus car le zro est arbitraire),
o proportions (chelle avec un zro absolu, nombres reprsentant des quantits
relles, possibilit d'excuter sur elles toutes les oprations mathmatiques)
Les chelles utilises sont appropries pour mesurer les variables de l'tude
Les chelles sont explicites, non ambigus, bornes et couvrent tous les cas envisags
Des instruments de mesure sont identifis (questionnaires, guides d'entretiens) et leur
pertinence est justifie
Lorsque les instruments de mesure sont construits pour les besoins de l'tude, leur justesse
est valide (tests prliminaires, utilisations antrieures)
Les critres de gestion sont pertinents par rapport aux variables et aux chelles
Les critres de gestion sont bass davantage sur la rflexion que sur des calculs numriques
Page 34 sur 95
Propritaire
Dpositaire
Actions :
Action 1.2.1. Dfinir les critres de scurit et laborer les
chelles de besoins
Action 1.2.2. laborer une chelle de niveaux de gravit
Action 1.2.3. laborer une chelle de niveaux de vraisemblance
Action 1.2.4. Dfinir les critres de gestion des risques
Autorit
Parties prenantes :
Risk manager
RSSI
Synthse relative au cadre de la gestion des risques

Responsable
ANSSI/ACE/BAC
Action 1.2.1. Dfinir les critres de scurit et laborer les chelles de besoins
Description
Cette action consiste choisir les critres de scurit qui seront tudis, produire une dfinition pour
chacun d'eux et laborer autant d'chelles de besoins que de critres de scurit retenus.
Les critres de scurit constituent des facteurs permettant de relativiser l'importance des diffrents
biens essentiels selon les besoins mtiers, et serviront ainsi dcrire les conditions dans lesquelles le
mtier s'exerce convenablement.
Trois critres de scurit sont incontournables (leur dfinition figure dans le glossaire de la mthode) :
la disponibilit : elle reflte le besoin que des biens essentiels soient accessibles ; elle peut
correspondre la dure ncessaire pour avoir accs au bien essentiel (ex. : 1 heure, 1
journe, 1 semaine) et/ou un taux (ex. : 99%) ; on peut mme sparer ces deux notions
en deux critres de scurit distincts ;
l'intgrit : elle reflte le besoin que des biens essentiels ne soient pas altrs ; elle
correspond autant leur niveau de conformit qu' leur stabilit, leur exactitude, leur
compltude ;
la confidentialit : elle reflte le besoin que des biens essentiels ne soient pas compromis ni
divulgus ; elle correspond au nombre ou catgories de personnes autorises y accder.
Les besoins sont parfois exprims selon d'autres "critres de scurit", tels que la preuve,
l'imputabilit, l'auditabilit, la fiabilit, la traabilit Il ne s'agit videmment pas de facteurs
permettant de reflter des besoins mtiers. Il s'agit de diffrentes fonctions / solutions de scurit,
mises en place pour satisfaire des besoins de disponibilit, d'intgrit ou de confidentialit, et non de
vritables critres de scurit. Nanmoins, on peut les considrer comme tels si ces notions
paraissent rellement au cur du mtier de l'organisme, si elles sont ancres dans sa culture ou si on
tient orienter fortement la communication qui sera faite autour d'une tude sur l'une de ces notions.
Une chelle de besoins est gnralement ordinale (les objets sont classs par ordre de grandeur, les
nombres indiquent des rangs et non des quantits) et compose de plusieurs niveaux permettant de
classer l'ensemble des biens essentiels tudis. Chaque niveau reflte un besoin mtier possible.
Il doit tre facile de dterminer le niveau ncessaire pour chaque bien essentiel. Les diffrents
niveaux devraient ainsi tre trs explicites, non ambigus, et avec des limites claires. On note que le
nombre de niveaux des diffrentes chelles n'est pas ncessairement le mme.
Le principal enjeu concernant une chelle de besoins rside dans le fait qu'elle soit comprise et
utilisable par les personnes qui vont exprimer les besoins de scurit des biens essentiels. Cette
chelle doit donc tre adapte au contexte de l'tude. Son laboration peut utilement tre ralise en
collaboration avec les personnes qui vont dterminer les besoins. Ainsi, chaque valeur aura une relle
signification pour elles et les valeurs seront cohrentes.
Conseils

Ne considrer que la disponibilit, l'intgrit et la confidentialit, et se baser sur les dfinitions

fournies dans le glossaire de la mthode.
S'assurer que les critres de scurit, les niveaux et leurs descriptions sont bien compris par
les parties prenantes et ajuster la terminologie et les descriptions si besoin.
Chaque niveau doit tre dcrit en termes fonctionnels de besoins mtiers (le bien essentiel est
ncessaire dans l'heure pour que le mtier s'exerce de manire acceptable), et non en termes
d'impacts (ex. : la compromission du bien essentiel peut engendrer une perte importante de
chiffre d'affaires).
Page 35 sur 95
ANSSI/ACE/BAC
Exemple
Afin d'exprimer les besoins de scurit, les critres de scurit retenus sont les suivants :
Critres de scurit
Dfinitions
Disponibilit
Proprit d'accessibilit au moment voulu des biens essentiels.
Intgrit
Proprit d'exactitude et de compltude des biens essentiels.
Confidentialit
Proprit des biens essentiels de n'tre accessibles qu'aux utilisateurs autoriss.
L'chelle suivante sera utilise pour exprimer les besoins de scurit en termes de disponibilit :
Niveaux de l'chelle
Plus de 72h
Entre 24 et 72h
Entre 4 et 24h
Moins de 4h
Description dtaille de l'chelle

Le bien essentiel peut tre indisponible plus de 72 heures.
Le bien essentiel doit tre disponible dans les 72 heures.
L'chelle suivante sera utilise pour exprimer les besoins de scurit en termes d'intgrit :
Niveaux de l'chelle
Dtectable
Le bien essentiel peut ne pas tre intgre si l'altration est identifie.
Le bien essentiel peut ne pas tre intgre, si l'altration est identifie et
Matris
l'intgrit du bien essentiel retrouve.
Intgre
Le bien essentiel doit tre rigoureusement intgre.
L'chelle suivante sera utilise pour exprimer les besoins de scurit en termes de confidentialit :
Niveaux de l'chelle
Public
Le bien essentiel est public.
Limit
Le bien essentiel ne doit tre accessible qu'au personnel et aux partenaires.
Rserv
Le bien essentiel ne doit tre accessible qu'au personnel (interne) impliques.
Le bien essentiel ne doit tre accessible qu' des personnes identifies et
Priv
ayant le besoin d'en connatre.
Page 36 sur 95
ANSSI/ACE/BAC
Action 1.2.2. laborer une chelle de niveaux de gravit
Description
Cette action consiste crer une chelle dcrivant tous les niveaux possibles des impacts. Tout
comme les chelles de besoins, une chelle de niveaux d'impacts est gnralement ordinale (les
objets sont classs par ordre de grandeur, les nombres indiquent des rangs et non des quantits) et
compose de plusieurs niveaux permettant de classer l'ensemble des risques. Chaque niveau reflte
l'estimation de la hauteur des consquences cumules d'un sinistre.
Il doit tre facile de dterminer le niveau ncessaire pour chaque risque. Les diffrents niveaux
devraient ainsi tre trs explicites, non ambigus, et avec des limites claires.
Le principal enjeu concernant une chelle de niveaux d'impacts rside dans le fait qu'elle soit
comprise et utilisable par les personnes qui vont juger de l'importance des consquences de la
ralisation des sinistres. Son laboration peut utilement tre ralise en collaboration avec les
personnes qui vont estimer ces niveaux. Ainsi, chaque valeur aura une relle signification pour elles et
les valeurs seront cohrentes.
Conseils

Bien que les chelles de niveaux d'impacts puissent tre relativement subjectives, il convient
surtout de s'assurer que les parties prenantes sauront discriminer clairement les diffrents
niveaux.
S'assurer que les niveaux et leurs descriptions sont bien compris par les parties prenantes et
les ajuster si besoin.
Une chelle par niveaux permettra de mettre en vidence les progrs raliss par la mise en
place de mesures de scurit, alors qu'une chelle ordinale permettra de positionner de
manire bien distincte tous les risques dans une cartographie. Il est galement possible
d'utiliser les deux types d'chelles simultanment.
Exemple
L'chelle suivante sera utilise pour estimer la gravit des vnements redouts et des risques :
Niveaux de l'chelle
1. Ngligeable
2. Limite
3. Importante
4. Critique

@RCHIMED surmontera les impacts sans aucune difficult.
@RCHIMED surmontera les impacts malgr quelques difficults.
@RCHIMED surmontera les impacts avec de srieuses difficults.
@RCHIMED ne surmontera pas les impacts (sa survie est menace).
Page 37 sur 95
ANSSI/ACE/BAC
Action 1.2.3. laborer une chelle de niveaux de vraisemblance
Description
Cette action consiste crer une chelle dcrivant tous les niveaux possibles de vraisemblance des
scnarios de menaces. Tout comme les chelles de besoins et de niveaux d'impacts, une chelle de
niveaux de vraisemblance est gnralement ordinale (les objets sont classs par ordre de grandeur,
les nombres indiquent des rangs et non des quantits) et compose de plusieurs niveaux permettant
de classer l'ensemble des risques analyss. Chaque niveau reflte l'estimation de la possibilit de
ralisation d'un sinistre.
Il doit tre facile de dterminer le niveau ncessaire pour chaque risque. Les diffrents niveaux
devraient ainsi tre trs explicites, non ambigus, et avec des limites claires.
Le principal enjeu concernant une chelle de niveaux de vraisemblance rside dans le fait qu'elle soit
comprise et utilisable par les personnes qui vont juger de la possibilit qu'un sinistre ait lieu. Son
laboration peut utilement tre ralise en collaboration avec les personnes qui vont estimer ces
niveaux. Ainsi, chaque valeur aura une relle signification pour elles et les valeurs seront cohrentes.
Conseils

Bien que les chelles de niveaux de vraisemblance puissent tre relativement subjectives, il
convient surtout de s'assurer que les parties prenantes sauront discriminer clairement les
diffrents niveaux.
S'assurer que les niveaux et leurs descriptions sont bien compris par les parties prenantes et
les ajuster si besoin.
Une chelle par niveaux permettra de mettre en vidence les progrs raliss par la mise en
place de mesures de scurit, alors qu'une chelle ordinale permettra de positionner de
manire bien distincte tous les risques dans une cartographie. Il est galement possible
d'utiliser les deux types d'chelles simultanment.
Exemple
L'chelle suivante sera utilise pour estimer la vraisemblance des scnarios de menaces et des
risques :
Niveaux de l'chelle
1. Minime
2. Significative
3. Forte
4. Maximale

Cela ne devrait pas se (re)produire.
Cela pourrait se (re)produire.
Cela devrait se (re)produire un jour ou l'autre.
Cela va certainement se (re)produire prochainement.
Page 38 sur 95
ANSSI/ACE/BAC
Action 1.2.4. Dfinir les critres de gestion des risques
Description
Cette action consiste formaliser les rgles choisies pour faire des choix tout au long d'une tude.
Toute action de l'tude qui ncessite une dcision peut faire l'objet d'un critre de gestion de risques.
Les critres de gestion des risques permettent notamment d'estimer et d'valuer les risques et de
prendre des dcisions concernant leur apprciation et leur traitement. Ils refltent les valeurs, les
objectifs et les ressources de l'organisme. Ils peuvent tre imposs ou rsulter d'obligations lgales et
rglementaires, ou d'autres exigences auxquelles l'organisme rpond. Ils tiennent ainsi compte de la
nature des causes et des consquences qui peuvent survenir, de la faon dont elles vont tre
mesures, des mthodes d'estimation, des chelles choisies, des avis des parties prenantes, du
niveau partir duquel les risques deviennent acceptables ou tolrables, de la prise en compte ou non
des combinaisons de plusieurs risques
Il convient que les critres de gestion des risques soient cohrents avec la politique de gestion des
risques de l'organisme, dfinis au pralablement l'tude, ce qui contribue la transparence et la
rigueur de l'approche, et facilite l'adhsion des parties prenantes, et revus rgulirement.
On peut ainsi dfinir la manire dont :
les vnements redouts sont estims et valus ;
les scnarios de menaces sont estims et valus ;
les risques sont estims et valus ;
les risques sont traits et valids (notamment les choix de traitement et les risques
rsiduels)
Conseils

Minimiser les automatismes, qui dresponsabilisent les parties prenantes et peuvent de plus
apporter une scientificit illusoire.
Lors d'une premire utilisation de la mthode et s'il n'existe pas dj de critres de gestion
des risques, il est possible de les formaliser au fur et mesure du droulement de l'tude.
Exemple
Les critres de gestion des risques retenus sont les suivants :
Action
Estimation des
vnements
redouts (module 2)
valuation des
vnements
redouts (module 2)
Estimation des
risques (module 4)
Critre de gestion des risques (rgle choisie pour raliser l'action)

Les vnements redouts sont estims en termes de gravit l'aide de

l'chelle dfinie cet effet.
Les vnements redouts sont classs par ordre dcroissant de

vraisemblance.

La gravit d'un risque est gale celle de l'vnement redout considr.

La vraisemblance d'un risque est gale la vraisemblance maximale de
tous les scnarios de menaces lis l'vnement redout considr.
Les risques dont la gravit est critique, et ceux dont la gravit est
importante et la vraisemblance forte ou maximale, sont jugs comme
intolrables.
Les risques dont la gravit est importante et la vraisemblance significative,
et ceux dont la gravit est limite et la vraisemblance forte ou maximale,
sont jugs comme significatifs.
Les autres risques sont jugs comme ngligeables.
valuation des
risques (module 4)

Page 39 sur 95
ANSSI/ACE/BAC

Objectif
Cette activit fait partie de l'tablissement du contexte. Elle a pour but d'identifier les biens au sein du
primtre de l'tude et ainsi de mettre en vidence les lments ncessaires aux autres activits.
Avantages

Permet de comprendre le fonctionnement du primtre de l'tude

Permet de prendre en compte les mesures de scurit existantes (que celles-ci soient
formalises ou non) pour valoriser le travail dj effectu et ne pas le remettre en cause
Donnes d'entre

Propritaire
Dpositaire
Actions :
Action 1.3.1. Identifier les biens essentiels, leurs relations et
leurs dpositaires
Action 1.3.2. Identifier les biens supports, leurs relations et
leurs propritaires
Action 1.3.3. Dterminer le lien entre les biens essentiels et
les biens supports
Action 1.3.4. Identifier les mesures de scurit existantes
Autorit
Parties prenantes :
Risk manager
RSSI
Donnes concernant le contexte du primtre de l'tude (documents concernant le systme

d'information, synthses d'entretiens avec des responsables de l'organisme).
Responsable
Donnes produites

Biens essentiels
Biens supports
Tableau crois biens essentiels / biens supports
Mesures de scurit existantes

Les donnes sont obtenues sur la base d'tude de l'existant, d'entretiens individuels ou
d'changes entre les parties prenantes
Elles peuvent tre intgres la politique de scurit de l'information

La mthode de collecte et d'enregistrement des donnes est clairement prcise

Toutes les donnes produites sont comprises et acceptes par les parties prenantes
Page 40 sur 95
ANSSI/ACE/BAC
Action 1.3.1. Identifier les biens essentiels, leurs relations et leurs dpositaires
Description
Cette action consiste recenser, au sein du patrimoine informationnel du primtre de l'tude, celui
qui peut tre jug comme essentiel.
Les biens essentiels reprsentent le patrimoine informationnel, ou les "biens immatriels", que l'on
souhaite protger, c'est--dire ceux pour lesquels le non respect de la disponibilit, de l'intgrit, de la
confidentialit, voire d'autres critres de scurit, mettrait en cause la responsabilit du dpositaire, ou
causerait un prjudice eux-mmes ou des tiers. Par exemple :
les informations on fonctions vitales pour l'exercice de la mission ou du mtier de l'organisme ;
les traitements secrets ou procds technologiques de haut niveau ;
les informations personnelles, notamment les informations nominatives au sens de la loi
franaise informatique et liberts ;
les informations stratgiques ncessaires pour atteindre les objectifs correspondants aux
orientations stratgiques ;
les informations coteuses, dont la collecte, le stockage, le traitement ou la transmission
ncessitent un dlai important et/ou un cot d'acquisition lev ;
les informations relevant du secret dfense dfinies dans l'[IGI 1300] et pour lesquelles le
niveau d'exigence de scurit n'est pas ngociable ;
les informations classifies d'autres natures
Selon leur finalit, certaines tudes ne mriteront pas une analyse exhaustive de lensemble des
biens informationnels composant le primtre de l'tude. Dans ce contexte, ils seront limits aux
lments vitaux du primtre de l'tude. Ceux qui n'auront pas t retenues l'issue de cette activit
ne feront l'objet dans la suite de l'tude d'aucun besoin de scurit. Cependant, ils hriteront souvent
des mesures de scurit prises pour protger les autres biens informationnels.
Le niveau de dtail des biens essentiels doit tre cohrent avec le primtre et l'objectif de l'tude.
Ainsi, l'tude d'un organisme entier traitera de ses principaux processus ou domaines d'activits, alors
que l'tude d'un systme informatique en dveloppement ncessitera de recenser les principaux flux
d'information concerns, voire chaque champ d'une base de donnes.
Par ailleurs, il est important de bien comprendre les relations fonctionnelles entre les biens essentiels.
Il est donc souhaitable de les dcrire, par exemple sous la forme de modles de flux.
Enfin, chaque bien essentiel doit tre "rattach" un dpositaire nommment ou fonctionnellement
identifi. C'est ce dpositaire qui est cens tre responsable de ses biens essentiels, des risques
pesant sur ceux-ci et qui sera le plus lgitime pour exprimer leurs besoins de scurit.
Conseils

Comme leur nom l'indique, il s'agit de recenser les biens rellement "essentiels" et non de
raliser un recensement exhaustif. Dix ou quinze biens essentiels, suffisamment
reprsentatifs, permettent ainsi de rduire le travail de la suite de l'tude un volume
ncessaire et suffisant.
Il est possible de partir d'un recensement relativement exhaustif pour ensuite slectionner un
sous-ensemble de biens essentiels.
Un bien essentiel, dont les besoins de scurit varieront dans le temps peut tre utilement
scind en plusieurs biens essentiels (ex : une rponse un appel d'offres, avant ou aprs, de
rpondre l'appel d'offres, pourra tre dcompos en deux biens essentiels distincts)
La slection devrait tre effectue par un groupe de travail htrogne et reprsentatif du
primtre de l'tude (responsables, informaticiens et utilisateurs).
Des schmas simples sont trs utiles la comprhension de toutes les parties prenantes.
Page 41 sur 95
ANSSI/ACE/BAC
Exemple
Dans le cadre du sujet d'tude, le cabinet @RCHIMED a retenu les processus suivants en tant que
biens essentiels :
Processus essentiels
tablir les devis (estimation du
cot global d'un projet,
ngociations avec les clients)
Crer des plans et calculer les

structures
Crer des visualisations
Grer le contenu du site Internet
Informations essentielles concernes

Cahier des charges
Catalogues techniques
Contrat (demande de ralisation)
Devis
Dossier technique d'un projet
Paramtres techniques (pour les calculs
de structure)
Plan technique
Rsultat de calcul de structure
Dossier technique d'un projet
Visualisation 3D
Informations
socit
(contacts,
prsentation)
Exemple de devis
Exemple de visualisation 3D
Page Web

Page 42 sur 95
Dpositaires
Service commercial
Bureau d'tudes
Bureau d'tudes
Directeur adjoint
ANSSI/ACE/BAC
Action 1.3.2. Identifier les biens supports, leurs relations et leurs propritaires
Description
Cette action consiste prendre connaissance des composants du systme d'information, qu'il s'agisse
de biens techniques ou non techniques, supports aux biens essentiels prcdemment identifis. On
note que ces biens supports possdent des vulnrabilits que des sources de menaces pourront
exploiter, portant ainsi atteinte aux biens essentiels.
L'identification des biens supports ne peut se faire que lorsque ceux-ci sont connus. Ainsi, lors des
phases prliminaires du cycle de vie d'un projet, il n'est pas possible de les recenser, puisqu'ils ne
sont pas encore spcifis. En revanche, cela devient progressivement possible mesure que l'on
affine les spcifications et la connaissance concrte du primtre de l'tude.
Le niveau de dtail des biens supports peut galement varier selon les objectifs de l'tude. Ainsi, une
tude rapide destine donner les grandes orientations en matire de scurit de l'information sera
trs peu dtaille pour cette action (un rseau, un site, une organisation), alors qu'une tude
prcise et exhaustive destine dmontrer relativement formellement que tous les risques ont t
grs sur un systme critique ncessitera un niveau de dtail beaucoup plus important (telle version
de tel systme d'exploitation, tel type de personnel, telle pice dans les btiments).
cet effet, les bases de connaissances de la mthode proposent une liste gnrique que l'on peut
directement utiliser ou que l'on peut ajuster.
En outre, il est important de bien comprendre les relations entre les biens supports. Il est donc
souhaitable de les dcrire, par exemple en prcisant les inclusions, les interconnexions Ceci
permettra d'tudier les possibles phnomnes de propagation d'incident ou de sinistre.
Une fois les biens supports identifis, il convient de "rattacher" un propritaire pour chacun d'eux,
nommment ou fonctionnellement identifi. En effet, la personne qui en a la responsabilit sera sans
doute la plus mme d'analyser ses vulnrabilits et celle qui sera garante de l'application de
mesures de scurit.
Conseils

Commencer par recenser les grands types de biens supports et n'affiner le niveau de dtail
qu'en cas de besoin, ou bien les affiner mais ne retenir pour la suite de ltude quun nombre
raisonnable de biens supports.
Il peut tre parfois utile de dcrire les biens supports afin d'liminer les ambiguts ou
d'expliciter la diffrence par rapport aux autres biens supports.
Recenser les biens supports partir des biens essentiels permet de ne considrer que les
biens supports rellement dans le primtre du primtre de l'tude.
Des schmas simples sont trs utiles la comprhension de toutes les parties prenantes.
Page 43 sur 95
ANSSI/ACE/BAC
Exemple
Sans les dtailler dans un premier temps, @RCHIMED a retenu les biens supports suivants :
en interne :
o SYS Rseau interne,
o SYS Sous rseau Ethernet,
o SYS Sous rseau Wifi,
o ORG Organisation du cabinet,
o LOC Locaux du cabinet ;
en interface :
o SYS Systme de l'hbergeur (Internet et par courrier lectronique),
o ORG Hbergeur (par courrier papier),
o SYS Internet (pour des accs distants et le courrier lectronique),
o ORG Partenaire (cotraitants btiment, clients).
Le schma suivant dcompose ces biens supports et les positionne les uns par rapport aux autres :
Page 44 sur 95
ANSSI/ACE/BAC
Action 1.3.3. Dterminer le lien entre les biens essentiels et les biens supports
Description
Cette action consiste dterminer le lien entre les biens essentiels et les biens supports. Ceci
permettra de rvler la criticit de ces derniers, ainsi que les risques vritables pesant sur le primtre
de l'tude.
Pour ce faire, il suffit de se demander sur quels biens supports, parmi ceux identifis dans l'action
prcdente, repose chaque bien essentiel. On s'interroge ainsi sur les biens supports qui vont stocker
ou traiter les biens essentiels, un moment ou un autre de leur cycle de vie.
Conseils
Exemple
Le tableau suivant prsente les biens supports et leurs liens avec les biens essentiels :
Biens essentiels
Biens supports
Biens supports communs @RCHIMED
SYS Rseau interne
MAT Serveur rseau et fichiers
LOG Serveurs logiciels du rseau interne
MAT Disque USB
MAT BOX Wifi
MAT Commutateur
MAT PABX (commutateur tlphonique)
MAT Tlphone fixe
MAT Tlphone portable
RSX Canaux informatiques et de tlphonie
ORG Organisation du cabinet
PER Utilisateur
PER Administrateur informatique
PAP Support papier
CAN Canaux interpersonnels
LOC Locaux du cabinet
Biens supports spcifiques au bureau dtudes
SYS Sous rseau Ethernet
MAT Ordinateur de design
LOG MacOS X
LOG ARC+ (visualisation)
LOG Pagemaker (PAO)
LOG Suite bureautique et de messagerie
MAT Ordinateur de calcul et de cration
Page 45 sur 95
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Crer des plans et

calculer les structures
Crer des
visualisations
Grer le contenu du
site Internet
Un simple tableau crois entre les biens essentiels et les biens supports permet de
reprsenter le lien entre les deux.
tablir les devis
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
ANSSI/ACE/BAC
Action 1.3.4. Identifier les mesures de scurit existantes
Description
Cette action consiste recenser l'ensemble des mesures de scurit existantes sur les biens supports
ou d'ores et dj prvues.
Pour chaque bien support identifi, il convient de s'interroger sur l'existence de mesures de scurit.
Ces mesures peuvent tre techniques ou non techniques (produit de scurit logique ou physique,
configuration particulire, mesures organisationnelles ou humaines, rgles, procdures).
Chaque mesure de scurit peut utilement tre catgorise selon la ligne de dfense (prventive,
protectrice ou rcupratrice) laquelle elle appartient. Cela facilitera ultrieurement la dtermination
des mesures de scurit en appliquant une dfense en profondeur.
Conseils

Exemple
Bien support
sur lequel elle repose
Mesure de scurit
Accord sur le niveau de service

de l'hbergeur
Activation dune alarme antiintrusion durant les heures de
fermeture
Consignes de fermeture clef
des locaux
Dispositifs de lutte contre
lincendie
Climatisation
Contrat de maintenance
informatique (intervention sous
4h)
Alimentation secourue
Installation dun antivirus sous
Windows XP
Sauvegarde hebdomadaire sur
des disques USB stocks dans
une armoire fermant clef
Activation du WPA2
Accs restreint en entre
(messagerie, services WEB)
Contrle d'accs par mot de
passe sous Windows XP
Assurance multirisque
professionnelle et sur les
matriels informatiques
Thme ISO 27002
6.2. Tiers
9.1. Zones scurises
9.1. Zones scurises
9.1. Zones scurises
9.2. Scurit du matriel

10.4. Protection contre les codes
malveillant et mobile
LOG Windows XP
MAT Disque USB
MAT Commutateur
MAT Commutateur
LOG Windows XP
X
X
X
X
X
10.5. Sauvegarde
10.6. Gestion de la scurit des
rseaux
10.6. Gestion de la scurit des
rseaux
11.5. Contrle daccs au systme
dexploitation
14.1. Aspects de la scurit de
linformation en matire de gestion
de la continuit de lactivit
Page 46 sur 95
Rcupration
@RCHIMED a recens les mesures de scurit existantes suivantes :
Protection
Cette action s'enrichit gnralement au fur et mesure de l'avancement de l'tude.

L'identification de mesures de scurit existantes permet souvent de mettre en vidence des
biens supports que l'on n'avait pas prcdemment identifis.
Il est souvent plus facile de relever les mesures existantes telles qu'elles sont exprimes par
les parties prenantes et d'investiguer ensuite pour les prciser et les catgoriser (ligne de
dfense et bien support).
Prvention
X
X
X
X
X
ANSSI/ACE/BAC

Ce module a pour objectif d'identifier de manire
systmatique les scnarios gnriques que l'on
souhaite viter concernant le primtre de l'tude : les
vnements redouts. Les rflexions sont menes
un niveau davantage fonctionnel que technique (sur
des biens essentiels et non sur des biens supports).
Il permet tout d'abord de faire merger tous les
vnements redouts en identifiant et combinant
chacune de leurs composantes : on estime ainsi la
valeur de ce que l'on souhaite protger (les besoins
de scurit des biens essentiels), on met en vidence
les sources de menaces auxquelles on est confront
et les consquences (impacts) des sinistres. Il est
alors possible d'estimer le niveau de chaque
vnement redout (sa gravit et sa vraisemblance).
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
Il permet galement de recenser les ventuelles

mesures de scurit existantes et d'estimer leur effet en r-estimant la gravit des vnements
redouts, une fois les mesures de scurit appliques.
l'issue de ce module, les vnements redouts sont identifis, explicits et positionns les uns par
rapport aux autres, en termes de gravit et de vraisemblance.
Le module comprend une activit :
Activit 2.1 Apprcier les vnements redouts
Page 47 sur 95
ANSSI/ACE/BAC
Activit 2.1 Apprcier les vnements redouts

Objectif
Cette activit fait partie de l'apprciation des risques. Elle a pour but de faire merger et de
caractriser les vnements lis la scurit de l'information que l'organisme redoute, sans tudier la
manire dont ceux-ci peuvent arriver. Elle permet galement de fournir les lments ncessaires au
choix de traitement des risques affrents et la dfinition des priorits de traitement.
Avantages

Permet aux parties prenantes de comparer objectivement l'importance des biens essentiels et
de prendre conscience des vritables enjeux de scurit
Permet d'tudier un primtre sans dtailler les biens supports et les scnarios envisageables
Permet de hirarchiser les vnements redouts, voire d'en carter de la suite de l'tude
Donnes d'entre
A
R
C
C
R
C
Propritaire
Dpositaire

Actions :
Action 2.1.1. Analyser tous les vnements redouts
Action 2.1.2. valuer chaque vnement redout
Autorit
Parties prenantes :
Risk manager
RSSI
Critres de scurit
Biens essentiels
chelles de mesures
Typologie d'impacts
Sources de menaces
Responsable

Donnes produites
vnements redouts

Les donnes sont obtenues sur la base d'changes entre les parties prenantes
Les besoins peuvent tre exprims par plusieurs personnes qui ne donneront pas forcment
les mmes rponses ; il convient alors de confronter les arguments, de les collecter et
d'obtenir un consensus qui peut ncessiter la dcision d'une autorit
Les vnements redouts peuvent tre prsents sous la forme d'exemples d'vnements
redouts hirarchiss, d'arbres d'impacts ou de fiches dtailles (bien essentiel, critre de
scurit, besoins de scurit, sources de menaces, impacts, gravit)

Les vnements redouts sont comparables les uns aux autres

ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits)
Les rsultats sont justifis (sources externes, littrature, tudes, normes, cadres
oprationnels, pratiques exemplaires, bases de connaissances)
Les rsultats refltent lexprience des participants ou le contexte avec crdibilit
Des descriptions riches et respectant la ralit sont illustres clairement et avec verve
Les critres de gestion sont utiliss de faon cohrente avec les limites des chelles utilises
Des chelles de mesures identiques sont utilises
Lorsque des rsultats sont convertis, les choix sont justifis et valids
Lanalyse des donnes recueillies et des rsultats ne dnature pas le sens de l'information
L'interprtation des personnes ralisant l'tude s'accorde avec les donnes recueillies
Les rsultats obtenus l'aide des critres de gestion des risques sont discuts
Page 48 sur 95
ANSSI/ACE/BAC
Action 2.1.1. Analyser tous les vnements redouts
Description
Cette action consiste identifier et estimer les vnements redouts pour chaque critre de scurit
et chaque bien essentiel identifi. On va ainsi faire merger les besoins de scurit des biens
essentiels, les impacts encourus au cas o ils ne seraient pas respects et les sources de menaces
susceptibles d'en tre l'origine, et leur attribuer un niveau de gravit.
Pour mener bien cette activit, un groupe de travail htrogne et reprsentatif du primtre de
l'tude (responsable du primtre de l'tude, dpositaires des biens essentiels, experts mtiers) est
constitu.
Pour chaque critre de scurit de chaque bien essentiel, le but est de dfinir le besoin de scurit,
les impacts occasionns par son non-respect et les sources de menaces susceptibles d'en tre
l'origine. Ces vnements redouts sont obtenus en questionnant les parties prenantes sur ce qu'elles
craignent et en approfondissant la rflexion jusqu' ce que tous les lments aient t formuls.
Bien que l'on puisse raliser cette action de manire squentielle (expression des besoins de scurit,
puis identification des impacts, et enfin identification des sources de menaces), la rflexion est
gnralement mene globalement. En effet, il semble plus naturel de s'interroger sur tous les
lments constitutifs d'un mme vnement redout (besoins de scurit, impacts et sources de
menaces) pour ensuite dvelopper chaque autre vnement redout, et par ailleurs, les parties
prenantes ne rpondent pas forcment aux questions dans un ordre squentiel, du fait de
l'interprtation qu'elles peuvent faire des diffrents concepts (besoin, impact, source, vnement
redout).
D'une manire gnrale, il est recommand :
d'exprimer les besoins de scurit de chaque bien essentiel en choisissant la valeur limite
acceptable de chaque chelle de besoins dfinie ;
d'identifier, pour chaque besoin de scurit exprim et pour chaque type d'impact (d'aprs
une typologie), des exemples d'impacts survenant par le non-respect du besoin de scurit ;
d'identifier, pour chaque besoin de scurit exprim et pour chaque type de sources de
menace (d'aprs une typologie), des exemples de sources de menaces susceptibles d'tre
l'origine du non respect du besoin de scurit.
Concernant les besoins de scurit, les parties prenantes devraient tre invites choisir un niveau
sur chaque chelle de besoins pour chaque bien essentiel.
Pour ce faire, on peut par exemple leur demander partir de quel niveau :
le bien essentiel n'est plus conforme la qualit attendue, ou
elles ne peuvent plus exercer leur mtier dans de bonnes conditions.
Il s'agit de besoins exprims au regard des processus mtiers. Ils sont indpendants des risques
encourus et des moyens de scurit mis en uvre. Ils reprsentent donc une valeur intrinsque de la
sensibilit des biens essentiels.
Si un bien essentiel a des besoins qui varient dans le temps, il est recommand dtudier sparment
ses diffrents tats comme sil sagissait dautant de biens essentiels.
Quand les parties prenantes sont interroges sparment, une synthse devrait tre tablie pour
harmoniser les diffrents points de vue. Cette opration devrait tre effectue par des personnes
disposant d'une vision globale des biens essentiels. Un consensus peut alors tre obtenu par
expression des argumentaires de chacun, suivie d'un arbitrage. Dans le cas o des divergences trop
importantes apparatraient, il peut tre ncessaire de demander aux parties prenantes de justifier
davantage leurs valeurs, voire de les reconsidrer.
Concernant les impacts, les parties prenantes devraient expliquer les consquences possibles du
non-respect de chaque besoin de scurit exprim.
Page 49 sur 95
ANSSI/ACE/BAC
On peut y parvenir en leur demandant :

ce qui peut concrtement arriver si le besoin de scurit n'est pas respect, ou
ce qui est dfinitivement perdu ou plus rattrapable si la limite est dpasse.
Pour ce faire, il convient d'identifier les types d'impacts pertinents dans le contexte du sujet tudi.
Les bases de connaissances de la mthode proposent une liste gnrique que l'on peut directement
utiliser ou dans laquelle on peut slectionner des types d'impacts. Ces impacts sont proposs titre
indicatif, le groupe de travail peut proposer les plus significatifs pour l'organisme et les adapter
prcisment l'organisme. Les rsultats prcdents pourront tre utiliss pour le choix de ces types
d'impacts. On retiendra la remise en cause des missions, du mtier ou des valeurs de l'organisme,
comme des impacts significatifs. Afin de rendre les impacts plus objectifs, il est utile de fournir des
exemples explicites en termes de consquences envisageables.
Les types d'impacts ainsi dfinis permettent de pousser les parties prenantes envisager des
consquences de diffrentes natures, auxquelles elles n'auraient peut-tre pas song.
Si les impacts identifis sont finalement jugs comme acceptables, cela peut signifier que le besoin de
scurit exprim a t surestim. Il convient ds lors de reprendre le questionnement avec un niveau
infrieur de l'chelle de besoins correspondante.
Il est galement possible de constituer des arbres pour reprsenter enchanements d'impacts :
pour chaque besoin de scurit exprim et pour chaque type d'impact, rechercher les impacts
directs en se posant la question suivante : que se passerait-il dans le domaine de ce type
d'impact si le besoin de scurit n'tait pas respect ?
rechercher les ventuels impacts induits en se posant la question suivante pour chaque
impact direct : que se passerait-il si cet impact arrivait ? puis rechercher les ventuels impacts
induits, consquences de chaque impact induit, et ainsi de suite
arrter l'inventaire quand les mmes impacts reviennent plusieurs fois et que ceux-ci
correspondent des critres, croyances ou lments de cultures fort(e)s ;
si possible, vrifier sur le terrain ou sur la base d'expriences vcues la ralit et le poids
relatif de chaque impact identifi.
Concernant les sources de menaces, les parties prenantes doivent slectionner, parmi celles qui ont
t retenues, celles qui peuvent tre l'origine de chaque vnement redout et les illustrer par des
exemples concrets.
Pour estimer la gravit des vnements redouts au cas o ceux-ci se raliseraient, il convient
d'attribuer un niveau de gravit chaque vnement redout en utilisant l'chelle de gravit dfinie.
L'estimation est faite au regard :
de la valeur du bien essentiel considr,
de la hauteur et du nombre des impacts identifis.
Elle ne doit pas tenir compte des ventuelles mesures de scurit existantes.
Il convient finalement d'examiner les rsultats obtenus afin de mettre en vidence et de rsoudre les
ventuelles incohrences entre leurs besoins de scurit, leurs impacts, leurs sources de menaces et
leurs niveaux de gravit. l'issue, chaque vnement redout peut tre compar aux autres. Les
valeurs doivent tre cohrentes les unes par rapport aux autres.
Il est ainsi possible d'ajuster les rsultats obtenus en vrifiant :
la corrlation ventuelle entre les diffrents vnements redouts (des biens essentiels
peuvent avoir des dpendances les uns par rapports aux autres) ;
l'importance relative des besoins de scurit entre les diffrents vnements redouts ;
le niveau de dtail des libells des exemples (qui devraient tre harmoniss).
Cette action ne doit pas tre nglige car elle permet d'accrotre la cohrence de l'tude, sa qualit et
son ralisme, la facilit de validation, la comprhension et l'adhsion des parties prenantes.
Conseils

Le point de vue des parties prenantes devrait tre justifi par des commentaires.
Les illustrations concrtes (impacts et sources de menaces) sont prfres aux gnralits.
Il peut tre utile de formuler les vnements redouts sous la forme de scnarios narratifs.
Cette forme peut tre mieux comprise et accepte de la part des parties prenantes.
Considrer tous les types d'impacts des bases de connaissances pour pousser les parties
prenantes envisager des impacts auxquels ils n'auraient peut-tre pas song.
S'assurer que les termes sont bien compris par les parties prenantes et les ajuster si besoin.
Pour que la traabilit des choix effectus soit la plus claire possible, il est possible de
transformer les vnements redouts non retenus en hypothses.
Faire estimer la gravit par les parties prenantes, leur prsenter l'ensemble des rsultats
Page 50 sur 95
ANSSI/ACE/BAC
collects et les ajuster de faon reflter leur point de vue.

Cette action peut utilement permettre de revoir ou d'enrichir les besoins de scurit, les
sources de menaces et les impacts.
Exemple
Chaque ligne du tableau suivant reprsente un vnement redout par le cabinet @RCHIMED (bien
essentiel, critre de scurit, besoin de scurit selon les chelles de besoin, sources de menaces et
impacts). La gravit de chaque vnement redout est estime (cf. chelle de gravit) sans tenir
compte des mesures de scurit existantes.
vnement redout
Besoin de
scurit
Sources de menaces
Impacts
Gravit
tablir les devis

Indisponibilit de devis
24-72h
Employ peu srieux

Incendie des locaux
Panne lectrique
Altration de devis
Intgre
Employ peu srieux
Compromission de
devis
Limit
Employ peu srieux

Concurrent

Crer des plans et calculer les structures

Indisponibilit de plans

ou de calculs de
24-72h
structures

Employ peu srieux

Virus non cibl
(soudoy)
Personnels de
maintenance
Panne lectrique
Altration de plans ou
de calculs de
structures
Compromission de
plans ou calculs de
structures
Impossibilit de signer un contrat

Perte d'un march
Perte de crdibilit
Impossibilit de signer un contrat
Perte d'un march
Impossibilit de remplir les
obligations lgales
Perte de crdibilit
Perte d'un march
Action en justice l'encontre du
cabinet
Perte de crdibilit
Perte de crdibilit
2. Limite
3. Importante
3. Importante
2. Limite
Intgre
Employ peu srieux

Concurrent
Limit
Employ peu srieux

(soudoy)
Personnels de
maintenance

obligations lgales
Perte de crdibilit
Action en justice l'encontre du
cabinet
Perte de notorit
Mise en danger (btiment qui
scroule)
Perte d'un march
Perte de crdibilit
Perte de notorit
obligations lgales (si contractuel)
24-72h

Employ peu srieux

Virus non cibl
Incendie des locaux
Panne lectrique
Bouche oreille ngatif

Perte de crdibilit
Perte de notorit
2. Limite
Employ peu srieux

Perte de crdibilit
Perte de notorit
2. Limite
1. Ngligeable
4. Critique
3. Importante
Crer des visualisations

Indisponibilit de
visualisations
Altration de
visualisations
Dtectable
Compromission de
Public
visualisations
Grer le contenu du site Internet
Indisponibilit du site
Internet
Altration du contenu
du site Internet
Compromission du
contenu du site
Internet
24-72h
Matris
Public

-
Employ peu srieux

Virus non cibl
Concurrent
Script-kiddies
Panne lectrique
Hbergeur
Employ peu srieux
Virus non cibl
Concurrent
Script-kiddies
Hbergeur

Page 51 sur 95
Perte de crdibilit
Perte de notorit
Perte de crdibilit
Perte de notorit
Perte d'un march ou de
clientle
2. Limite
3. Importante
1. Ngligeable
ANSSI/ACE/BAC
Action 2.1.2. valuer chaque vnement redout
Description
Cette action consiste juger de l'importance des vnements redouts en les hirarchisant selon les
critres de gestion des risques retenus.
Il convient essentiellement de fournir les lments ncessaires pour dcider de dvelopper ou non
l'tude concernant chaque vnement redout, de traiter ou non les risques affrents et de prioriser la
mise en uvre de leur traitement.
Pour ce faire, on peut positionner chaque vnement redout dans un tableau selon leur gravit.
Dans ce cas, on utilise gnralement un libell court et explicite, refltant l'atteinte d'un critre de
scurit d'un bien essentiel, pour chaque vnement redout.
Certains vnements redouts peuvent tre carts de la suite de l'tude si les critres de gestion des
risques retenus le prvoient (par exemple, si la gravit est trs faible). Il est important d'expliquer
pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude et constituent
ainsi des vnements redouts non traits. Cette opration doit donc tre dment justifie.
Conseils

La reprsentation par gravit permet de visualiser le positionnement des vnements

redouts les uns par rapport aux autres.
Certains vnements redouts peuvent ventuellement tre carts de la suite de l'tude si
les critres de gestion des risques retenus le prvoient (par exemple, si le niveau des besoins
de scurit ou la gravit est trs faible). Qu'ils soient jugs improbables, jugs sans
consquence, traits par ailleurs, ultrieurement ou volontairement carts, il est important
d'expliquer pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de
l'tude bien qu'ils puissent tre l'origine de risques pour l'organisme. Cette opration doit
donc tre dment justifie.
Exemple
L'importance relative des vnements redouts prcdemment analyss (identifis et estims) est
value l'aide du tableau suivant (cf. critres de gestion des risques) :
Gravit
vnements redouts
4. Critique
Altration de plans ou de calculs de structures
3. Importante

Altration de devis
Compromission de plans ou calculs de structures
Compromission de devis
Altration du contenu du site Internet
2. Limite

Indisponibilit de visualisations
Altration de visualisations
Indisponibilit de plans ou de calculs de structures
Indisponibilit du site Internet
1. Ngligeable

Compromission de visualisations
Compromission du contenu du site Internet
Page 52 sur 95
ANSSI/ACE/BAC

Ce module a pour objectif d'identifier de manire
systmatique les modes opratoires gnriques qui
peuvent porter atteinte la scurit des informations
du primtre de l'tude : les scnarios de menaces.
Les rflexions sont menes un niveau davantage
technique que fonctionnel (sur des biens supports et
non plus des biens essentiels).
Il permet tout d'abord de faire merger tous les
scnarios de menaces en identifiant et combinant
chacune de leurs composantes : on met ainsi en
vidence les diffrentes menaces qui psent sur le
primtre de l'tude, les failles exploitables pour
qu'elles se ralisent (les vulnrabilits des biens
supports), et les sources de menaces susceptibles de
les utiliser. Il est ainsi possible d'estimer le niveau de
chaque scnario de menace (sa vraisemblance).
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
Il permet galement de recenser les ventuelles mesures de scurit existantes et d'estimer leur effet
en r-estimant la vraisemblance des scnarios de menaces, une fois les mesures de scurit
appliques.
l'issue de ce module, les scnarios de menaces sont identifis, explicits et positionns les uns par
rapport aux autres en termes de vraisemblance.
Le module comprend une activit :
Activit 3.1 Apprcier les scnarios de menaces
Page 53 sur 95
ANSSI/ACE/BAC
Activit 3.1 Apprcier les scnarios de menaces

Objectif
Cette activit fait partie de l'apprciation des risques. Elle a pour but d'identifier les diffrentes
possibilits d'actions sur les biens supports, afin de disposer d'une liste complte de scnarios de
menaces. Elle permet galement de fournir les lments ncessaires au choix de traitement des
risques affrents et la dfinition des priorits de traitement.
Avantages

Permet aux parties prenantes de raliser la diversit des menaces et de comparer

objectivement la faisabilit des modes opratoires
Permet de garantir une exhaustivit de la rflexion sur les menaces et les vulnrabilits
Permet de s'adapter aux connaissances dont on dispose sur le primtre de l'tude
Permet de hirarchiser les scnarios de menaces, voire d'en carter de la suite de l'tude
Donnes d'entre

C
C
Propritaire
A
A
Dpositaire
Actions :
Action 3.1.1. Analyser tous les scnarios de menaces
Action 3.1.2. valuer chaque scnario de menace
Autorit
Parties prenantes :
Risk manager
RSSI
Critres de scurit
Biens supports
chelles de mesures
Typologie de menaces et des vulnrabilits
Sources de menaces
Responsable

R
C
Donnes produites
Scnarios de menaces

Les scnarios de menaces peuvent tre prsents sous la forme d'exemples de scnarios
hirarchiss, d'arbres de menaces ou de fiches dtailles (bien support, critre de scurit,
sources de menaces, vraisemblance, menaces, vulnrabilits et pr-requis)

Les scnarios de menaces sont comparables les uns aux autres

ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits
dans la mme rgion, le mme pays, le mme continent ou l'internationale)
Les rsultats sont justifis de manire explicite et, si possible, bass sur des lments
factuels (donnes historiques, frquence des sinistres, non-pertinence)
Les rsultats refltent lexprience des participants ou le contexte avec crdibilit
Des chelles de mesures identiques et comparables sont utilises pour tous les scnarios
Les critres de gestion sont utiliss de faon cohrente en considrant les limites des chelles
La conversion de rsultats (ex. : en valeurs numriques) est justifie et valide
Lanalyse des donnes recueillies et des rsultats ne dnature pas le sens de l'information
Les rsultats obtenus l'aide des critres de gestion des risques sont discuts
Page 54 sur 95
ANSSI/ACE/BAC
Action 3.1.1. Analyser tous les scnarios de menaces
Description
Cette action consiste identifier les scnarios de menaces pour chaque critre de scurit et chaque
bien support identifi et les estimer en termes de vraisemblance.
Les scnarios de menaces sont obtenus en questionnant les parties prenantes sur ce qu'elles savent
et en approfondissant la rflexion jusqu' ce que tous les lments aient t formuls.
D'une manire gnrale, il est recommand d'identifier ensemble tous les lments qui composent les
scnarios de menaces :
les menaces qui pourraient se concrtiser ;
les vulnrabilits exploitables sur les biens supports ;
les sources de menaces susceptibles d'en tre l'origine.
Pour mener bien cette action, il convient tout d'abord de choisir une typologie de menaces. cet
effet, les bases de connaissances de la mthode proposent une liste gnrique que l'on peut
directement utiliser ou que l'on peut ajuster. Cette typologie doit aider les parties prenantes
envisager des vnements auxquels elles n'auraient peut-tre pas song, et ce, dans leur contexte
particulier.
Au sein des menaces retenues, on ne slectionne que celles qui touchent le critre de scurit et le
bien support considrs. On peut galement carter les menaces que l'on estime inapplicables ou que
l'on ne souhaite pas tudier. Cela signifie que des risques ne seront pas apprcis. Il convient donc
de justifier cette opration.
Il est galement possible de constituer des arbres pour reprsenter enchanements de menaces :
pour chaque critre de scurit et pour chaque bien support, rechercher les menaces directes
en se posant la question suivante : que peut-il se passer sur ce bien support pour que ce
critre de scurit soit touch ?
rechercher les menaces qui devraient tre ralises pour que les menaces se ralisent en se
posant la question suivante pour chaque menace directe : quelles sont les menaces qui
requises au pralable pour que cette menace puisse se raliser ? puis rechercher les
ventuelles menaces requises pour que chaque menace requise se ralise, et ainsi de suite
arrter l'inventaire quand les mmes menaces reviennent plusieurs fois et que celles-ci
convergent vers des sources de menaces ;
si possible, vrifier sur le terrain ou sur la base d'expriences vcues la ralit et le poids
relatif de chaque menace identifie.
Pour chaque bien support et chaque menace slectionne, on dtermine les vulnrabilits qui
peuvent tre exploites pour que la menace se ralise. Les bases de connaissances de la mthode
proposent une typologie de vulnrabilits que l'on peut directement utiliser ou que l'on peut ajuster. Le
nombre et le niveau de dtail des vulnrabilits dpendent de l'objectif de l'tude et des livrables
attendus.
Les sources de menaces doivent tre slectionnes parmi celles retenues. Il convient de ne retenir
que celles qui peuvent tre l'origine des diffrents scnarios de menaces et de les illustrer par des
exemples concrets.
Pour estimer la vraisemblance des scnarios de menaces, il convient d'attribuer un niveau chaque
scnario de menace en utilisant l'chelle de vraisemblance dfinie. L'estimation est essentiellement
faite au regard :
de lexistence plus ou moins avre et de la facilit dexploitation des vulnrabilits identifies,
de lexposition aux menaces considres,
de lexposition et du potentiel des sources de menaces identifies.
Elle ne doit pas tenir compte des ventuelles mesures de scurit existantes.
Page 55 sur 95
ANSSI/ACE/BAC
Il convient finalement d'examiner les scnarios de menaces dans leur ensemble afin de mettre en
vidence et de rsoudre les ventuelles incohrences entre leurs menaces, leurs biens supports et
leurs vulnrabilits, leurs sources de menaces et leurs niveaux de vraisemblance. l'issue, chaque
scnario de menace peut tre compar aux autres : les valeurs doivent tre cohrentes les unes par
rapport aux autres.
Il est ainsi possible d'ajuster les rsultats obtenus en vrifiant :
la corrlation ventuelle entre les diffrents scnarios de menaces (des biens supports
peuvent avoir des dpendances les uns par rapports aux autres) ;
le niveau de dtail des libells des exemples (qui devraient tre harmoniss).
Cette action ne doit pas tre nglige car elle permet d'accrotre la cohrence de l'tude, sa qualit et
son ralisme, la facilit de validation, la comprhension et l'adhsion des parties prenantes.
Conseils

Le point de vue des parties prenantes devrait tre justifi par des commentaires.
Les illustrations concrtes (menaces, vulnrabilits et sources de menaces) sont prfres
aux gnralits.
Il peut tre utile de formuler les scnarios de menaces sous la forme de scnarios narratifs.
Cette forme peut tre mieux comprise et accepte de la part des parties prenantes.
S'assurer que les termes sont bien compris par les parties prenantes et les ajuster si besoin.
Pour que la traabilit des choix effectus soit la plus claire possible, il est possible de
transformer les scnarios de menaces non retenus en hypothses.
Faire estimer la vraisemblance par les parties prenantes, leur prsenter l'ensemble des
rsultats collects et les ajuster de faon reflter leur point de vue.
Cette action peut utilement permettre de revoir ou d'enrichir les menaces, les vulnrabilits et
les sources de menaces.
Exemple
Les pages suivantes prsentent les scnarios de menaces potentiellement ralisables dans le cadre
du sujet de l'tude.
Les sources de menaces susceptibles d'en tre l'origine sont identifies et la vraisemblance de
chaque scnario de menace est estime (cf. chelle de vraisemblance).
Le dtail des scnarios de menaces (menaces, vulnrabilits et pr-requis) est dcrit dans les bases
de connaissances de la mthode EBIOS.
Scnarios de menaces
Sources de menaces
Vraisemblance
SYS Rseau interne
Menaces sur le rseau interne causant une indisponibilit
Menaces sur le rseau interne causant une altration
Menaces sur le rseau interne causant une compromission

Employ peu srieux

Script-kiddies
Virus non cibl
Incendie des locaux
Panne lectrique
Phnomne naturel (foudre, usure)
Employ peu srieux
Script-kiddies
Virus non cibl
Employ peu srieux
Script-kiddies

Employ peu srieux

Script-kiddies
Virus non cibl
Incendie des locaux
Panne lectrique
Employ peu srieux
Script-kiddies
Virus non cibl
Employ peu srieux
3. Forte
2. Significative
2. Significative
SYS Sous rseau Ethernet
Menaces sur le sous rseau Ethernet causant une

indisponibilit
Menaces sur le sous rseau Ethernet causant une altration

Menaces sur le sous rseau Ethernet causant une
compromission
Page 56 sur 95
3. Forte
2. Significative
2. Significative
ANSSI/ACE/BAC
Scnarios de menaces
Sources de menaces
Vraisemblance
Script-kiddies

Employ peu srieux

Script-kiddies
Virus non cibl
Incendie des locaux
Panne lectrique
Employ peu srieux
Script-kiddies
Virus non cibl
Employ peu srieux
Script-kiddies

Employ peu srieux

Maladie
Employ peu srieux
Concurrent (en visite incognito)
Employ peu srieux
Cotraitant
Client

Hbergeur
Script-kiddies
Virus non cibl
Panne lectrique
Hbergeur
Script-kiddies
Virus non cibl
Concurrent
Client
Partenaire

Hbergeur
Hbergeur
Hbergeur
2. Significative
2. Significative
1. Minime
Fournisseur d'accs Internet

Script-kiddies
Script-kiddies
Concurrent
2. Significative
1. Minime
Menaces sur Internet causant une compromission

ORG Partenaire
Menaces sur un partenaire causant une indisponibilit
Menaces sur un partenaire causant une altration
Menaces sur un partenaire causant une compromission

Partenaire
Partenaire
Partenaire
SYS Sous rseau Wifi
Menaces sur le sous rseau Wifi causant une indisponibilit
Menaces sur le sous rseau Wifi causant une altration
Menaces sur le sous rseau Wifi causant une compromission
3. Forte
3. Forte
3. Forte

Menaces sur lorganisation d'@RCHIMED causant une
indisponibilit
altration

compromission
2. Significative
1. Minime
4. Maximale
SYS Systme de l'hbergeur

Menaces sur le systme de l'hbergeur causant une
indisponibilit
Menaces sur le systme de l'hbergeur causant une altration

Menaces sur le systme de l'hbergeur causant une
compromission
ORG Hbergeur
Menaces sur l'hbergeur causant une indisponibilit
Menaces sur l'hbergeur causant une altration
Menaces sur l'hbergeur causant une compromission
SYS Internet
Menaces sur Internet causant une indisponibilit
Menaces sur Internet causant une altration
Page 57 sur 95
4. Maximale
3. Forte
4. Maximale
2. Significative
3. Forte
1. Minime
4. Maximale
ANSSI/ACE/BAC
Action 3.1.2. valuer chaque scnario de menace
Description
Cette action consiste juger de l'importance des scnarios de menaces en les hirarchisant selon les
critres de gestion des risques retenus.
Il convient essentiellement de fournir les lments ncessaires pour dcider de traiter ou non les
risques affrents et de prioriser la mise en uvre de leur traitement.
Pour ce faire, on peut positionner chaque scnario de menace dans un tableau tri selon leur
vraisemblance. Dans ce cas, on utilise gnralement un libell court et explicite, refltant l'atteinte
d'un critre de scurit par un bien support, pour chaque scnario de menace.
Certains scnarios de menaces peuvent tre carts de la suite de l'tude si les critres de gestion
des risques retenus le prvoient (par exemple, si la vraisemblance est trs faible). Il est important
d'expliquer pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude et
constituent ainsi des scnarios de menaces non traits. Cette opration doit donc tre dment
justifie.
Conseils

La reprsentation par vraisemblance permet de visualiser le positionnement des scnarios de

menaces les uns par rapport aux autres.
Certains scnarios de menaces peuvent ventuellement tre carts de la suite de l'tude si
les critres de gestion des risques retenus le prvoient (par exemple, si le niveau des besoins
de scurit est trs faible). Qu'ils soient jugs improbables, jugs sans consquence, traits
par ailleurs, ultrieurement ou volontairement carts, il est important d'expliquer pourquoi ils
ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude bien qu'ils puissent
tre l'origine de risques pour l'organisme. Cette opration doit donc tre dment justifie.
Exemple
L'importance relative des scnarios de menaces prcdemment analyss (identifis et estims) est
value de la faon suivante (cf. critres de gestion des risques) :
Vraisemblance
4. Maximale
3. Forte
2. Significative
Scnarios de menaces

Menaces sur lorganisation d'@RCHIMED causant une compromission

Menaces sur le systme de l'hbergeur causant une indisponibilit
Menaces sur le systme de l'hbergeur causant une compromission
Menaces sur un partenaire causant une compromission


Menaces sur le sous rseau Ethernet causant une indisponibilit
Menaces sur le sous rseau Wifi causant une altration
Menaces sur le sous rseau Wifi causant une compromission
Menaces sur le systme de l'hbergeur causant une altration
Menaces sur le rseau interne causant une altration
Menaces sur le rseau interne causant une compromission
Menaces sur le sous rseau Ethernet causant une altration
Menaces sur le sous rseau Ethernet causant une compromission
Menaces sur lorganisation d'@RCHIMED causant une indisponibilit
Menaces sur l'hbergeur causant une indisponibilit
Menaces sur l'hbergeur causant une altration
Menaces sur Internet causant une compromission
Page 58 sur 95
ANSSI/ACE/BAC
Vraisemblance
1. Minime
Scnarios de menaces

Menaces sur lorganisation d'@RCHIMED causant une altration

Menaces sur l'hbergeur causant une compromission
Menaces sur Internet causant une altration
Menaces sur un partenaire causant une altration
Page 59 sur 95
ANSSI/ACE/BAC

Ce module a pour objectif de mettre en vidence de
manire systmatique les risques pesant sur le
primtre de l'tude, puis de choisir la manire de les
traiter en tenant compte des spcificits du contexte.
Les rflexions sont menes un niveau davantage
fonctionnel que technique.
En corrlant les vnements redouts avec les
scnarios de menaces susceptibles de les engendrer,
ce module permet d'identifier les seuls scnarios
rellement pertinents vis--vis du primtre de l'tude.
Il permet en outre de les qualifier explicitement en vue
de les hirarchiser et de choisir les options de
traitement adquates.
l'issue de ce module, les risques sont apprcis et
valus, et les choix de traitement effectus.
Activit 4.1 Apprcier les risques
Activit 4.2 Identifier les objectifs de scurit
Page 60 sur 95
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
ANSSI/ACE/BAC
Activit 4.1 Apprcier les risques

Objectif
Cette activit fait partie de l'apprciation des risques. Elle a pour but de mettre en vidence et de
caractriser les risques rels pesant sur le primtre de l'tude.
Avantages

Permet de construire des scnarios de manire simple et exhaustive

Permet de justifier de l'utilit des mesures de scurit existantes
Permet d'viter de traiter des scnarios qui ne constituent pas des risques
Permet de fournir les donnes ncessaires l'valuation des risques
Permet de forcer les parties prenantes s'interroger objectivement sur le niveau des risques
Donnes d'entre
Propritaire
Actions :
Action 4.1.1. Analyser les risques
Action 4.1.2. valuer les risques
Dpositaire

Autorit
Parties prenantes :
Risk manager
RSSI
vnements redouts
Scnarios de menaces
Tableau crois biens essentiels / biens supports
Mesures de scurit existantes
Responsable

R
R
C
C
C
I
C
I
Donnes produites
Risques

Les rsultats peuvent faire l'objet d'une cartographie des risques
Des processus sont mis en place pour assurer vrifier qu'on a bien considr toutes les
informations ncessaires (par rapport l'tat de l'art, aux autres organismes dans le mme
secteur d'activits)
Il convient d'examiner les risques dans leur ensemble afin de mettre en vidence et de
rsoudre les ventuelles incohrences entre leurs composantes. l'issue, chaque risque peut
tre compar aux autres : la manire de les prsenter doit donc tre harmonise et les
valeurs doivent tre cohrentes les unes par rapport aux autres.
Page 61 sur 95
ANSSI/ACE/BAC
Action 4.1.1. Analyser les risques
Description
Cette action consiste mettre en vidence l'ensemble des risques qui psent rellement sur le
primtre de l'tude et dterminer leur gravit et leur vraisemblance, une premire fois sans tenir
compte des mesures de scurit existantes, et une seconde fois en les prenant en compte. On fait
ainsi le lien entre les vnements redouts et les scnarios de menaces, c'est--dire entre ce que
l'organisme craint et ce quoi il est expos.
Pour identifier les risques, il convient pour chaque vnement redout de retenir les scnarios de
menaces qui :
concernent les biens supports lis au bien essentiel considr ;
touchent le mme critre de scurit ;
sont l'initiative des mmes sources de menaces (on ne gardera que celles en commun).
Chaque combinaison constitue un risque. Nanmoins, il est souhaitable de regrouper les risques afin
leur liste ne soit pas trop longue. On considre ainsi gnralement qu'un risque est compos d'un
vnement redout et de tous les scnarios de menaces concerns.
Pour chaque risque, il convient ensuite de dterminer parmi les mesures de scurit existantes
identifies, celles qui doivent avoir pour effet de :
protger les besoins de scurit des biens essentiels identifis (ces mesures de scurit sont
essentiellement des mesures de prvention et de rcupration) ;
rduire chaque impact identifi (prvision et prparation, prvention, confinement, lutte,
rcupration, restauration, compensation) ;
contrer chaque source de menaces identifie (prvision et prparation, dissuasion, dtection,
confinement) ;
se protger contre les menaces (essentiellement des mesures de dtection et de protection) ;
rduire les vulnrabilits des biens supports identifis (essentiellement des mesures de
prvention et de protection).
Enfin, pour estimer le niveau de chaque risque identifi en termes de gravit et de vraisemblance, on
exploite les donnes produites dans les modules prcdents.
Une premire estimation, dite "brute", est ralise sans tenir compte des mesures de scurit
existantes. Pour ce faire, la gravit et la vraisemblance de chaque risque sont estimes en fonction
des critres de gestion des risques retenus. dfaut, sa gravit est gale celle de l'vnement
redout considr et sa vraisemblance est gale la valeur maximale des scnarios de menace
concerns. Elles peuvent ensuite tre ajustes, notamment la vraisemblance, qui jusqu' prsent, ne
tenait pas compte des besoins de scurit de l'lment essentiel et des sources de menaces en
commun.
Une seconde estimation, dite "nette", est ralise pour la gravit et la vraisemblance de chaque risque
en tenant compte de l'effet des mesures de scurit existantes, s'il en existe.
Conseils

Il est gnralement utile, des fins de communication, d'illustrer les risques par des exemples
reprsentatifs et explicites pour les parties prenantes.
Le regroupement de risques, dans le but de rduire leur nombre, peut tre ralis par
vnement redout, par impact, par scnario de menace, ou encore par menace.
L'ajustement de la vraisemblance des risques est gnralement effectu en fonction de la
vraisemblance maximale des scnarios de menaces lis un mme vnement redout.
Il n'est pas ncessaire de vrifier la bonne application des mesures de scurit existantes. En
effet, l'important est ici d'identifier ce qui a dj t pens pour ne pas le perdre. Le fait que ce
soit mis en uvre et la qualit de cette mise en uvre pourront tre vrifis l'occasion d'un
audit spcifique.
Page 62 sur 95
ANSSI/ACE/BAC
Exemple
@RCHIMED a tabli la liste des risques partir des vnements redouts et des scnarios de
menaces prcdemment apprcis.
Les mesures de scurit existantes ayant un effet sur chaque risque ont galement t identifies.
La gravit et la vraisemblance ont finalement t estimes, sans, puis avec, les mesures de scurit
(les niveaux rays correspondent aux valeurs avant application de ces mesures).
Risque li l'indisponibilit d'un devis au-del de 72h
vnement redout
Besoin de
scurit
24-72h
Sources de menaces

Impacts

Impossibilit de signer un
contrat

Perte d'un march

Perte de crdibilit
Employ peu srieux

Incendie des locaux
Panne lectrique
Scnarios de menaces

indisponibilit
Activation du WPA2
Assurance multirisque professionnelle et
sur les matriels informatiques
Climatisation
Contrat de maintenance informatique
(intervention sous 4h)
Contrle d'accs par mot de passe
Dispositifs de lutte contre lincendie
Installation dun antivirus
Accs restreint en entre (messagerie,
services WEB)
Sauvegarde hebdomadaire sur des
disques USB stocks dans une armoire
fermant clef
Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
Sources de menaces
Mesure de scurit existante
Gravit

Vraisemblance
Employ peu srieux

Script-kiddies
Virus non cibl
Incendie des locaux
Panne lectrique
Phnomne naturel (foudre,
usure)
Employ peu srieux
Script-kiddies
Virus non cibl
Incendie des locaux
Panne lectrique
Phnomne naturel (foudre,
usure)
Employ peu srieux
Maladie
Fournisseur d'accs Internet
Partenaire
Bien support
sur lequel elle repose
MAT Commutateur
Prvention
3. Forte
3. Forte
2. Significative
2. Significative
3. Forte
Protection
Rcupration
LOG Windows XP
LOG Windows XP
MAT Commutateur
X
X
X
X
MAT Disque USB
2. Limite
2. Significative
3. Importante
3. Forte
Risque li l'altration d'un devis qui doit rester rigoureusement intgre

[]
Risque li la compromission d'un devis au-del du personnel et des partenaires
[]
Page 63 sur 95
4. Critique
4. Maximale
ANSSI/ACE/BAC
Action 4.1.2. valuer les risques
Description
Cette action consiste juger de l'importance des risques en les hirarchisant selon les critres de
gestion des risques retenus.
Certains risques peuvent tre carts de la suite de l'tude si les critres de gestion des risques
dfinis le prvoient (par exemple, si la gravit et/ou la vraisemblance est trs faible). Il est important
d'expliquer pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude et
constituent ainsi des risques non traits. Cette opration doit donc tre dment justifie.
Conseils

Exemple
Les risques prcdemment analyss (identifis et estims) peuvent tre valus l'aide du tableau
suivant (les risques rays correspondent ceux rduits par des mesures de scurit existantes) :
Risque li l'altration de
plans ou de calculs de
structures qui doivent
rester rigoureusement
intgres
4. Critique
3. Importante
Risque li l'altration du
contenu du site Internet
sans pouvoir la dtecter ni
la retrouver
Risque li l'altration d'un

devis qui doit rester
rigoureusement intgre
Risque li l'altration du
sans pouvoir la dtecter ni
la retrouver
Risque li la
compromission d'un
devis au-del du
personnel et des
partenaires
Risque li la
compromission de plans
ou calculs de structures
au-del des personnels
et partenaires
2. Limite
Risque li l'indisponibilit
d'un devis au-del de 72h
de plans ou de calculs de
structures au-del de 72h
de visualisations au-del
de 72h
du contenu du site Internet
au-del de 72h
d'un devis au-del de 72h
de plans ou de calculs de
de visualisations au-del de
72h
Risque li l'altration de
visualisations sans pouvoir
la dtecter
Risque li
l'indisponibilit du
au-del de 72h
Gravit
La reprsentation sous une forme graphique (vraisemblance en abscisses et gravit en

ordonnes) permet de visualiser le positionnement des risques les uns par rapport aux autres.
Il peut s'avrer utile d'carter des risques quand leur nombre est important afin d'obtenir des
rsultats rapidement en se concentrant sur l'essentiel. On pourra les tudier dans un second
temps. Nanmoins, il reste prfrable d'viter cette opration.
Risque li la
compromission de
visualisations, juges
comme publiques
Risque li la
compromission du
public
1. Ngligeable
1. Minime
2. Significative
3. Forte
4. Maximale
Vraisemblance
Risques ngligeables
Risques significatifs
Page 64 sur 95
Risques intolrables
ANSSI/ACE/BAC

Objectif
Cette activit fait partie du traitement des risques. Elle a pour but de choisir la manire dont chaque
risque devra tre trait au regard de son valuation.
Avantages

Permet de choisir entre diffrentes options orientant le traitement des risques

Permet aux parties prenantes de s'exprimer sans prjuger des moyens mettre en uvre
Permet de constituer un cahier des charges cohrent avec l'ensemble des informations
recueillies tout au long de l'tude
Donnes d'entre

Propritaire
Dpositaire
Actions :
Action 4.2.1. Choisir les options de traitement des risques
Action 4.2.2. Analyser les risques rsiduels
Autorit
Parties prenantes :
Risk manager
RSSI
Risques
Responsable

Donnes produites

Objectifs de scurit identifis

Risques rsiduels identifis

Les objectifs de scurit peuvent faire l'objet :
o d'une fiche d'expression rationnelle des objectifs de scurit (FEROS), au sens du
[Guide 150] ;
o d'un cahier des charges "ouvert", c'est--dire laissant toute libert pour dterminer
des mesures de scurit pour traiter les risques
Page 65 sur 95
ANSSI/ACE/BAC
Action 4.2.1. Choisir les options de traitement des risques
Description
Cette action consiste identifier les objectifs de scurit, c'est--dire choisir la manire dont on va
devoir traiter les risques afin que le niveau de risque rsiduel devienne acceptable.
Cette action doit tre ralise en fonction des critres de gestion des risques retenus.
Il convient ainsi, pour tout ou partie de chaque risque de choisir parmi les options suivantes :
l'viter (ou le refuser) : changer le contexte de telle sorte qu'on n'y soit plus expos ;
le rduire : prendre des mesures de scurit pour diminuer l'impact et/ou la vraisemblance ;
le prendre (ou le maintenir), voire l'augmenter : assumer les consquences sans prendre de
mesure de scurit supplmentaire ;
le transfrer (ou le partager) : partager les pertes occasionnes par un sinistre ou faire
assumer la responsabilit un(des) tiers.
On note que l'on peut choisir plusieurs options pour chaque risque (ex. : un risque peut tre
partiellement rduit par la mise en uvre de mesures de scurit, partiellement transfr par le
recours une assurance et partiellement pris pour ce qui subsiste).
Le choix des options de traitement doit tre fait au regard :
des lments constitutifs du risque (bien essentiel, bien support, critre de scurit touch,
impacts, menaces) : ils permettent de juger de la faisabilit de leur traitement ;
des critres de gestion des risques retenus : ils peuvent orienter le choix (vitement,
rduction, prise ou transfert) selon la gravit et la vraisemblance (par exemple, il peut tre
dcid que les risques dont la gravit et la vraisemblance sont trs faibles doivent tre pris,
les plus importants vits, et les autres rduits ou transfrs) ;
des paramtres prendre en compte : ils peuvent avoir une influence sur les choix de
traitement, notamment les contraintes et les hypothses.
Conseils

Il peut s'avrer utile l'illustrer ou d'orienter les choix de traitement en indiquant des exemples
de mesures de scurit pour chaque objectif de scurit.
Cette action fait gnralement l'objet de modifications lorsque les ngociations du module
suivant poussent rviser les choix de traitement.
Page 66 sur 95
ANSSI/ACE/BAC
Exemple
@RCHIMED souhaite essentiellement rduire les risques jugs comme prioritaires et significatifs, et
prendre les risques jugs comme non prioritaires.
Le tableau suivant prsente les objectifs de scurit identifis (les croix correspondent aux premiers
choix, les croix entre parenthses correspondent aux autres possibilits acceptes) :
Risque
Risque li l'altration d'un devis qui doit rester
rigoureusement intgre
Risque li la compromission d'un devis au-del du
personnel et des partenaires
Risque li l'indisponibilit de plans ou de calculs de
Risque li l'altration de plans ou de calculs de
structures qui doivent rester rigoureusement intgres
Risque li la compromission de plans ou calculs de
structures au-del des personnels et partenaires
Risque li l'indisponibilit de visualisations au-del
de 72h
Risque li l'altration de visualisations sans pouvoir
la dtecter
Risque li la compromission de visualisations, juges
comme publiques
Risque li l'indisponibilit du contenu du site Internet
au-del de 72h
Risque li l'altration du contenu du site Internet
sans pouvoir la dtecter ni la retrouver
Risque li la compromission du contenu du site
Internet public
vitement
Rduction
(X)
Prise
X
Transfert
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
Page 67 sur 95
(X)
(X)
ANSSI/ACE/BAC
Description
Cette action consiste identifier et estimer les risques rsiduels qui subsisteront quand chaque
objectif de scurit sera atteint, et vrifier que l'on sera prt les accepter en toute connaissance de
cause.
Cette action doit tre ralise en fonction des critres de gestion des risques retenus.
D'une manire gnrale, les risques rsiduels sont mis en vidence selon le choix de traitement :
un risque vit ne gnre aucun risque rsiduel s'il est compltement vit ; sinon, les risques
rsiduels correspondent ce qui n'est pas vit ;
un risque rduit mne des risques rsiduels s'il n'est pas totalement rduit ;
un risque pris constitue un risque rsiduel part entire ;
un risque transfr n'induit aucun risque rsiduel s'il est totalement transfr ; sinon, les
risques rsiduels correspondent ce qui n'est pas transfr.
La gravit et la vraisemblance des risques rsiduels doivent finalement tre estimes.
Pour chaque risque, il peut tre utile de dterminer la gravit et la vraisemblance attendues une fois
les objectifs de scurit satisfaits. Ces niveaux constituent ainsi le niveau de risque acceptable.
Conseils
Il est prfrable de mettre systmatiquement des risques rsiduels en vidence. Ceci montre
qu'une rflexion a t mene et tend dmontrer par leur nonc que ces risques rsiduels
peuvent tre accepts.
Il est possible que cette action ne mette en vidence aucun risque rsiduel, notamment dans
le cas o l'on prvoirait de rduire tous les risques. Le module suivant permettra de mettre en
vidence des risques rsiduels si la rduction des risques n'est pas complte.
Lestimation des risques rsiduels ne doit pas tre nglige. En effet, cest sur cette base que
lon pourra juger de leur acceptation.
Exemple
l'issue de l'identification des objectifs de scurit, @RCHIMED a mis en vidence les risques
rsiduels suivants :
Risques rsiduels
Risque li l'indisponibilit de plans ou de calculs de structures
au-del de 72h
Risque li l'indisponibilit de visualisations au-del de 72h
Risque li la compromission de visualisations, juges comme
publiques
Risque li l'indisponibilit du contenu du site Internet au-del de
72h
Risque li la compromission du contenu du site Internet public
Gravit
2. Limite
Vraisemblance
2. Significative
2. Limite
2. Significative
2. Limite
2. Significative
1. Ngligeable
4. Maximale
2. Limite
2. Significative
1. Ngligeable
4. Maximale
On note que ces risques rsiduels pourront tre rduits ultrieurement, quand les autres risques
seront devenus acceptables.
Page 68 sur 95
ANSSI/ACE/BAC

Ce module a pour objectif de dterminer les moyens
de traiter les risques et de suivre leur mise en uvre,
en cohrence avec le contexte de l'tude. Les
rflexions sont prfrentiellement menes de manire
conjointe entre les niveaux fonctionnels et techniques.
Il permet de trouver un consensus sur les mesures de
scurit destines traiter les risques, conformment
aux objectifs prcdemment identifis, d'en dmontrer
la bonne couverture, et enfin, d'effectuer la
planification, la mise en uvre et la validation du
traitement.
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
l'issue de ce module, les mesures de scurit sont

dtermines et les points cls valids formellement.
Le suivi de la mise en uvre peut galement tre
ralis.
Activit 5.1 Formaliser les mesures de scurit mettre en uvre
Activit 5.2 Mettre en uvre les mesures de scurit
Page 69 sur 95
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
ANSSI/ACE/BAC
Activit 5.1 Formaliser les mesures de scurit mettre en uvre

Objectif
Cette activit fait partie du traitement des risques. Elle a pour but de dterminer les mesures de
scurit adquates pour atteindre les objectifs de scurit identifis, d'identifier les risques rsiduels et
de valider "formellement" les choix effectus.
Avantages

Permet d'exploiter les rfrentiels de mesures existants et/ou d'en laborer des spcifiques
Permet de s'adapter l'objectif de la gestion des risques et aux livrables attendus
Permet de mesurer l'efficacit des mesures de scurit (rapport cot / effet)
Permet aux parties prenantes de dcider objectivement de la poursuite des actions
Favorise l'implication et la responsabilisation des parties prenantes
Donnes d'entre
Propritaire
Actions :
Action 5.1.1. Dterminer les mesures de scurit
Action 5.1.3. tablir une dclaration d'applicabilit
Dpositaire

Autorit
Parties prenantes :
Risk manager
RSSI

Meilleures pratiques (ex. : mesures de scurit de l'[ISO 27002])
Responsable

R
R
R
C
C
C
I
I
A
A
I
I
C
C
C
Donnes produites

Mesures de scurit spcifies

Risques rsiduels complts
Dclaration dapplicabilit

Les rsultats sont ngocis au regard des objectifs de scurit

Les rsultats de cette activit peuvent faire l'objet :
o d'une dclaration d'applicabilit au sens de l'[ISO 27001] ;
o d'une politique ou d'un rglement de scurit de l'information ;
o d'un profil de protection au sens de l'[ISO 15408] ;
o d'une cible de scurit au sens de l'[IGI 1300] ou de l'[ISO 15408] ;
o d'un cahier des charges "ferm", c'est--dire spcifiant les mesures de scurit
destines traiter les risques
Trier les mesures de scurit selon l'objectif de l'tude et les livrables attendus

Les rsultats prcdents orientent les choix des mesures de scurit (capacit de relier les
mesures de scurit aux objectifs de scurit et aux paramtres prendre en compte dans le
traitement des risques)
Les rsultats revtent une signification prcise pour l'organisation (ils sont explicites pour les
personnes auxquelles ils sont destins)
Les conclusions de l'tude couvrent lensemble des questions poses au dpart
Les rsultats de lanalyse des donnes recueillies refltent lexprience des participants ou le
contexte avec crdibilit
Les rsultats correspondent ce que les participants voulaient dire et non simplement ce
qui a t exprim (perspective mique)
Page 70 sur 95
ANSSI/ACE/BAC

Ltude reflte le fait qu'elle soit rptable et rcursive

Les dcisions et interprtations mthodologiques, de mme que les positions particulires des
personnes ralisant l'tude, sont considres
Des mthodes dorganisation, de prsentation et danalyse des donnes crative sont
incorpores ltude
La dmarche et ses rsultats sont cohrents et s'inscrivent dans le contexte particulier de
l'tude (congruence)
Ltude a t faite en tenant compte de la nature humaine et du contexte socioculturel de
l'organisation tudie
Page 71 sur 95
ANSSI/ACE/BAC
Action 5.1.1. Dterminer les mesures de scurit
Description
Cette action consiste dterminer les moyens datteindre les objectifs de scurit. Il s'agit donc ici de
dfinir les mesures de scurit qui vont permettre d'viter, de rduire ou de transfrer tout ou partie
des risques (la prise de risque ne requiert pas de mesures de scurit), en tenant compte des
contraintes identifies, notamment budgtaires et techniques.
Les mesures de scurit peuvent tre slectionnes et utilises telles quelles dans des rfrentiels de
mesures (normes, mthodes, bases de connaissances, catalogues de scurit), adaptes d'aprs
des rfrentiels, ou cres de toute pice. cette fin, les bases de connaissances de la mthode
proposent une liste gnrique que l'on peut directement utiliser ou que l'on peut ajuster.
Le contenu et le niveau de dtail des mesures de scurit doivent tre cohrents avec le but de
l'tude et des livrables attendus. Il peut s'agir d'exigences plus ou moins dtailles, de principes, de
rgles, de consignes, de procdures, de points de contrle, de choix de produits, etc
Par ailleurs, ds lors qu'une mesure de scurit est spcifie, il convient d'identifier :
la ligne de dfense (prventive, protectrice ou rcupratrice) laquelle elle appartient, afin de
faciliter la dtermination des mesures de scurit en appliquant une dfense en profondeur ;
le bien support qui la porte, afin de faciliter l'optimisation des mesures de scurit, son
propritaire tant a priori responsable de l'application de la mesure de scurit.
Pour qu'un risque soit vit, il convient de changer un lment du contexte afin de ne plus y tre
expos. Cela peut se traduire par des mesures de scurit telles que le changement de localisation
gographique, le fait de ne pas commencer ou poursuivre l'activit porteuse du risque, la sparation
d'informations ayant des besoins de scurit bien diffrents sur des biens supports isols
Pour qu'un risque soit transfr, il convient de partager les pertes avec un tiers. Les mesures de
scurit peuvent ainsi consister souscrire une assurance, financer le risque, utiliser des produits,
des services ou des individus certifis, contractualiser des clauses de transfert de responsabilit
Pour qu'un risque soit rduit un niveau acceptable, il convient de diminuer sa gravit et/ou sa
vraisemblance en agissant sur ses composantes (sources de menaces, menaces, vulnrabilits,
impacts). Il est ainsi souvent ncessaire de mettre en uvre plusieurs mesures de scurit, et si
3
possible, en appliquant les principes de dfense en profondeur .
Les principes de la dfense en profondeur sont les suivants :

la globalit : la dfense englobe toutes les dimensions des systmes dinformation (aspects
techniques, organisationnels, humains ou autres) ;
la coordination : les moyens mis en place agissent l'aide d'une capacit dalerte et de
diffusion et la suite de corrlations d'incidents ;
le dynamisme : l'organisme considre plusieurs niveaux de risques, planifie ses actions selon
ces niveaux et dispose d'une capacit de raction ;
la suffisance : chaque mesure de scurit bnficie dune protection propre, dun moyen de
dtection, et de procdures de raction ;
la compltude : les biens essentiels sont protgs de manire proportionne au niveau des
risques, par au minimum trois lignes de dfense et des retours dexpriences sont formaliss ;
la dmonstration : le dispositif de dfense est justifi par la dmonstration de couverture, et il
existe une stratgie d'homologation qui adhre au cycle de vie du systme dinformation.
Page 72 sur 95
ANSSI/ACE/BAC
Afin de mettre en place une dfense en profondeur, la dmarche consiste dans un premier temps
tablir au moins trois lignes de dfense (selon la gravit des risques et la capacit des sources de
menaces) pour chaque risque :
une ligne prventive, destine viter l'apparition des incidents et des sinistres l'aide de
mesures de scurit qui agissent sur :
o les sources de menaces (dissuasion, dception),
o les besoins de scurit des biens essentiels (anticipation, prvention),
o les vulnrabilits des biens supports (rduction des failles, prparation) ;
une ligne protectrice, destine bloquer, contenir et dtecter l'apparition des incidents et des
sinistres l'aide de mesures de scurit qui agissent sur :
o les besoins de scurit des biens essentiels (confinement),
o les sources de menaces (lutte),
o les menaces (dtection, protection, raction dfensive),
o les vulnrabilits des biens supports (rsistance, rsilience) ;
une ligne rcupratrice, destine minimiser les consquences des incidents et des sinistres
et revenir l'tat initial, l'aide de mesures de scurit qui agissent sur :
o les besoins de scurit des biens essentiels (rcupration, restauration),
o les sources de menaces (raction offensive),
o les impacts (compensation).
Chaque ligne de dfense peut ensuite tre renforce en dterminant plusieurs mesures de scurit
sur un ou plusieurs bien support (un matriel, un logiciel, des locaux, une organisation).
Un ensemble de mesures de soutien (alerte, diffusion, corrlation d'vnements, protection des
mesures de scurit, raction) devrait complter le dispositif de dfense en profondeur.
On note que les ventuelles mesures de scurit existantes doivent tre considres, mais peuvent
aussi tre remises en question par des mesures de scurit plus appropries.
Il convient enfin d'amliorer le dispositif global de scurit, bien support par bien support. Le but est ici
de faire le bilan pour gagner en pertinence, en conomie et en efficacit.
La liste des mesures de scurit portes par chaque bien support doit tout d'abord tre tablie.
Ensuite, l'applicabilit et la cohrence des mesures de scurit portes par chaque bien support
doivent tre tudies. Il est ainsi possible de vrifier que les mesures de scurit sont compatibles
entre elles, de factoriser certaines mesures de scurit, de vrifier que la formulation va tre comprise
par le propritaire du bien support, qu'il va tre capable de la mettre en uvre Le cas chant, les
mesures de scurit peuvent tre adaptes en consquence.
On estime finalement l'impact de la mise en uvre de chaque mesure de scurit en termes de cot
financier ou de charge de personnel (tude, ralisation, application, maintien en situation
oprationnelle), mais aussi en termes de consquences sur les habitudes et la culture des
personnes et sur les processus mtiers du fait du changement induit.
Conseils

Les mesures de scurit devraient tre claires, simples et mesurables.

La manire dont les mesures de scurit sont rdiges doit tre adapte ceux qui elles
sont destines.
Dans le cadre de la mise en place d'un systme de management de la scurit de
l'information selon l'[ISO 27001], il convient de slectionner en premier lieu les mesures de
scurit de son annexe A (ou de l'[ISO 27002]).
Il est important dans lors de cette action de considrer les contraintes, notamment budgtaires
ou techniques, et de privilgier la performance et le confort pour ceux qui vont devoir
appliquer les mesures de scurit (rapport entre scurit et acceptation psychologique).
Page 73 sur 95
ANSSI/ACE/BAC
Exemple
R1
R2
R3
Chiffrement des fichiers lis

aux plans et calculs de
structures l'aide de
certificats lectroniques
Dsactivation des
composants inutiles sur le
serveur
Mise jour rgulire de
l'antivirus des serveurs et de
sa base de signatures
Accs restreint en entre
(messagerie, services
WEB)
Rangement des supports
amovibles dans un meuble
fermant clef
R5
Utilisation de films
empchant lespionnage de
lcran des ordinateurs
portables
Accompagnement
systmatique des visiteurs
dans les locaux
X
Assurance multirisque
professionnelle et sur les
matriels informatiques
Destruction des documents
sensibles lors de leur mise
au rebut
Sensibilisation rgulire des
personnels aux risques
encourus
Retrait des droits daccs en
fin de contrat
Utilisation de mots de passe
de qualit pour chaque
compte utilisateur
Thme ISO 27002
LOG
MacOS X
7.1. Responsabilits
relatives aux biens
LOG
Serveurs
logiciels du
rseau interne
10.1. Procdures et
responsabilits lies
lexploitation
LOG
Windows XP
10.4. Protection contre

les codes malveillant et
mobile
MAT
Commutateur
10.6. Gestion de la
scurit des rseaux
MAT Disque
USB
10.7. Manipulation des

supports
MAT
Ordinateurs
portables
9.2. Scurit du
matriel
MAT
Ordinateurs
portables
9.2. Scurit du
matriel
6.2. Tiers
7.1. Responsabilits
relatives aux biens
Bien support
sur lequel
elle repose
Accord sur le niveau de

service de l'hbergeur
Contrle annuel de
lapplication des mesures de
scurit
R6
Utilisation dantivols pour les

ordinateurs portables
Inventaire des biens

sensibles
R4
Rcupration
Mesure de scurit
Protection
Le tableau suivant prsente la liste des mesures de scurit destines rduire ou transfrer les
risques prioritaires (elles traitent galement les autres risques) :
Prvention
ORG
Organisation
du cabinet
ORG
Organisation
du cabinet
ORG
Organisation
du cabinet
ORG
Organisation
du cabinet
ORG
Organisation
du cabinet
10.2. Gestion de la
prestation de service
par un tiers
15.3. Prises en compte
de laudit du systme
dinformation
14.1. Aspects de la
scurit de linformation
en matire de gestion
de la continuit de
lactivit
PAP
Support
papier
10.7. Manipulation des

supports
PER
Utilisateur
8.2. Pendant la dure

du contrat
PER
Administrateur
8.3. Fin ou modification

de contrat
PER
Utilisateur
11.3. Responsabilits
utilisateurs
Ces mesures de scurit ont t dtermines dans lobjectif de couvrir diffrents lments des risques
traiter (vulnrabilits, menaces, sources de menaces, besoins de scurit ou impacts), daborder la
plupart des thmes de lISO 27002, de couvrir les diffrentes lignes de dfense (prvention, protection
et rcupration), et ont t optimises bien support par bien support.
Page 74 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste identifier et estimer les risques rsiduels qui subsisteront quand chaque
mesure de scurit sera mise en uvre. Cela permet de vrifier que l'on sera prt les accepter en
toute connaissance de cause.
Pour chaque objectif de scurit, il convient de :
raliser un argumentaire justificatif, qui devrait dmontrer que :
o la combinaison des mesures de scurit traite le risque conformment l'objectif de
scurit identifi,
o l'ensemble des mesures de scurit constitue un tout cohrent et dont les lments
se soutiennent mutuellement,
o le niveau de rsistance des mesures de scurit choisi est cohrent avec les sources
de menaces retenues ;
complter la liste des risques rsiduels au regard des mesures de scurit identifies, et les
estimer en termes de gravit et de vraisemblance ;
estimer l'effet des mesures de scurit sur la gravit et la vraisemblance du risque
concern en les r-estimant.
Conseils

Il peut tre utile de raliser un tableau crois entre les objectifs de scurit et les mesures de
scurit pour vrifier la couverture et qu'il n'existe pas de mesure de scurit inutile.
Lanalyse des risques rsiduels ne doit pas tre nglige. En effet, cest sur cette base que
Exemple
Si les mesures de scurit prcdemment identifies sont mises en uvre, alors le niveau des
risques jugs comme intolrables ou significatifs peut tre r-estim comme suit :
Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale

Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale
Risque li l'altration de plans ou de calculs de structures qui doivent rester rigoureusement intgres
Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale
Risque li la compromission de plans ou calculs de structures au-del des personnels et partenaires

Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
[]
Page 75 sur 95
3. Importante
3. Forte
4. Critique
4. Maximale
ANSSI/ACE/BAC
Action 5.1.3. tablir une dclaration d'applicabilit
Description
Cette action consiste expliquer comment les paramtres prendre en compte (rfrences
applicables, contraintes et hypothses) ont t pris en compte au sein de l'tude et de justifier le fait
de ne pas en avoir tenu compte, le cas chant.
Elle permet ainsi de ne rien oublier de ce qu'il a t dcid de considrer lors de l'tude, et donc de
rappeler, si ce n'est pas dj fait, qu'il est ncessaire de tenir compte des paramtres identifis dans
l'tablissement du contexte dans l'apprciation et dans le traitement des risques, et notamment dans
la dtermination des mesures de scurit.
Certains paramtres prendre en compte, notamment les rfrences applicables, peuvent faire l'objet
de mesures de scurit complmentaires, dont il convient de vrifier la cohrence avec les autres
mesures de scurit. On note que le fait de ne pas prendre en compte des rfrences rglementaires
applicables engendre des risques de nature juridique qu'il convient de mettre en vidence.
Certains paramtres prendre en compte peuvent galement requrir de modifier des mesures de
scurit.
Cette action peut ainsi servir dmontrer lapplicabilit dtaille de meilleures pratiques en expliquant
le positionnement face chacune delles.
Pour chacune des meilleures pratiques, il suffit de dterminer, parmi les mesures de scurit
prcdemment identifies, celles qui lui correspondent.
Ainsi, les meilleures pratiques couvertes par au moins une mesure de scurit peuvent tre juges
comme utiles pour le primtre de l'tude. Les mesures de scurit lies ces meilleures pratiques
expliquent comment celles-ci sont appliques, et ce, de manire ncessaire et suffisante.
A contrario, les meilleures pratiques qui ne sont couvertes par aucune mesure de scurit peuvent
tre juges comme inutiles pour le primtre de l'tude. En effet, elles ne servent traiter aucun
risque ni couvrir aucun paramtre prendre en compte.
Conseils

Ne pas ngliger cette action, en termes d'importance ou de charges. En effet, la prise en

compte des rfrences applicables ncessite d'une part de vrifier que le contenu de ces
rfrences n'est pas en contradiction avec les mesures de scurit, et d'autre part de crer
des mesures de scurit correspondant ce contenu (crer des mesures de scurit
correspondant aux clauses de l'[ISO 27001]).
Il peut tre utile de capitaliser les mesures de scurit cres partir des rfrences
applicables en compltant les bases de connaissances.
Le rsultat de cette action peut directement constituer une dclaration d'applicabilit selon
l'[ISO 27001].
Exemple
La prise en compte de chaque contrainte identifie est explicite comme suit :
Paramtre prendre en compte
Le personnel est utilisateur de
l'informatique, mais pas spcialiste
Le personnel de nettoyage intervient de
7h 8h
Aucun dmnagement n'est planifi
Explication / Justification
Pris en compte
Les mesures de scurit applicables par le personnel ne
demandent pas une grande expertise
Non pris en compte
Les horaires doivent correspondrent ceux du personnel
Pris en compte
Les mesures de scurit formalises ne demandent pas
de dmnagement
Page 76 sur 95
ANSSI/ACE/BAC

Objectif
Cette activit fait partie du traitement des risques. Elle a pour but d'laborer et de suivre la ralisation
du plan de traitement des risques par les mesures de scurit afin de pouvoir prononcer
lhomologation de scurit.
Avantages

Amliore la lgitimit et la visibilit des actions

Favorise la ralisation et l'application des mesures de scurit spcifies
Donnes d'entre

R
R
C
C
Propritaire
Dpositaire
Actions :
Action 5.2.1. laborer le plan d'action et suivre la ralisation
des mesures de scurit
Action 5.2.3. Prononcer l'homologation de scurit
Autorit
Parties prenantes :
Risk manager
RSSI
Mesures de scurit spcifies

Responsable

C
I
Donnes produites

Plan d'action
Mesures de scurit mises en uvre
Risques rsiduels mis jour
Dcision dhomologation de scurit

Les donnes sont obtenues sur la base de runions

Elles peuvent faire l'objet d'un plan d'action ou d'un plan de traitement des risques
Le contenu du dossier servant lhomologation de scurit doit tre adapt lautorit et/ou
la commission dhomologation
Page 77 sur 95
ANSSI/ACE/BAC
Action 5.2.1. laborer le plan d'action et suivre la ralisation des mesures de scurit
Description
Cette action consiste identifier parmi les mesures de scurit formalises celles qui ne seraient pas
dj appliques et planifier concrtement les actions ncessaires leur mise en uvre.
Pour chaque mesure de scurit prcdemment formalise, il convient d'indiquer, par exemple sous
la forme d'un tableau :
son libell ;
sa priorit (qui peut tre dtermine par les critres de gestion de risques, par exemple en
fonction de la gravit et de la vraisemblance des risques concerns) ;
le responsable de la mise en uvre (une personne ou une fonction) ;
si besoin, le dtail des actions mener (notamment si plusieurs tapes sont ncessaires) ;
l'chance prvisionnelle ;
le cot prvisionnel de mise en uvre (notamment l'achat de produits et la charge estime) ;
l'tat d'avancement (non dmarr / en cours / termin / contrl) ;
les moyens de contrler la mise en uvre (indicateur oprationnel, lments de preuve) ;
les ventuels risques, rsiduels ou induits, mis en vidence au fur et mesure de
l'avancement du plan d'action.
Conseils
Il peut tre utile de prciser si les mesures de scurit doivent tre appliques avant ou aprs
l'homologation. Celles qui servent traiter des risques jugs comme bloquants devraient
gnralement tre appliques avant et celles qui servent traiter des risques jugs comme
majeurs, indirects et mineurs peuvent tre appliques aprs.
D'une manire gnrale, chaque action du plan d'action devrait tre :
o S spcifique (un acteur, un domaine la fois) ;
o M mesurable (dfinition du moyen de contrle) ;
o A atteignable (ventuellement en plusieurs tapes, avec les ressources
ncessaires) ;
o R raliste (en fonction des acteurs, de leurs capacits) ;
o T lie au temps (avec une date buttoir, un dlai, une priode dfinie).
Exemple
Le plan d'action d'@RCHIMED, tri par terme, avancement et cot financier, est tabli comme suit :
Mesure de scurit
Mesures du trimestre
Activation dune alarme anti-intrusion
durant les heures de fermeture
Consignes de fermeture clef des
locaux
Dispositifs de lutte contre lincendie
Climatisation
Contrle d'accs par mot de passe sous
MacOS X
Contrle d'accs par mot de passe sous
Windows XP
Accs restreint en entre (messagerie,
services WEB)
Activation du WPA2
Sauvegarde hebdomadaire sur des
disques USB stocks dans un meuble
fermant clef
Installation dun antivirus sous MacOS X
Installation dun antivirus sous Windows
XP
Responsable
Difficult
Cot financier
Terme
Avancement
Directeur
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
Directeur adjoint
1. Faible
1. Faible
1. Nul
1. Nul
1. Trimestre
1. Trimestre
3. Termin
3. Termin
Directeur adjoint
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
2. Moins de 1000
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
2. Moins de 1000
1. Trimestre
3. Termin
Page 78 sur 95
ANSSI/ACE/BAC
Mesure de scurit
Contrat de maintenance informatique
(intervention sous 4h)
Accord sur le niveau de service de
l'hbergeur
Assurance multirisque professionnelle
et sur les matriels informatiques
laboration dune politique de scurit
de linformation
Rangement systmatique des
documents lis aux plans et calculs de
structures dans un meuble ferm clef
Chiffrement des fichiers lis aux plans
et calculs de structures l'aide de
certificats lectroniques
Cration d'empreintes des fichiers lis
aux plans et aux calculs de structure
Cration d'empreintes des fichiers lis
aux visualisations
Installation dun antivirus sur les

serveurs
Utilisation dantivols pour les ordinateurs
portables
Utilisation de films empchant
lespionnage de lcran des ordinateurs
portables
Destruction des documents sensibles
lors de leur mise au rebut
Pose de barreaux aux fentres
Mesures de l'anne
tablissement de la liste des exigences
rglementaires
Test trimestriel des fichiers sauvegards
Vrification des empreintes des fichiers
lis aux devis de manire rgulire
Marquage du besoin de confidentialit

des documents lectroniques lis aux
devis
Marquage du besoin de confidentialit
des documents papiers lis aux devis
Extension de l'assurance aux risques
d'altration d'informations
Extension de l'assurance aux risques de
vol d'informations
Utilisation de scells sur les ordinateurs
afin de pouvoir constater leur ouverture
non dsire
Formation des personnels aux outils
mtiers et aux mesures de scurit
Mesures dans les trois ans
Gestion des vulnrabilits sur les
serveurs
Gestion des vulnrabilits sur Windows
XP
Gestion des vulnrabilits sur MacOS X
tablissement dun accord dchange
dinformations avec les clients et les
partenaires
Mise en place d'un systme RAID
logiciel

Responsable
Directeur adjoint
Difficult
1. Faible
Cot financier
2. Moins de 1000
Terme
1. Trimestre
Avancement
3. Termin
Directeur adjoint
1. Faible
2. Moins de 1000
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
2. Moins de 1000
1. Trimestre
3. Termin
Directeur
1. Faible
3. Plus de 1000
1. Trimestre
3. Termin
Directeur adjoint
2. Moyenne
1. Nul
1. Trimestre
2. En cours
Bureau d'tudes
1. Faible
1. Nul
1. Trimestre
1. Non dmarr
Bureau d'tudes
2. Moyenne
1. Nul
1. Trimestre
1. Non dmarr
Bureau d'tudes
2. Moyenne
1. Nul
1. Trimestre
1. Non dmarr
Bureau d'tudes
2. Moyenne
1. Nul
1. Trimestre
1. Non dmarr
Directeur adjoint
1. Faible
2. Moins de 1000
1. Trimestre
1. Non dmarr
Service
commercial
1. Faible
2. Moins de 1000
1. Trimestre
1. Non dmarr
Service
commercial
1. Faible
2. Moins de 1000
1. Trimestre
1. Non dmarr
Tous
1. Faible
2. Moins de 1000
1. Trimestre
1. Non dmarr
Directeur adjoint
1. Faible
3. Plus de 1000
1. Trimestre
1. Non dmarr
Directeur adjoint
1. Faible
1. Nul
2. Anne
1. Non dmarr
Directeur adjoint
2. Moyenne
1. Nul
2. Anne
1. Non dmarr
Directeur adjoint
2. Moyenne
1. Nul
2. Anne
1. Non dmarr
Service
commercial
2. Moyenne
1. Nul
2. Anne
1. Non dmarr
Service
commercial
2. Moyenne
1. Nul
2. Anne
1. Non dmarr
Directeur
2. Moyenne
2. Moins de 1000
2. Anne
1. Non dmarr
Directeur
2. Moyenne
2. Moins de 1000
2. Anne
1. Non dmarr
Directeur adjoint
1. Faible
2. Moins de 1000
2. Anne
1. Non dmarr
Directeur adjoint
2. Moyenne
3. Plus de 1000
2. Anne
1. Non dmarr
Directeur adjoint
3. leve
1. Nul
3. 3 ans
1. Non dmarr
Directeur adjoint
3. leve
1. Nul
3. 3 ans
1. Non dmarr
Directeur adjoint
3. leve
1. Nul
3. 3 ans
1. Non dmarr
Directeur adjoint
et partenaires
2. Moyenne
1. Nul
3. 3 ans
1. Non dmarr
Directeur adjoint
3. leve
3. Plus de 1000
3. 3 ans
1. Non dmarr
Page 79 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste identifier et estimer les risques rsiduels qui subsiste rellement une fois les
mesures de scurit mises en uvre. Cela permet de vrifier que l'on sera prt les accepter en
toute connaissance de cause.
Pour chaque objectif de scurit, il convient de complter la dmonstration de couverture et donc de :
revoir largumentaire justificatif, qui devrait dmontrer que :
o la combinaison des mesures de scurit mises en uvre traite le risque
conformment l'objectif de scurit identifi,
o l'ensemble des mesures de scurit mises en uvre constitue un tout cohrent et
dont les lments se soutiennent mutuellement,
o le niveau de rsistance des mesures de scurit mises en uvre est cohrent avec
les sources de menaces retenues ;
complter la liste des risques rsiduels au regard des mesures de scurit mises en uvre, et
les estimer en termes de gravit et de vraisemblance ;
estimer l'effet des mesures de scurit mises en uvre sur la gravit et la vraisemblance du
risque concern en les r-estimant.
Conseils
Il peut tre utile de raliser un tableau crois entre les objectifs de scurit et les mesures de
scurit mises en uvre pour vrifier la couverture et qu'il n'existe pas de mesure de scurit
inutile.
Lanalyse des risques rsiduels ne doit pas tre nglige. En effet, cest sur cette base que
Exemple
Un ensemble de risques subsiste aprs la mise en uvre des mesures de scurit formalises :
Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale

Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale
Risque li l'altration de plans ou de calculs de structures qui doivent rester rigoureusement intgres
Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale
Risque li la compromission de plans ou calculs de structures au-del des personnels et partenaires

Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
[]
Page 80 sur 95
3. Importante
3. Forte
4. Critique
4. Maximale
ANSSI/ACE/BAC
Action 5.2.3. Prononcer l'homologation de scurit
Description
Cette action consiste faire valider les conclusions de l'tude de manire formelle.
La dcision dhomologation est lengagement par lequel l'autorit atteste que le projet a bien pris en
compte les contraintes oprationnelles tablies au dpart, que le systme et les informations sont
protgs conformment aux objectifs de scurit, et que le systme dinformation est apte entrer en
service avec des risques rsiduels accepts et matriss.
Cette dcision est thoriquement prise pralablement l'emploi du systme d'information considr.
Lautorit peut sappuyer sur une commission dhomologation qui lui fournira les lments
dinformation et la synthse ncessaires sa dcision. Si la responsabilit du systme dinformation
nest pas incarne par une seule autorit, lhomologation peut tre collgiale ou confie une autorit
parmi les autorits concernes.
Lautorit peut prononcer :
une homologation provisoire, assortie de rserves et dun dlai de mise en conformit ;
un refus d'homologation au vu des rsultats d'audit et des risques rsiduels encourus jugs
inacceptables ;
une homologation complte, assortie le cas chant de conditions, pour une dure
dtermine (frquemment entre 3 et 5 ans).
Lhomologation peut tre assortie de conditions, qui sont alors mentionnes dans la dcision
dhomologation. Lautorit peut modifier les conditions dont lhomologation est assortie ou retirer
lhomologation lorsquelle estime que les risques encourus ne sont pas acceptables au regard du
besoin de protection du systme et des informations. Toute volution du systme ayant une
rpercussion sur la scurit devrait donner lieu une nouvelle homologation de scurit.
Conseils

Afin d'assurer une intgration de la SSI tout au long du projet, la commission d'homologation
doit tre cre ds l'tude d'opportunit.
La commission d'homologation doit valider les diffrentes tapes de l'tude des risques, aux
jalons cls du programme, sur la base de livrables adapts.
La commission d'homologation peut se prononcer sur la base d'un plan d'action visant
rduire les risques rsiduels, satisfaire des objectifs de scurit et mettre en uvre les
mesures de scurit.
Les diffrentes tapes de l'tude des risques doivent tre raffines tout au long du projet.
Exemple
Le Directeur d'@RCHIMED a prononc l'homologation de scurit du cabinet au vu de l'tude ralise
(dlimitation du primtre, apprciation des risques, laboration du plan d'action, mise en vidence
des risques rsiduels) et des livrables labors (note de cadrage, note de stratgie, politique de
scurit de l'information).
Cette homologation de scurit est valable un an et pourra tre renouvele tous les ans.
La mise en uvre du plan d'action devra tre dmontre, ainsi que l'amlioration continue de l'tude
de scurit.
Page 81 sur 95
ANSSI/ACE/BAC
Annexe A Dmonstration de la couverture des normes

EBIOS satisfait les exigences de l'[ISO 27001]
La mthode EBIOS permet de raliser l'ensemble de la phase de planification (premire phase du
systme de management de la scurit de l'information information security management system
ISMS) de l'[ISO 27001] et peut servir de support la mise en uvre des autres phases.
Elle permet notamment de satisfaire l'ensemble des exigences relatives la gestion des risques de
l'[ISO 27001]. Le tableau suivant en illustre la correspondance :
Exigences de l'[ISO 27001]
relatives la gestion des risques
4.2.1 tablissement de lISMS
L'organisme doit effectuer les tches suivantes :
a) dfinir le domaine d'application et les limites de lISMS en termes
des caractristiques de l'activit, de l'organisme, de son
emplacement, de ses biens, de sa technologie, ainsi que des
dtails et de la justification de toutes exclusions du domaine
d'application
b) dfinir une politique pour lISMS en termes des caractristiques
de l'activit, de l'organisme, de son emplacement, de ses biens, et
de sa technologie, qui :
1) inclut un cadre pour fixer les objectifs et indiquer une
orientation gnrale et des principes d'action concernant la
scurit de l'information ;
2) tient compte des exigences lies l'activit et des exigences
lgales ou rglementaires, ainsi que des obligations de scurit
contractuelles ;
3) s'aligne sur le contexte de management du risque stratgique
auquel est expos l'organisme, dans lequel se drouleront
l'tablissement et la mise jour de lISMS ;
4) tablit les critres d'valuation future du risque (voir 4.2.1c))
c) dfinir l'approche d'apprciation du risque de l'organisme :
1) Identifier une mthodologie d'apprciation du risque adapte
lISMS, ainsi qu' la scurit de l'information identifie de
l'organisme et aux exigences lgales et rglementaires.
2) Dvelopper des critres d'acceptation des risques et identifier
les niveaux de risque acceptables. (voir 5.1f)).
La mthodologie d'apprciation du risque choisie doit assurer
que les apprciations du risque produisent des rsultats
comparables et reproductibles.
d) identifier les risques.
1) Identifier les biens relevant du domaine d'application de
lISMS, ainsi que leurs propritaires.
2) Identifier les menaces auxquelles sont confronts ces biens.
3) Identifier les vulnrabilits qui pourraient tre exploites par
les menaces.
4) Identifier les impacts que les pertes de confidentialit,
d'intgrit et de disponibilit peuvent avoir sur les biens.
Page 82 sur 95
Activits d'EBIOS
permettant de les satisfaire
Activit 1.1 Dfinir le cadre
de la gestion des risques
biens

mtriques

mtriques

biens
vnements redouts
scnarios de menaces
ANSSI/ACE/BAC

e) analyser et valuer les risques.
1) valuer l'impact sur l'activit de l'organisme qui pourrait
dcouler d'une dfaillance de la scurit, en tenant compte des
consquences d'une perte de confidentialit, intgrit ou
disponibilit des biens.
2) valuer la probabilit raliste d'une dfaillance de scurit de
cette nature au vu des menaces et des vulnrabilits
prdominantes, des impacts associs ces biens et des
mesures actuellement mises en uvre.
3) Estimer les niveaux de risques.
4) Dterminer si le risque est acceptable ou doit faire l'objet d'un
traitement en utilisant les critres d'acceptation du risque tablis
en 4.2.1c)2).
f) identifier et valuer les options de traitement des risques.
Les actions envisageables incluent :
1) l'application de mesures appropries ;
2) l'acceptation des risques en connaissance de cause et avec
objectivit, dans la mesure o ils sont acceptables au regard des
politiques de l'organisme et des critres d'acceptation du risque
(voir 4.2.1c)2)) ;
3) l'annulation des risques ; et
4) le transfert des risques lis l'activit associs, des tiers,
par exemple assureurs, fournisseurs.
g) slectionner les objectifs des mesures et les mesures
proprement dites pour le traitement des risques.
Les objectifs des mesures et les mesures proprement dites
doivent tre slectionns et mis en uvre pour rpondre aux
exigences identifies par le processus d'apprciation du risque
et de traitement du risque. Cette slection doit tenir compte des
critres d'acceptation des risques (voir 4.2.1c)) ainsi que des
exigences lgales, rglementaires et contractuelles.
dfinis l'annexe A doivent tre slectionns comme partie
intgrante de ce processus, dans la mesure o ils peuvent
satisfaire ces exigences.
numrs l'annexe A ne sont pas exhaustifs et des objectifs
des mesures et des mesures proprement dites additionnels
peuvent galement tre slectionns.
h) obtenir l'approbation par la direction des risques rsiduels
proposs
i) obtenir l'autorisation de la direction pour mettre en uvre et
exploiter lISMS
j) prparer une dclaration d'applicabilit (Statement of Applicability
SoA).
Une SoA doit tre labore et comprendre les informations
suivantes :
1) les objectifs des mesures et les mesures proprement dites,
slectionns en 4.2.1g) et les raisons pour lesquelles ils ont t
slectionns ;
2) les objectifs des mesures et les mesures proprement dites
actuellement mis en uvre (voir 4.2.12)) ; et
3) l'exclusion des objectifs des mesures et des mesures
proprement dites spcifis l'annexe A et la justification de leur
exclusion.
Page 83 sur 95
Activits d'EBIOS

vnements redouts
risques

objectifs de scurit
Activit 5.1 Formaliser les

mesures de scurit mettre
en uvre

uvre les mesures de
scurit
en uvre

en uvre
ANSSI/ACE/BAC

4.2.2 Mise en uvre et fonctionnement de lISMS
L'organisme doit effectuer les tches suivantes :
a) laborer un plan de traitement du risque qui identifie les actions
engager, les ressources, les responsabilits et les priorits
appropries pour le management des risques lis la scurit de
l'information (voir l'article 5) ;
b) mettre en uvre le plan de traitement du risque afin d'atteindre
les objectifs des mesures identifis, ce plan prvoyant le mode de
financement et l'affectation de rles et de responsabilits ;
c) mettre en uvre les mesures slectionnes en 4.2.1g) afin de
rpondre aux objectifs des mesures ;
[]
4.2.3 Surveillance et rexamen de lISMS
[]
d) rexaminer les apprciations du risque intervalles planifis et
rexaminer le niveau de risque rsiduel et le niveau de risque
acceptable identifi, compte tenu des changements apports :
1) l'organisme ;
2) la technologie ;
3) aux objectifs mtiers et aux processus de l'organisme ;
4) aux menaces identifies ;
5) l'efficacit des mesures mises en uvre ; et
6) aux vnements extrieurs, tels que les modifications
apportes au milieu de la lgislation ou de la rglementation, les
obligations contractuelles modifies et les changements du
climat social ;
[]
Activits d'EBIOS

uvre les mesures de
scurit
Toutes les activits
Les donnes produites par

les activits d'EBIOS
permettent d'laborer la
plupart des documents
exigs
4.3 Exigences relatives la documentation
Page 84 sur 95
ANSSI/ACE/BAC
EBIOS dcline parfaitement l'[ISO 27005]

La mthode EBIOS permet de mettre en uvre l'[ISO 27005] (cadre pour les mthodes de gestion
des risques de scurit de l'information). Le tableau suivant en illustre la correspondance :
Chapitres de l'[ISO 27005]
Foreword
Introduction
1. Scope
2. Normative references
3. Terms and definitions
4. Structure of this standard
Activits d'EBIOS correspondantes

Avant-propos
Introduction
Annexe B Rfrences Dfinitions
1. Grer durablement les risques sur le patrimoine
informationnel
5. Background
6. Overview of the information security risk
management process
7. Context establishment
7.1. General considerations
7.2. Basic Criteria
7.3. The scope and boundaries
7.4. Organization for information security risk
management
2. EBIOS : la mthode de gestion des risques

Activit 1.1 Dfinir le cadre de la gestion des
risques
8. Information security risk assessment
8.1. General description of information security
risk assessment
8.2. Risk analysis
8.3. Risk evaluation
9. Information security risk treatment
9.1. General description of information security Module 4 tude des risques
risk treatment
9.2. Risk reduction
9.3. Risk retention
9.4. Risk avoidance
9.5. Risk transfer
10. Information security risk acceptance
Toutes les activits (partie Communication et
11. Information security risk communication
concertation)
12. Information security risk monitoring and
Toutes les activits (partie Surveillance et revue)
review
12.1. Monitoring and review of risk factors
12.2. Risk management monitoring, reviewing
and improving
Page 85 sur 95
ANSSI/ACE/BAC
EBIOS est dcline parfaitement l'[ISO 31000]

La mthode EBIOS permet de mettre en uvre la dmarche type de gestion des risques (applicable
tous les types de risques) dcrite dans l'[ISO 31000]. Le tableau suivant en illustre la
correspondance :
Chapitres de l'[ISO 31000]
Avant-propos
Activits d'EBIOS correspondantes

Avant-propos
Introduction
Annexe B Rfrences Dfinitions
1. Grer durablement les risques sur le patrimoine
informationnel
2. EBIOS : la mthode de gestion des risques
Introduction
1. Domaine dapplication
2. Rfrences normatives
3. Termes et dfinitions
4. Principes de management du risque
5. Cadre organisationnel de management du
risque
5.1. Gnralits
5.2. Mandat et engagement
5.3. Conception du cadre organisationnel de
management du risque
5.4. Mise en uvre du management du risque
5.5. Surveillance et revue du cadre
organisationnel
5.6. Amlioration continue du cadre
organisationnel
6. Processus de management du risque
6.1. Gnralits
6.2. Communication et consultation
6.3. tablissement du contexte
6.4. Apprciation du risque
6.5. Traitement du risque
6.6. Surveillance et revue
6.7. Documentation du processus de
management du risque

3. Description de la dmarche
2.2. Une dmarche itrative en cinq modules
Toutes les activits (partie Communication et
concertation)
Toutes les activits (partie Donnes produites)
Page 86 sur 95
ANSSI/ACE/BAC
Annexe B Rfrences
Acronymes
ANSSI
Agence Nationale de la Scurit des Systmes d'Information
EBIOS
Expression des Besoins et Identification des Objectifs de Scurit
FEROS
Fiche d'Expression Rationnelle des Objectifs de Scurit
ISO
International Organization for

internationale de normalisation)
PP
Profil de Protection
Page 87 sur 95
Standardization
(organisation
ANSSI/ACE/BAC
Dfinitions
Apprciation des risques
(risk assessment)
Sous-processus de la gestion des risques visant identifier,

analyser et valuer les risques.
(d'aprs [ISO Guide 73] Apprciation du risque : ensemble du
processus d'identification des risques, d'analyse du risque et
d'valuation du risque)
Besoin de scurit
(sensitivity)
Dfinition prcise et non ambigu du niveau d'exigences

oprationnelles relatives un bien essentiel pour un critre de
scurit donn (disponibilit, confidentialit, intgrit).
Exemples :
-
Bien
(asset)
doit tre disponible dans la journe ;

ne doit tre connu que du groupe projet ;
peut ne pas tre intgre dans la mesure o l'on peut le
dtecter et retrouver son intgrit ;
Toute ressource qui a de la valeur pour l'organisme et qui est

ncessaire la ralisation de ses objectifs. On distingue
notamment les biens essentiels et les biens supports.
(d'aprs [ISO 27001] : tout lment reprsentant de la valeur pour
lorganisme)
Exemples :
-
Bien essentiel
(primary asset)
liste de noms ;
requte de certification ;
gestion de la facturation ;
algorithme de chiffrement ;
micro-ordinateur portable ;
Ethernet ;
systme d'exploitation ;
Information ou processus jug comme important pour l'organisme.

On apprciera ses besoins de scurit mais pas ses
vulnrabilits.
Exemples :
-
une liste de noms ;

passer une commande client ;
grer la facturation ;
un algorithme de chiffrement ;
Page 88 sur 95
ANSSI/ACE/BAC
Bien support
Bien sur lequel reposent des biens essentiels. On distingue

notamment les systmes informatiques, les organisations et les
locaux. On apprciera ses vulnrabilits mais pas ses besoins de
scurit.
(supporting asset)
Exemples :
Communication
concertation
et
(communication and
consultation)
socit d'infogrance ;
locaux de l'organisme ;
administrateur systme ;
micro-ordinateur portable ;
Ethernet ;
systme d'exploitation ;
portail de tlprocdure ;
Processus itratifs et continus mis en oeuvre par un organisme

afin de fournir, partager ou obtenir des informations et d'engager
un dialogue avec les parties prenantes et autres parties,
concernant la gestion des risques.
(d'aprs [ISO Guide 73] : processus itratifs et continus mis en
oeuvre par un organisme afin de fournir, partager ou obtenir des
informations et d'engager un dialogue avec les parties prenantes
et autres parties, concernant le management du risque)
Confidentialit
Proprit des biens essentiels de n'tre accessibles qu'aux

personnes autoriss.
(confidentiality)
(d'aprs [IGI 1300] : caractre rserv d'une information ou dun

traitement dont laccs est limit aux seules personnes admises
la (le) connatre pour les besoins du service, ou aux entits ou
processus autoriss)
Critre de scurit
Caractristique d'un bien essentiel permettant d'apprcier ses

diffrents besoins de scurit.
(security criteria)
Exemples :
Disponibilit
disponibilit,
intgrit,
confidentialit,
Proprit d'accessibilit au moment voulu des biens essentiels par

les personnes autorises.
(availability)
(d'aprs [IGI 1300] : proprit d'une information ou dun traitement

d'tre, la demande, utilisable par une personne ou un systme)
tablissement
contexte
(context establishment)
du
Dfinition des paramtres externes et internes prendre en

compte lors de la gestion des risques et dfinition du primtre de
l'tude ainsi que des critres de gestion des risques.
(d'aprs [ISO Guide 73] : dfinition des paramtres externes et
internes prendre en compte lors du management du risque et
dfinition du domaine d'application ainsi que des critres de risque
pour la politique de management du risque)
Page 89 sur 95
ANSSI/ACE/BAC
vnement redout
(feared event)

Scnario gnrique reprsentant une situation crainte par
l'organisme. Il s'exprime par la combinaison des sources de
menaces susceptibles d'en tre l'origine, d'un bien essentiel,
d'un critre de scurit, du besoin de scurit concern et des
impacts potentiels.
Exemples :
-
Gestion des risques

(risk management)
une personne mal intentionne (un journaliste, un

concurrent) parvient obtenir le budget prvisionnel de
l'organisme, jug confidentiel, et publie l'information dans les
mdias
Processus itratif de pilotage, visant maintenir les risques un

niveau acceptable pour l'organisme. La gestion des risques inclut
typiquement l'apprciation, le traitement, la validation du
traitement et la communication relative aux risques.
(d'aprs [ISO Guide 73] Processus de management du risque :
application systmatique de politiques, procdures et pratiques de
management aux activits de communication, de concertation,
d'tablissement du contexte, ainsi qu'aux activits d'identification,
d'analyse, d'valuation, de traitement, de surveillance et de revue
des risques)
Gravit
(consequences)
Estimation de la hauteur des effets d'un vnement redout ou

d'un risque. Elle reprsente ses consquences.
(d'aprs [ISO Guide 73] Consquence : effet d'un vnement
affectant les objectifs)
Exemples :
-
Homologation de scurit
(security accreditation)
ngligeable : l'organisme surmontera les impacts sans

aucune difficult,
limite : l'organisme surmontera les impacts malgr quelques
difficults,
importante : l'organisme surmontera les impacts avec de
srieuses difficults,
critique : l'organisme ne surmontera pas les impacts (sa
survie est menace),
Dclaration, par une autorit dite dhomologation, que le primtre

de l'tude est apte traiter des biens au niveau des besoins de
scurit exprim, conformment aux objectifs de scurit viss, et
quelle accepte les risques rsiduels induits.
(d'aprs [IGI 1300] : dclaration par lautorit dhomologation, au
vu du dossier dhomologation, que le systme dinformation
considr est apte traiter des informations dun niveau de
classification donn conformment aux objectifs de scurit viss,
et que les risques de scurit rsiduels induits sont accepts et
matriss. Lhomologation de scurit reste valide tant que le SI
opre dans les conditions approuves par lautorit
dhomologation)
Page 90 sur 95
ANSSI/ACE/BAC
Impact
(impact)

Consquence directe ou indirecte de l'insatisfaction des besoins
de scurit sur l'organisme et/ou sur son environnement.
Exemples de types d'impacts :
-
Information
(information)
sur les missions,

sur la scurit des personnes,
financiers,
juridiques,
sur l'image,
sur l'environnement,
Tout renseignement ou tout lment de connaissance susceptible

d'tre reprsent sous une forme adapte une communication,
un enregistrement ou un traitement. [IGI 1300]
Exemples :
-
Intgrit
(integrity)
Menace
(threat)
Proprit d'exactitude et de compltude des biens essentiels.

(d'aprs [IGI 1300] : proprit assurant quune information ou un
traitement n'a pas t modifi ou dtruit de faon non autorise)
Moyen type utilis par une source de menace.
Exemples :
-
Mesure de scurit
(control)
Objectif de scurit
(security objective)
Organisme
(organisation)
un message ;
une liste de noms ;
une requte de certification ;
liste de rvocation ;
vol de supports ou de documents ;

pigeage du logiciel ;
atteinte la disponibilit du personnel ;
coute passive ;
crue ;
Moyen de traiter un risque de scurit de l'information. La nature

et le niveau de dtail de la description d'une mesure de scurit
peuvent tre trs variables.
Expression de la dcision de traiter un risque selon des modalits
prescrites. On distingue notamment la rduction, le transfert
(partage des pertes), le refus (changements structurels pour viter
une situation risque) et la prise de risque.
Ensemble dinstallations et de personnes
responsabilits, pouvoirs et relations. [ISO 9000]
avec
des
Exemples :
Partie prenante
(stakeholder)
entreprise,
dpartement ministriel,
Personne ou organisme susceptible d'affecter, d'tre affect ou de

se sentir lui-mme affect par une dcision ou une activit.
[ISO Guide 73]
Page 91 sur 95
ANSSI/ACE/BAC
Prise de risques
(risk retention)

Choix de traitement consistant accepter les consquences de la
ralisation de tout ou partie de risques, sans appliquer de mesure
de scurit.
(d'aprs [ISO Guide 73] Prise de risque : acceptation de
l'avantage potentiel d'un gain ou de la charge potentielle d'une
perte dcoulant d'un risque particulier)
Processus de l'organisme
(business process)
Processus informationnel
(information process)
Rduction de risques
(risk reduction)
Ensemble organis dactivits qui utilisent des ressources pour

transformer des entres en sorties. [ISO 9000]
Ensemble organis de traitements qui utilisent des biens supports
pour transformer des informations d'entres en informations de
sorties (d'aprs [ISO 9000]).
Choix de traitement consistant appliquer des mesures de
scurit destines rduire les risques.
Exemples :
-
Refus de risques
(risk avoidance)
laborer une politique de scurit de l'information,

mettre en uvre un antivirus qui devra rgulirement tre mis
jour,
sensibiliser les personnels aux risques,
Choix de traitement consistant viter les situations risque.

(d'aprs [ISO Guide 73] Refus du risque : dcision argumente
de ne pas s'engager dans une activit, ou de s'en retirer, afin de
ne pas tre expos un risque particulier)
Exemples :
-
Risque rsiduel
changement de lieu d'implantation des locaux,

rduction des ambitions d'un projet,
arrt d'un service,
Risque subsistant aprs le traitement du risque. [ISO Guide 73]
(residual risk)
Risque de scurit de
l'information
(information security risk)
Scnario, avec un niveau donn, combinant un vnement

redout et un ou plusieurs scnarios de menaces.
Son niveau correspond l'estimation de sa gravit et de sa
vraisemblance.
(d'aprs [ISO Guide 73] : effet de l'incertitude sur l'atteinte des
objectifs. [] NOTE 3 Un risque est souvent caractris en
rfrence des vnements et des consquences potentiels ou
une combinaison des deux. NOTE 4 Un risque est souvent
exprim en termes de combinaison des consquences d'un
vnement et de sa vraisemblance)
Page 92 sur 95
ANSSI/ACE/BAC
Scnario de menace
(vector)

Scnario, avec un niveau donn, dcrivant des modes
opratoires. Il combine les sources de menaces susceptibles d'en
tre l'origine, un bien support, un critre de scurit, des
menaces et les vulnrabilits exploitables pour qu'elles se
ralisent.
Son niveau correspond l'estimation de sa vraisemblance.
Exemples :
-
Scurit de l'information
vol de supports ou de documents du fait de la facilit de

pntrer dans les locaux,
pigeage du logiciel du fait de la navet des utilisateurs,
inondation due au fait que les btiments sont inondables
Satisfaction des besoins de scurit des biens essentiels.
(information security)
Source de menace
(threat source)
Chose ou personne l'origine de menaces. Elle peut tre

caractrise par son type (humain ou environnemental), par sa
cause (accidentelle ou dlibre) et selon le cas par ses
ressources disponibles, son expertise, sa motivation
(d'aprs [ISO Guide 73] Source de risque : tout lment qui,
seul ou combin d'autres, prsente un potentiel intrinsque
d'engendrer un risque)
Exemples :
-
(risk monitoring and review)
ancien membre du personnel ayant peu de comptences

techniques et de temps mais susceptible d'avoir une forte
motivation,
pirate avec de fortes comptences techniques, bien quip et
une forte motivation lie l'argent qu'il peut gagner,
climat trs fortement pluvieux pendant trois mois par an,
virus,
utilisateurs,
Sous-processus de la gestion des risques visant surveiller (de

manire continue) et revoir (de manire rgulire) les risques de
scurit de l'information et leur gestion.
(d'aprs [ISO Guide 73] Surveillance : vrification, supervision,
observation critique ou dtermination de l'tat afin d'identifier
continment des changements par rapport au niveau de
performance exig ou attendu ; Revue : activit entreprise afin de
dterminer l'adaptation, l'adquation et l'efficacit de l'objet tudi
pour atteindre les objectifs tablis)
Systme d'information
(information system)
Traitement des risques
(risk treatment)
Ensemble des moyens humains et matriels ayant pour finalit

d'laborer, traiter, stocker, acheminer, prsenter ou dtruire
l'information. [IGI 1300]
Sous-processus de la gestion des risques permettant de choisir et
de mettre en uvre des mesures de scurit visant modifier les
risques de scurit de l'information.
(d'aprs [ISO Guide 73] Traitement du risque : processus
destin modifier un risque)
Page 93 sur 95
ANSSI/ACE/BAC
Transfert de risques
(risk transfer)

Choix de traitement consistant partager les pertes conscutives
la ralisation de risques.
(d'aprs [ISO Guide 73] Partage du risque : forme de traitement
du risque impliquant la rpartition consentie du risque avec
d'autres parties)
Exemples :
-
Validation du traitement
des risques
(risk acceptance)
recours une assurance,

emploi de produits certifis,
Sous-processus de la gestion des risques visant dcider

d'accepter la manire dont les risques ont t traits ainsi que les
risques rsiduels l'issue du traitement des risques.
(d'aprs [ISO Guide 73] Acceptation du risque : dcision
argumente en faveur de la prise d'un risque particulier)
Vraisemblance
(likelihood)
Estimation de la possibilit qu'un scnario de menace ou un

risque, se produise. Elle reprsente sa force d'occurrence.
(d'aprs [ISO Guide 73] : possibilit que quelque chose se
produise)
Exemples :
-
Vulnrabilit
(vulnerability)
minime : cela ne devrait pas se (re)produire,

forte : cela pourrait se (re)produire,
significative : cela devrait se (re)produire un jour ou l'autre,
maximale : cela va certainement se (re)produire
prochainement,
Caractristique d'un bien support qui peut constituer une faiblesse

ou une faille au regard de la scurit des systmes d'information.
(d'aprs [ISO Guide 73] : proprits intrinsques de quelque
chose entranant une sensibilit une source de risque pouvant
induire une consquence)
Exemples :
-
crdulit du personnel,
facilit de pntrer sur un site,
possibilit de crer ou modifier des commandes systmes,
Page 94 sur 95
ANSSI/ACE/BAC
Rfrences bibliographiques
[Guide 150]
Fiche dExpression Rationnelle des Objectifs de Scurit des

systmes dinformation (FEROS), Secrtariat gnral de la
dfense nationale SGDN (1991).
[IGI 1300]
Instruction gnrale interministrielle sur la protection du secret de

la dfense nationale, Secrtariat gnral de la dfense nationale
SGDN (2003).
[ISO 15408]
Critres Communs pour lvaluation de la scurit des

Technologies de lInformation, International Organization for
Standardization ISO (2005).
[ISO 27001]
Information technology Security Techniques Information

security management systems Requirements, International
Organization for Standardization ISO (2005).
[ISO 27002]
Information technology Code of practice for information security

management, International Organization for Standardization ISO
(2005).
[ISO 27005]
Information technology Security Techniques Information

security risk management, International Organization for
Standardization ISO (2008).
[ISO 31000]
Management du risque Principes et lignes directrices de mise en

oeuvre, International Organization for Standardization ISO
(2008).
[ISO 9000]
Systmes de management de la qualit Principes essentiels et

vocabulaire International Organization for Standardization ISO
(2000).
[ISO Guide 73]
Management du risque Vocabulaire International Organization

for Standardization ISO (2009).
[RGS]
Rfrentiel gnral de scurit SGDN (2009).
Page 95 sur 95

EBIOS 1 GuideMethodologique 2010-01-25

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

EBIOS 1 GuideMethodologique 2010-01-25

Transféré par

Droits d'auteur :

Formats disponibles

PREMIER MINISTRE

Secrtariat gnral de la dfense et de la scurit nationale

Expression des Besoins et

Version du 25 janvier 2010

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 65 - Fax 01 71 75 84 90

EBIOS Mthode de gestion des risques 25 janvier 2010

Historique des modifications

Publication du guide d'expression des besoins et d'identification des

Publication de la version 2 du guide EBIOS (convergence vers l'ISO

Amlioration du guide EBIOS :

EBIOS Mthode de gestion des risques 25 janvier 2010

Table des matires

GRER DURABLEMENT LES RISQUES SUR LE PATRIMOINE INFORMATIONNEL ............. 9

L'ENJEU : ATTEINDRE SES OBJECTIFS SUR LA BASE DE DCISIONS RATIONNELLES ...................... 9

DES PRATIQUES DIFFRENTES MAIS DES PRINCIPES COMMUNS ................................................... 9

LA SPCIFICIT DE LA SCURIT DE L'INFORMATION : LE PATRIMOINE INFORMATIONNEL .............. 9

LA DIFFICULT : APPRHENDER LA COMPLEXIT ...................................................................... 10

LE BESOIN D'UNE MTHODE .................................................................................................... 10

EBIOS : LA MTHODE DE GESTION DES RISQUES............................................................... 11

COMMENT EBIOS PERMET-ELLE DE GRER LES RISQUES ? ..................................................... 11

L'tablissement du contexte ......................................................................................................... 11

UNE DMARCHE ITRATIVE EN CINQ MODULES ......................................................................... 13

Module 1 tude du contexte ...................................................................................................... 13

DIFFRENTS USAGES D'EBIOS ............................................................................................... 14

EBIOS est une bote outils usage variable ............................................................................. 14

FIABILISER ET OPTIMISER LA PRISE DE DCISION ...................................................................... 16

Un outil de ngociation et d'arbitrage ........................................................................................... 16

EBIOS Mthode de gestion des risques 25 janvier 2010

Une mthode rapide ..................................................................................................................... 16

RIGUEUR DE LA MTHODE EBIOS ........................................................................................... 17

Une mthode valide : la dmarche peut tre reproduite et vrifie.............................................. 17

DESCRIPTION DE LA DMARCHE ........................................................................................... 18

EBIOS Mthode de gestion des risques 25 janvier 2010

ANNEXE A DMONSTRATION DE LA COUVERTURE DES NORMES ........................................ 82

EBIOS Mthode de gestion des risques 25 janvier 2010

Traitement des risques ................................................................................................................. 93

EBIOS Mthode de gestion des risques 25 janvier 2010

EBIOS Mthode de gestion des risques 25 janvier 2010

Rfrences rglementaires et normatives

EBIOS Mthode de gestion des risques 25 janvier 2010

1 Grer durablement les risques sur le patrimoine

1.2 Des pratiques diffrentes mais des principes communs

1.3 La spcificit de la scurit de l'information : le patrimoine

EBIOS Mthode de gestion des risques 25 janvier 2010

1.4 La difficult : apprhender la complexit

1.5 Le besoin d'une mthode

On parle videmment ici de la notion de systme d'information correspondant l'ensemble de biens

EBIOS Mthode de gestion des risques 25 janvier 2010

2 EBIOS : la mthode de gestion des risques

L'apprciation des risques

Le traitement des risques

EBIOS Mthode de gestion des risques 25 janvier 2010

La validation du traitement des risques

La communication et la concertation relatives aux risques

La surveillance et la revue des risques

EBIOS Mthode de gestion des risques 25 janvier 2010

2.2 Une dmarche itrative en cinq modules

Module 1 tude du contexte

Module 2 tude des vnements redouts

Module 3 tude des scnarios de menaces

Module 4 tude des risques

Module 5 tude des mesures de scurit

EBIOS Mthode de gestion des risques 25 janvier 2010

2.3 Diffrents usages d'EBIOS

Employ peu srieux

Employ peu srieux