Académique Documents
Professionnel Documents
Culture Documents
EBIOS 1 GuideMethodologique 2010-01-25
EBIOS 1 GuideMethodologique 2010-01-25
EBIOS
MTHODE DE GESTION DES RISQUES
ANSSI/ACE/BAC
Objet de la modification
Statut
02/1997
Valid
Valid
Valid
Page 2 sur 95
ANSSI/ACE/BAC
1.2
1.3
1.4
1.5
ANSSI/ACE/BAC
ANSSI/ACE/BAC
Page 5 sur 95
ANSSI/ACE/BAC
Page 6 sur 95
ANSSI/ACE/BAC
Avant-propos
L'Agence nationale de la scurit des systmes d'information (ANSSI) labore et tient jour un
important rfrentiel mthodologique destin aider les organismes du secteur public et du secteur
priv grer la scurit de leurs systmes d'informations. Ce rfrentiel est compos de mthodes,
de meilleures pratiques et de logiciels, diffuss gratuitement sur son site Internet
(http://www.ssi.gouv.fr).
Le Club EBIOS est une association indpendante but non lucratif (Loi 1901), compose d'experts
individuels et d'organismes. Il regroupe une communaut de membres du secteur public et du secteur
priv, franais et europens. Il supporte et enrichit le rfrentiel de gestion des risques franais depuis
2003, en collaboration avec l'ANSSI. Le Club organise des runions priodiques pour favoriser les
changes d'expriences, l'homognisation des pratiques et la satisfaction des besoins des usagers.
Il constitue galement un espace pour dfinir des positions et exercer un rle d'influence dans les
dbats nationaux et internationaux.
Ce document a t ralis par le bureau assistance et conseil de l'ANSSI, avec la collaboration du
Club EBIOS. La communaut des utilisateurs d'EBIOS enrichit rgulirement le rfrentiel
complmentaire ce document (techniques de mise en uvre, bases de connaissances, guides
d'utilisations spcifiques de la mthode, documents relatifs la communication, la formation, la
certification, logiciels).
Page 7 sur 95
ANSSI/ACE/BAC
Introduction
Qu'est-ce qu'EBIOS ?
1
La mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) permet
d'apprcier et de traiter les risques. Elle fournit galement tous les lments ncessaires la
communication au sein de l'organisme et vis--vis de ses partenaires, ainsi qu' la validation du
traitement des risques. Elle constitue de ce fait un outil complet de gestion des risques.
Objectifs du document
Les principaux objectifs du prsent document sont :
de fournir une base commune de concepts et d'activits pragmatiques toute personne
implique dans la gestion des risques, notamment dans la scurit de l'information ;
de satisfaire les exigences de gestion des risques d'un systme de management de la
scurit de l'information ([ISO 27001]) ;
de dfinir une dmarche mthodologique complte en cohrence et en conformit avec les
normes internationales de gestion des risques ([ISO 31000], [ISO 27005]) ;
d'tablir une rfrence pour la certification de comptences relatives la gestion des risques.
Domaine d'application
La dmarche de gestion des risques prsente dans ce guide peut s'appliquer au secteur public et au
secteur priv, des petites structures (petites et moyennes entreprises, collectivits territoriales) et
des grandes structures (ministre, organisation internationale, entreprise multinationale), des
systmes en cours d'laboration et des systmes existants.
Historiquement employe dans le domaine de la scurit de l'information, elle a t exploite dans
d'autres domaines.
EBIOS fait aujourd'hui figure de rfrence en France, dans les pays francophones et l'international.
Structure du document
Aprs avoir prsent la problmatique de la gestion des risques, notamment dans le domaine de la
scurit de l'information (chapitre 1), ce document explique ce qu'est EBIOS et son fonctionnement
gnral (chapitre 2), puis dcrit chaque activit de la dmarche (chapitre 3).
Une dmonstration de la couverture des normes internationales (annexe A) et les rfrences utiles
(annexe B) compltent le document.
EBIOS est une marque dpose par le Secrtariat gnral de la dfense et de la scurit nationale.
Page 8 sur 95
ANSSI/ACE/BAC
Page 9 sur 95
ANSSI/ACE/BAC
Le patrimoine informationnel nat, vit et disparat dans le cadre des diffrents systmes d'information
qui l'entourent. Ceux-ci ont un but, des moyens, et sont organiss pour crer, exploiter, transformer et
communiquer le savoir (informations) et le savoir-faire (fonctions, processus). Ils sont par nature
complexes, changeants et interfacs avec d'autres, chacun ayant ses propres contraintes.
De plus, ces systmes dinformation peuvent tre confronts des problmes varis, sont en
volution constante, sont parfois lis les uns aux autres, et sont difficiles mettre objectivement en
vidence.
Il est donc ncessaire d'employer des moyens rationnels pour apprhender la protection du
patrimoine informationnel de manire la fois globale et dynamique.
ANSSI/ACE/BAC
Page 11 sur 95
ANSSI/ACE/BAC
Page 12 sur 95
ANSSI/ACE/BAC
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
La dmarche est dite itrative. En effet, il sera fait plusieurs fois appel chaque module afin d'en
amliorer progressivement le contenu, et la dmarche globale sera galement affine et tenue jour
de manire continue.
Page 13 sur 95
ANSSI/ACE/BAC
ANSSI/ACE/BAC
ANSSI/ACE/BAC
Un outil de sensibilisation
EBIOS permet de sensibiliser toutes les parties prenantes d'un projet (direction gnrale, financire,
juridique ou des ressources humaines, matrise d'ouvrage, matrise d'uvre, utilisateurs), d'impliquer
les acteurs du systme d'information et d'uniformiser le vocabulaire.
Un outil rutilisable
EBIOS favorise la prennit des analyses de risques et la cohrence globale de la scurit. En effet,
l'tude spcifique d'un systme peut tre base sur l'tude globale de l'organisme ; une tude peut
tre rgulirement mise jour afin de grer les risques de manire continue ; l'tude d'un systme
comparable peut aussi tre utilise comme rfrence.
Un rfrentiel complet
La mthode dispose de bases de connaissances riches et adaptables (types de biens supports,
menaces, vulnrabilits, mesures de scurit), d'un logiciel libre et gratuit, de formations de qualit
pour le secteur public et le secteur priv et de documents de communication varis.
De nombreux utilisateurs
Elle est largement utilise dans le secteur public (l'ensemble des ministres et des organismes sous
tutelle), dans le secteur priv (cabinets de conseil, industriels, petites et grandes entreprises), en
France et l'tranger (Union europenne, Qubec, Belgique, Tunisie, Luxembourg). L'association
Club EBIOS runit rgulirement la communaut d'experts et d'utilisateurs soucieux de contribuer au
dveloppement de la mthode et de disposer des dernires informations son sujet.
Page 16 sur 95
ANSSI/ACE/BAC
Page 17 sur 95
ANSSI/ACE/BAC
3 Description de la dmarche
Ce chapitre prsente les cinq modules de la mthode EBIOS :
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
Chaque activit des cinq modules est dcrite sous la forme d'une fiche selon le mme formalisme :
Objectif
But et description de l'activit, replace dans un contexte gnral.
Avantages
Liste des principaux avantages apports par la mise en uvre de l'activit.
Donnes d'entre
Liste des informations d'entre, ncessaires la mise en uvre de l'activit.
Actions prconises et rle des parties prenantes
Liste des actions prconises et responsabilits gnriques pour raliser l'activit :
- "R"
=
Responsable de la mise en uvre de l'activit
- "A"
=
Autorit lgitime pour approuver l'activit (imputable)
- "C"
=
Consult pour obtenir les informations ncessaires l'activit
- "I"
=
Inform des rsultats de l'activit
Les fonctions gnriques, qui peuvent endosser ces responsabilits, sont les suivantes :
- Responsable =
Responsables du primtre de l'tude
- RSSI
=
Responsable de la scurit de l'information
- Risk manager =
Gestionnaire de risques
- Autorit
=
Autorits de validation
- Dpositaire =
Dpositaire de biens essentiels (utilisateurs ou matrises d'ouvrage)
- Propritaire =
Propritaire de biens supports
Donnes produites
Liste des informations de sortie, produites par les actions de l'activit.
Communication et concertation
Liste des principales ides pour obtenir de l'information (techniques employer) et la restituer
(prsentation des rsultats, reprsentations graphiques).
Surveillance et revue
Liste des points de contrle pour vrifier la qualit de la ralisation de l'activit et la tenue jour des
informations rsultantes.
Propositions pour mettre en uvre les actions prconises
Description dtaille de la (des) manire(s) possible(s) de procder pour mettre en uvre les actions
prconises.
Page 18 sur 95
ANSSI/ACE/BAC
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Page 19 sur 95
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
ANSSI/ACE/BAC
Donnes d'entre
R
R
R
R
R
Propritaire
Dpositaire
Actions :
Action 1.1.1. Cadrer l'tude des risques
Action 1.1.2. Dcrire le contexte gnral
Action 1.1.3. Dlimiter le primtre de l'tude
Action 1.1.4. Identifier les paramtres prendre en compte
Action 1.1.5. Identifier les sources de menaces
Autorit
Parties prenantes :
Risk manager
RSSI
I
I
A
I
I
Donnes produites
Communication et concertation
Les donnes sont obtenues l'aide de documents et d'entretiens avec les parties prenantes
Les donnes produites peuvent faire l'objet d'une note de cadrage
Elles peuvent utilement tre intgres la politique de scurit de l'information
Surveillance et revue
Le primtre de l'tude (toute l'organisation, une unit d'affaires, un processus) est dfini et
dlimit de faon claire et explicite
La dfinition du risque est adapte au contexte particulier de l'organisation et dlimite de
faon claire et explicite
La population l'tude est dfinie
Le type dchantillonnage (probabiliste, non probabiliste ou autre) est identifi et justifi en
fonction de la population l'tude, du contexte et de la porte de l'tude
Les critres de slection (inclusion et exclusion) des participants l'tude sont choisis afin de
reprsenter de faon quilibre l'ensemble de l'organisation dans laquelle est ralise l'tude
Des processus sont mis en place pour vrifier qu'on a bien considr toutes les informations
ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits).
Par exemple, l'identification priori des principaux lments qui devront tre considrs dans
l'tude permettra de faire une validation post-tude de rsultats afin de s'assurer que rien n'a
t omis. Dans le cas de variance entre les attentes dfinies priori et l'analyse post-tude,
l'organisation pourra valuer les causes de cette variance afin de s'assurer que celle-ci fut
exhaustive et, au besoin, prendre des actions correctives.
Page 20 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste formaliser le but de l'tude (en termes d'intention et de livrables) et dfinir la
manire dont elle va tre mene. En effet, la dmarche qui va tre employe (actions entreprendre
parmi l'ensemble des actions de la mthode EBIOS, particularits de mise en uvre, niveau de dtail,
parties prenantes impliquer) dpend essentiellement de l'objectif de l'tude.
Il convient tout d'abord de formaliser le but de l'tude, comme par exemple :
d'optimiser les processus mtiers en matrisant les risques de scurit de l'information ;
de mettre en place un systme de management de la scurit de l'information ;
d'homologuer un systme d'information ;
d'laborer d'une politique de scurit de l'information ;
de contribuer la gestion globale des risques de l'organisme
Ensuite, il convient d'identifier clairement les livrables attendus, comme par exemple :
une politique de scurit de l'information, destination de tout le personnel ;
un cahier des charges soumettre pour un appel d'offres ;
une cartographie des risques pour le risk manager ;
une fiche d'expression rationnelle des objectifs de scurit (FEROS), destination d'une
commission d'homologation ;
une cible de scurit en vue d'une valuation de produit de scurit ;
des orientations stratgiques en matire de scurit de l'information pour la direction
Enfin, il convient de planifier la structure de travail pour cadrer l'tude qui va tre ralise :
les actions entreprendre (choix des activits ou des actions, particularits d'application) ;
les ressources prvoir et le rle des parties prenantes ;
le calendrier prvisionnel ;
les documents produire (enregistrements, livrables intermdiaires et finaux) ;
On peut galement prciser :
les chemins de dcision emprunter ;
les mcanismes de communication interne et externe ;
la population l'tude ;
les critres de slection des personnes participant l'tude ;
la mthode selon laquelle les performances de la gestion des risques sont values.
Conseils
Page 21 sur 95
ANSSI/ACE/BAC
Exemple
L'objectif de l'tude : grer les risques SSI sur le long terme et laborer une politique
Le Directeur de la socit @RCHIMED souhaite que les risques de scurit de l'information qui
pourraient empcher l'organisme d'atteindre ses objectifs soient grs, et ce, de manire continue,
afin d'tre au plus proche d'une ralit en mouvement.
Une politique de scurit de l'information doit ainsi tre produite, applique et contrle.
Par ailleurs, il n'exclut pas l'ide de faire certifier terme les principales activits du cabinet selon
l'ISO 27001 et reconnat l'intrt d'exploiter des meilleures pratiques reconnues internationalement
(ISO 27002). Par consquent, une dclaration d'applicabilit devrait tre produite ultrieurement.
Service comptabilit
Note de
cadrage
Note de
stratgie
Politique de
scurit de
l'information
Homologation
Page 22 sur 95
Vrifier
l'uniformit de la
comprhension
Ne pas trop
dtailler
Utiliser les bases
gnriques
Utiliser les bases
gnriques
Cette activit ne
sera ralise de
suite
Bureau d'tudes
Ressources
estimes (en h.j)
Service commercial
Consignes
particulires
Secrtariat
Documents
produire en plus de
l'tude des risques
Comit de suivi
Directeur
Activits d'EBIOS
Activit 1.1 Dfinir le
cadre de la gestion des
risques
Directeur adjoint
Le plan d'action : une rflexion sur 15 jours qui requiert la participation de tous
Pour ce faire, le cabinet @RCHIMED prvoit la structure de travail suivante :
15
ANSSI/ACE/BAC
Description
Cette action consiste se familiariser avec l'environnement et la conjoncture du primtre de l'tude,
de manire inscrire la gestion de risques dans sa ralit et identifier les lments pouvant
impacter la manire de grer les risques de scurit de l'information.
Le but est ici de faciliter l'intgration de la gestion des risques dans la culture, la structure et les
processus de l'organisme en mettant en vidence les lments qu'il conviendra de considrer dans la
rflexion de scurit de l'information. L'tude pourra ainsi tre adapte son contexte spcifique afin
que les objectifs et proccupations de toutes les parties prenantes puissent tre pris en compte.
On peut ainsi utilement collecter les informations suivantes :
sur le contexte externe :
o l'environnement social et culturel, politique, lgal, rglementaire, financier,
technologique, conomique, naturel et concurrentiel, au niveau international, national,
rgional ou local ;
o les facteurs et tendances ayant un impact dterminant sur les objectifs ;
o les relations avec les parties prenantes externes, leurs perceptions et leurs valeurs ;
sur le contexte interne :
o la description gnrale de l'organisme ;
o les aptitudes en termes de ressources (capital, personnels, technologies) ;
o les missions (ce que l'organisme doit faire) ;
o les valeurs (ce que l'organisme fait bien) ;
o les mtiers (ce que l'organisme sait faire) et la culture ;
o l'organisation, et les principaux processus mtiers, rles et responsabilits ;
o les politiques, les objectifs et les stratgies mises en place pour les atteindre ;
o les systmes d'information, flux d'information et processus de prise de dcision ;
o les normes, principes directeurs et modles adopts par l'organisme ;
o les relations avec les parties prenantes internes ;
o la forme et l'tendue des relations contractuelles ;
o des lments de conjoncture internes ;
o des lments de contexte socioculturel.
Il convient galement de replacer la gestion des risques dans la gestion de l'organisme et l'atteinte de
ses objectifs, en formalisant par exemples :
la dfinition du risque, adapte au contexte ;
l'organisation gnrale en matire de gestion des risques :
o les interfaces de la gestion des risques avec les processus de l'organisme ;
o la politique gnrale de gestion des risques ;
o l'engagement de la hirarchie ;
o une ventuelle dfinition particulire du risque ;
l'organisation spcifique l'tude :
o les personnes interroges par module ;
o l'(les)autorit(s) de validation ;
o les interfaces.
Conseils
Cette action peut tre prpare l'aide de documents publics (prsentation des activits, bilan
annuel), stratgiques (schma directeur, orientations), d'organisation
Parce qu'il s'agit d'effectuer une tude des risques, il est essentiel que l'organisme dtermine
ce qui consiste un risque pour lui. Par exemple, une rduction de l'utilit attendue (perte de
revenus, perte de clientle, diminution de la productivit) d'un systme d'information ou d'un
processus d'affaire.
Le rsultat de cette action doit tre synthtique : il suffit de faire prendre conscience, de
manire simple et concise, du contexte dans lequel l'tude va tre ralise.
Page 23 sur 95
ANSSI/ACE/BAC
Exemple
L'organisme tudi est la socit @RCHIMED. Il s'agit d'une PME toulonnaise constitue d'une
douzaine de personnes. C'est un bureau d'ingnierie en architecture qui ralise des plans d'usines et
d'immeubles. Sa vocation principale est de vendre des services pour les professionnels du btiment.
@RCHIMED compte de nombreux clients, privs ou publics, ainsi que quelques professionnels du
btiment.
Son capital s'lve xxxxx et son chiffre d'affaires yyyyy .
Ses missions consistent principalement laborer des projets architecturaux, ainsi que des calculs de
structures et la cration de plans techniques.
Ses valeurs sont la ractivit, la prcision des travaux, la crativit architecturale et la communication.
Les principaux mtiers reprsents sont l'architecture et l'ingnierie du btiment.
Sa structure organisationnelle est fonctionnelle avec une direction, un service commercial, un bureau
d'tudes, un service comptabilit et un service de gestion de site internet.
Ses axes stratgiques sont d'une part l'utilisation des nouvelles technologies (Internet, Intranet) dans
un but d'ouverture vers l'extrieur et d'optimisation des moyens, et d'autre part la consolidation de
l'image de marque (protection des projets sensibles).
Ses principaux processus mtiers sont les suivants :
Figure 1 -
ANSSI/ACE/BAC
Page 25 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste circonscrire le primtre d'tude au sein du contexte gnral que l'on a dcrit
prcdemment, expliquer ce qu'est le primtre de l'tude et ce quoi il sert. Les participants
l'tude sont galement dfinis.
Pour commencer, on peut formaliser :
la prsentation du primtre de l'tude ;
sa fonction ou son objectif ;
sa contribution aux processus mtiers ;
ses enjeux dans le contexte global ;
les processus concerns ;
les interfaces avec les autres processus ;
les parties prenantes ;
les ventuels lments carter de la rflexion (types de biens supports, menaces) ;
le mode d'exploitation de scurit.
l'issue, on doit clairement savoir ce qui fait partie du primtre et ce qui n'en fait pas partie.
Le dcoupage du primtre en sous-primtres peut tre envisag pour faciliter la suite de l'tude.
L'objectif principal de la dcomposition en sous-primtres est de simplifier l'application de la
dmarche. Il est ensuite possible de dterminer soit plusieurs sous-primtres plus simples tudier
sparment, soit un seul sous-primtre sur lequel portera prcisment l'tude. L'tude de ces sousprimtres est gnralement plus simple que l'tude globale d'un primtre multiforme, mais le
nombre de sous-primtres doit rester faible car chacun fera l'objet d'une tude spare.
La dcomposition en sous-primtres facilite :
la slection des axes d'effort : elle peut permettre de mettre en vidence des sous-primtres
pour lesquels une tude est inutile ou moins prioritaire ;
l'organisation de l'tude : l'tude d'un sous-primtre peut tre confie une quipe restreinte.
Il n'y a pas de mthode proprement parler permettant de dcomposer un primtre en sousprimtres, mais un ensemble de critres examiner. Les principaux critres de dcomposition
applicables sont les suivants :
au vu de l'architecture matrielle : faire autant de sous-primtres qu'il y a de machines (ou
ensemble de machines) autonomes. Si, dans le cas gnral, les diffrentes machines sont
relies les unes aux autres, la dcomposition dpend du niveau d'interoprabilit des
diffrentes parties (machines ou ensembles de machines) du primtre ;
dcomposition par les fonctions ou les informations essentielles : il peut tre possible de
dcomposer un mme sous-primtre physique au vu des fonctions ralises par telle ou telle
machine ou partie du primtre ou selon la faon dont sont traites les informations les plus
sensibles ;
autonomie de responsabilit : un ensemble d'entits formant un tout du point de vue de la
responsabilit de mise en uvre (ensemble d'utilisateurs ou mise en uvre technique),
pourra tre utilis comme un sous-primtre tudier sparment. Il pourra s'agir d'une partie
de primtre place sous la responsabilit d'un service dment identifi sur un organigramme
de l'organisme. Ce critre peut galement s'appliquer lorsqu'il existe plusieurs
documentations spares ;
implantation dans des sous-zones distinctes : si les constituants (matriels, supports,
personnels) sont implants dans des sous-zones diffrentes (btiments, sous-zones
rserves, sous-sols...), chaque sous-zone est susceptible de constituer un sous-primtre (
condition que le niveau d'interoprabilit avec l'extrieur soit suffisamment faible) ;
isolement de "sous-primtres communs" : les quatre premiers critres ayant t appliqus,
certains ensembles d'entits ou des constituants peuvent se trouver l'intersection de
plusieurs sous-primtres (serveurs communs, rseaux communs, personnels ou sous-zones
communes par exemple). Ils sont susceptibles de former des sous-primtres qu'il est
possible d'tudier sparment. Les rsultats de ces tudes tant par la suite reports sur les
sous-primtres englobant. Il s'agit en quelque sorte d'une factorisation du travail.
Page 26 sur 95
ANSSI/ACE/BAC
Conseils
Le rsultat de cette action doit tre synthtique : il doit permettre de comprendre rapidement
et sans ambigut ce qu'est le primtre de l'tude, ce quoi il sert et ses enjeux pour
l'organisme.
Il n'est pas ncessaire de dcrire la composition du primtre de l'tude de manire dtaille
(cela sera demand dans l'activit suivante), mais il doit tre possible de se faire une bonne
ide de sa taille et de sa complexit.
Une attention particulire doit tre porte sur les liens avec les objectifs de l'organisme, car
c'est en reliant les risques de scurit de l'information ces objectifs qu'ils prendront tout leur
sens pour les parties prenantes.
La population l'tude est lie celle du primtre de l'tude, mais il est recommand de
dfinir cette population de faon explicite afin de permettre une validation des rsultats en
fonction de critres prcis, afin de permettre l'application des rsultats l'ensemble du
primtre vis.
Exemple
Le choix du primtre d'tude s'est port sur le sous-ensemble du systme d'information du cabinet
@RCHIMED correspondant son cur de mtier :
gestion des relations commerciales (gestion des devis, projets) ;
gestion des tudes (calculs de structure, plans techniques, visualisations 3D) ;
gestion des services web (nom de domaine, site Internet, courrier lectronique).
Page 27 sur 95
ANSSI/ACE/BAC
Figure 2 -
Le primtre dtude
ANSSI/ACE/BAC
Description
Cette action consiste recenser les lments qui devraient avoir une incidence sur la gestion des
risques (sur l'apprciation et/ou le traitement) :
les rfrences communautaires, lgales et rglementaires appliquer ;
les rfrences internes relatives la scurit de l'information appliquer ;
les contraintes de conformit des rfrentiels (ex : ISO 27001, homologations) ;
les contraintes qui psent sur l'organisme ;
les contraintes pesant spcifiquement sur le primtre de l'tude ;
les hypothses.
La prise en compte des lois, rgles ou rglements peut enfin limiter le choix de solutions matrielles
ou procdures et modifier l'environnement ou les habitudes de travail. Il convient par consquent de
recenser les rfrences communautaires, lgales et rglementaires applicables au primtre de
l'tude. On ne retiendra que les rfrences susceptibles d'avoir un impact sur l'tude.
Les principales rfrences internes relatives la scurit de l'information et applicables au primtre
de l'tude, notamment :
des politiques de scurit (globale, de l'information, du systme d'information, du patrimoine
informationnel) ou documents d'application (politiques locales, procdures) ;
des schmas directeurs traitant de scurit de l'information ;
des plans de continuit (des activits, des applications), de secours ou de reprise ;
des rsultats d'audits relatifs la scurit de l'information
Les contraintes qui psent sur l'organisme pourront tre identifies. Elles peuvent tre d'origine
interne l'organisme, auquel cas celui-ci peut ventuellement les amnager, ou extrieures
l'organisme, et donc en rgle gnrale, incontournables. Il peut s'agir, par exemples, de :
contraintes d'ordre politique : elles peuvent concerner les administrations de l'tat, les
tablissements publics ou en rgle gnrale tout organisme devant appliquer les dcisions
gouvernementales. D'une manire gnrale, il s'agit de dcisions d'orientation stratgique ou
oprationnelle, manant d'une Direction ou d'une instance dcisionnelle et qui doivent tre
appliques ;
Par exemple, le principe de dmatrialisation des factures ou des documents administratifs
induit des problmes de scurit.
contraintes d'ordre stratgique : des contraintes peuvent rsulter d'volutions prvues ou
possibles des structures ou des orientations de l'organisme. Elles s'expriment dans les
schmas directeurs d'organisation stratgiques ou oprationnels ;
Par exemple, les cooprations internationales sur la mise en commun d'informations
sensibles peuvent ncessiter des accords au niveau des changes scuriss.
contraintes territoriales : la structure et/ou la vocation de l'organisme peut induire des
contraintes particulires telles que la dispersion des sites sur l'ensemble du territoire national
ou l'tranger ;
Par exemple, les agences de la poste, les ambassades, les banques, les diffrentes filiales
d'un grand groupe industriel...
contraintes conjoncturelles : le fonctionnement de l'organisme peut tre profondment modifi
par des situations particulires telles que des grves, des crises nationales ou
internationales ;
Par exemple, la continuit de certains services doit pouvoir tre assure mme en priode de
crise grave.
contraintes structurelles : la structure de l'organisme peut induire, du fait de sa nature
(divisionnelle, fonctionnelle ou autre), une politique de scurit qui lui est spcifique et une
organisation de la scurit adapte ces structures ;
Par exemple, une structure internationale doit pouvoir concilier des exigences de scurit
propres chaque nation.
contraintes fonctionnelles : il s'agit des contraintes directement issues des missions gnrales
ou spcifiques de l'organisme ;
Par exemple, un organisme peut avoir une mission de permanence qui exigera une
disponibilit maximale de ses moyens.
Page 29 sur 95
ANSSI/ACE/BAC
contraintes relatives au personnel : les contraintes relatives au personnel sont de natures trs
diverses et lies aux caractristiques suivantes : niveau de responsabilit, recrutement,
qualification, formation, sensibilisation la scurit, motivation, disponibilit
Par exemple, il peut tre ncessaire que l'ensemble du personnel d'un organisme de la
dfense soit habilit pour des confidentialits suprieures.
contraintes d'ordre calendaire : elles peuvent rsulter de rorganisations de services, de la
mise en place de nouvelles politiques nationales ou internationales qui vont imposer des
chances date fixe ;
Par exemple, la cration dune direction de la scurit.
contraintes relatives aux mthodes : compte tenu des savoir-faire internes l'organisme,
certaines mthodes (au niveau de la planification du projet, des spcifications, du
dveloppement) seront imposes ;
La contrainte peut tre, par exemple, de devoir associer la politique de scurit aux actions
relatives la qualit, en vigueur dans l'organisme.
contraintes d'ordre culturel : dans certains organismes les habitudes de travail ou le mtier
principal ont fait natre une "culture", propre cet organisme, qui peut constituer une
incompatibilit avec les mesures de scurit. Cette culture constitue le cadre de rfrence
gnral des personnes de l'organisme et peut concerner de nombreux paramtres tels que
les caractres, l'ducation, l'instruction, l'exprience professionnelle ou extra-professionnelle,
les opinions, la philosophie, les croyances, les sentiments, le statut social
contraintes d'ordre budgtaire : les mesures de scurit prconises ont un cot qui peut,
dans certains cas, tre trs important. Si les investissements dans le domaine de la scurit
ne peuvent s'appuyer sur des critres de rentabilit, une justification conomique est
gnralement exige par les services financiers de l'organisation ;
Par exemple, dans le secteur priv et pour certains organismes publics, le cot total des
mesures de scurit ne doit pas tre suprieur aux consquences des risques redouts. La
direction doit donc apprcier et prendre des risques calculs si elle veut viter un cot
prohibitif pour la scurit.
Les contraintes pesant spcifiquement sur le primtre de l'tude peuvent galement tre recenses
quand elles ont un impact. Il peut s'agir, par exemples, de :
contraintes d'antriorit : tous les projets d'applications ne peuvent pas tre dvelopps
simultanment. Certains sont dpendants de ralisations pralables. Un systme peut faire
l'objet d'une dcomposition en sous-systmes ; un systme n'est pas forcment conditionn
par la totalit des sous-systmes (par extension des fonctions d'un systme) d'un autre
systme ;
contraintes techniques : elles peuvent provenir des fichiers (exigences en matire
d'organisation, de gestion de supports, de gestion des rgles d'accs), de l'architecture
gnrale (exigences en matire de topologie, qu'elle soit centralise, rpartie, distribue, ou
de type client-serveur, d'architecture physique), des logiciels applicatifs (exigences en
matire de conception des logiciels spcifiques, de standards du march), des progiciels
(exigences de standards, de niveau d'valuation, qualit, conformit aux normes, scurit),
des matriels (exigences en matire de standards, qualit, conformit aux normes), des
rseaux de communication (exigences en matire de couverture, de standards, de capacit,
de fiabilit), des infrastructures immobilires (exigences en matire de gnie civil,
construction des btiments, courants forts, courants faibles)
contraintes financires : la mise en place de mesures de scurit est souvent limite par le
budget que l'organisme peut y consacrer, nanmoins la contrainte financire est prendre en
compte en dernier lieu (la part du budget alloue la scurit pouvant tre ngocie en
fonction de l'tude de scurit) ;
contraintes d'environnement : elles proviennent de l'environnement gographique ou
conomique dans lequel le SI est implant : pays, climat, risques naturels, situation
gographique, conjoncture conomique
contraintes de temps : le temps ncessaire la mise en place de mesures de scurit doit
tre mis en rapport avec l'volutivit du SI ; en effet, si le temps d'implmentation est trs
long, la parade peut ne pas tre en rapport avec les risques qui auront volus. Le temps est
dterminant dans le choix des solutions et des priorits ;
contraintes relatives aux mthodes : compte tenu des savoir-faire et des habitudes dans
l'organisme, certaines mthodes (au niveau de la planification du projet, des spcifications et
du dveloppement) seront imposes ;
contraintes organisationnelles : l'exploitation (exigences en matire de dlais, de fourniture de
rsultats, de services, exigences de surveillance, de suivi, de plans de secours,
fonctionnement en mode dgrad), la maintenance (exigences d'actions de diagnostic
Page 30 sur 95
ANSSI/ACE/BAC
Conseils
Exemple
Un ensemble de contraintes prendre en compte a t identifi :
relatives au personnel :
o le personnel est utilisateur de l'informatique, mais pas spcialiste,
o le responsable informatique est l'adjoint du directeur, il est architecte de formation,
o le personnel de nettoyage intervient de 7h 8h,
o la rception des clients se fait dans les bureaux des commerciaux, mais des visites
ont parfois lieu au bureau d'tudes ;
d'ordre calendaire :
o la priode de pointe se situant d'octobre mai, toute action (installation de systme
de scurit, formation et sensibilisation) se fera en dehors de cette priode ;
d'ordre budgtaire :
o la socit a fait un effort important en matire d'informatisation, tout investissement
supplmentaire devra tre dment justifi ;
d'ordre technique :
o les rgles de conception architecturale doivent tre respectes,
o des logiciels professionnels du domaine architectural doivent tre employs ;
d'environnement :
o le cabinet loue deux tages d'un immeuble au centre ville,
o le cabinet est au voisinage de commerces divers,
o aucun dmnagement n'est planifi.
Page 31 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste dterminer les sources de menaces pertinentes vis--vis du contexte
particulier du primtre de l'tude.
Les parties prenantes doivent rflchir aux origines des risques : qui ou quoi pourrait porter atteinte
aux besoins de scurit exprims et engendrer les impacts identifis ?
La rflexion, qui devrait tre mene avec lautorit responsable du primtre de l'tude du fait qu'elle
est la plus mme d'en avoir une vision globale et objective, consiste slectionner les sources de
menaces les plus pertinentes selon le contexte particulier du primtre de l'tude. Elle aura
essentiellement pour finalit d'apprcier les risques de manire pertinente vis--vis de ces sources et
de dterminer des mesures de scurit adaptes ces sources.
Il convient tout d'abord de choisir une typologie de sources de menaces. Les bases de connaissances
de la mthode proposent une liste gnrique que l'on peut directement utiliser ou que l'on peut
ajuster. Cette typologie doit aider les parties prenantes envisager des origines de diffrentes
natures, auxquelles elles n'auraient peut-tre pas song, et ce, dans leur contexte particulier.
Bien que, potentiellement, n'importe quelle source de menace puisse tre considre, il convient ici
d'identifier celles qui sont rellement prsentes dans l'environnement du primtre de l'tude et
auxquelles on dcide de pouvoir s'opposer. Cela ne signifie pas forcment qu'elles soient visibles, ni
mme prcisment connues. Il s'agit en effet des sources de menaces que l'on peut redouter, selon la
conjoncture sociale, politique, conomique, gographique, climatique Ainsi, il conviendra de ne pas
retenir les sources de menaces auxquelles on estime ne pas tre expos selon :
leur origine, humaine ou non humaine ;
leur lien avec le primtre de l'tude (interne ou externe) ;
dans le cas de sources humaines :
o leur caractre intentionnel (et dans ce cas leur motivation) ou accidentel,
o leurs capacits (force intrinsque, selon leurs ressources, leur expertise, leur
dangerosit) ;
dans le cas de sources non humaines :
o leur type (naturelle, animale, contingence).
Les sources de menaces devraient ensuite tre caractrises. Plus la rflexion est pousse, plus
l'apprciation des risques sera pertinente et plus les mesures de scurit destines les contrer
seront appropries. Chaque source de menace peut ainsi tre illustre d'exemples reprsentatifs dans
le contexte considr, et dcrite de manire plus ou moins dtaille.
De plus, des valeurs peuvent tre estimes pour :
l'exposition ces sources de menaces ("frquence" des incidents ou sinistres SSI lis ces
sources de menaces) ;
leur potentiel :
o leur motivation (attraction envers les biens dans le cadre du primtre de l'tude, jeu,
vengeance, agent, effet mdiatique, peur),
o leur facilit d'accs au primtre de l'tude,
o leur capacit mobiliser de l'nergie,
o le temps disponible l'action,
o les comptences techniques disponibles,
o les ressources financires ou matrielles ;
leur capacit de dissimulation
Page 32 sur 95
ANSSI/ACE/BAC
Conseils
Une manire de procder consiste partir de la typologie propose dans les bases de
connaissances, carter les sources de menaces qui ne concernent pas le primtre de l'tude
en le justifiant (ne garder que les plus pertinentes), illustrer simplement les sources de
menaces retenues (un employ, un concurrent, le personnel d'entretien, un pirate, une
fort) et les dcrire plus prcisment afin de sensibiliser et d'impliquer les parties prenantes.
Ce sont souvent des acteurs externes (par exemple les autorits publiques) qui informent
l'organisme des sources de menaces considrer plus particulirement un moment donn.
Exemple
Le cabinet @RCHIMED souhaite s'opposer aux sources de menaces suivantes :
Types de sources de menaces
Source humaine interne, malveillante, avec
de faibles capacits
Source humaine interne, malveillante, avec
des capacits importantes
Source humaine interne, malveillante, avec
des capacits illimites
Retenu ou non
Non, le cabinet
n'estime pas y tre
expos
Non, le cabinet
n'estime pas y tre
expos
Non, le cabinet
n'estime pas y tre
expos
Oui
Oui
Non, le cabinet
n'estime pas y tre
expos
Oui
Non, le cabinet
n'estime pas y tre
expos
Oui
Oui
Oui
Non, le cabinet
n'estime pas y tre
expos
Oui
Phnomne naturel
Oui
Oui
Non, le cabinet
n'estime pas y tre
expos
Activit animale
vnement interne
Oui
Page 33 sur 95
Exemple
Personnel de nettoyage
(soudoy)
Script-kiddies
Concurrent
(ventuellement en visite
incognito)
Maintenance informatique
Panne lectrique
Incendie des locaux
ANSSI/ACE/BAC
Donnes d'entre
R
R
R
C
C
C
A
C
C
C
A
A
A
Donnes produites
Critres de scurit
chelles de mesures
Critres de gestion des risques
Communication et concertation
Les donnes sont obtenues sur la base d'tude de l'existant, d'entretiens individuels ou
d'changes entre les parties prenantes
Les rsultats peuvent tre intgrs dans la politique de scurit de l'information
Surveillance et revue
Les variables (critres de scurit, types dimpacts) qui seront mesures sont justifies en
fonction de la dfinition du risque, du contexte de l'tude et des objectifs.
Les types d'chelles utiliss sont explicitement identifis :
o nominale (objets classs dans des catgories, nombres sans valeur numrique),
o ordinale (objets classs par ordre de grandeur, nombres indiquant des rangs et non
des quantits),
o ordinale avec continuum sous-jacent (identique l'ordinale, mais qui utilise des
curseurs ou une chelle de Lickert, pour effectuer des oprations statistiques avec les
mesures rsultantes),
o intervalles (gaux entre les nombres, nombres qui peuvent tre additionns ou
soustraits, sans tre absolus car le zro est arbitraire),
o proportions (chelle avec un zro absolu, nombres reprsentant des quantits
relles, possibilit d'excuter sur elles toutes les oprations mathmatiques)
Les chelles utilises sont appropries pour mesurer les variables de l'tude
Les chelles sont explicites, non ambigus, bornes et couvrent tous les cas envisags
Des instruments de mesure sont identifis (questionnaires, guides d'entretiens) et leur
pertinence est justifie
Lorsque les instruments de mesure sont construits pour les besoins de l'tude, leur justesse
est valide (tests prliminaires, utilisations antrieures)
Les critres de gestion sont pertinents par rapport aux variables et aux chelles
Les critres de gestion sont bass davantage sur la rflexion que sur des calculs numriques
Page 34 sur 95
Propritaire
Dpositaire
Actions :
Action 1.2.1. Dfinir les critres de scurit et laborer les
chelles de besoins
Action 1.2.2. laborer une chelle de niveaux de gravit
Action 1.2.3. laborer une chelle de niveaux de vraisemblance
Action 1.2.4. Dfinir les critres de gestion des risques
Autorit
Parties prenantes :
Risk manager
RSSI
ANSSI/ACE/BAC
Action 1.2.1. Dfinir les critres de scurit et laborer les chelles de besoins
Description
Cette action consiste choisir les critres de scurit qui seront tudis, produire une dfinition pour
chacun d'eux et laborer autant d'chelles de besoins que de critres de scurit retenus.
Les critres de scurit constituent des facteurs permettant de relativiser l'importance des diffrents
biens essentiels selon les besoins mtiers, et serviront ainsi dcrire les conditions dans lesquelles le
mtier s'exerce convenablement.
Trois critres de scurit sont incontournables (leur dfinition figure dans le glossaire de la mthode) :
la disponibilit : elle reflte le besoin que des biens essentiels soient accessibles ; elle peut
correspondre la dure ncessaire pour avoir accs au bien essentiel (ex. : 1 heure, 1
journe, 1 semaine) et/ou un taux (ex. : 99%) ; on peut mme sparer ces deux notions
en deux critres de scurit distincts ;
l'intgrit : elle reflte le besoin que des biens essentiels ne soient pas altrs ; elle
correspond autant leur niveau de conformit qu' leur stabilit, leur exactitude, leur
compltude ;
la confidentialit : elle reflte le besoin que des biens essentiels ne soient pas compromis ni
divulgus ; elle correspond au nombre ou catgories de personnes autorises y accder.
Les besoins sont parfois exprims selon d'autres "critres de scurit", tels que la preuve,
l'imputabilit, l'auditabilit, la fiabilit, la traabilit Il ne s'agit videmment pas de facteurs
permettant de reflter des besoins mtiers. Il s'agit de diffrentes fonctions / solutions de scurit,
mises en place pour satisfaire des besoins de disponibilit, d'intgrit ou de confidentialit, et non de
vritables critres de scurit. Nanmoins, on peut les considrer comme tels si ces notions
paraissent rellement au cur du mtier de l'organisme, si elles sont ancres dans sa culture ou si on
tient orienter fortement la communication qui sera faite autour d'une tude sur l'une de ces notions.
Une chelle de besoins est gnralement ordinale (les objets sont classs par ordre de grandeur, les
nombres indiquent des rangs et non des quantits) et compose de plusieurs niveaux permettant de
classer l'ensemble des biens essentiels tudis. Chaque niveau reflte un besoin mtier possible.
Il doit tre facile de dterminer le niveau ncessaire pour chaque bien essentiel. Les diffrents
niveaux devraient ainsi tre trs explicites, non ambigus, et avec des limites claires. On note que le
nombre de niveaux des diffrentes chelles n'est pas ncessairement le mme.
Le principal enjeu concernant une chelle de besoins rside dans le fait qu'elle soit comprise et
utilisable par les personnes qui vont exprimer les besoins de scurit des biens essentiels. Cette
chelle doit donc tre adapte au contexte de l'tude. Son laboration peut utilement tre ralise en
collaboration avec les personnes qui vont dterminer les besoins. Ainsi, chaque valeur aura une relle
signification pour elles et les valeurs seront cohrentes.
Conseils
Page 35 sur 95
ANSSI/ACE/BAC
Exemple
Afin d'exprimer les besoins de scurit, les critres de scurit retenus sont les suivants :
Critres de scurit
Dfinitions
Disponibilit
Proprit d'accessibilit au moment voulu des biens essentiels.
Intgrit
Proprit d'exactitude et de compltude des biens essentiels.
Confidentialit
Proprit des biens essentiels de n'tre accessibles qu'aux utilisateurs autoriss.
L'chelle suivante sera utilise pour exprimer les besoins de scurit en termes de disponibilit :
Niveaux de l'chelle
Plus de 72h
Entre 24 et 72h
Entre 4 et 24h
Moins de 4h
L'chelle suivante sera utilise pour exprimer les besoins de scurit en termes d'intgrit :
Niveaux de l'chelle
Description dtaille de l'chelle
Dtectable
Le bien essentiel peut ne pas tre intgre si l'altration est identifie.
Le bien essentiel peut ne pas tre intgre, si l'altration est identifie et
Matris
l'intgrit du bien essentiel retrouve.
Intgre
Le bien essentiel doit tre rigoureusement intgre.
L'chelle suivante sera utilise pour exprimer les besoins de scurit en termes de confidentialit :
Niveaux de l'chelle
Description dtaille de l'chelle
Public
Le bien essentiel est public.
Limit
Le bien essentiel ne doit tre accessible qu'au personnel et aux partenaires.
Rserv
Le bien essentiel ne doit tre accessible qu'au personnel (interne) impliques.
Le bien essentiel ne doit tre accessible qu' des personnes identifies et
Priv
ayant le besoin d'en connatre.
Page 36 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste crer une chelle dcrivant tous les niveaux possibles des impacts. Tout
comme les chelles de besoins, une chelle de niveaux d'impacts est gnralement ordinale (les
objets sont classs par ordre de grandeur, les nombres indiquent des rangs et non des quantits) et
compose de plusieurs niveaux permettant de classer l'ensemble des risques. Chaque niveau reflte
l'estimation de la hauteur des consquences cumules d'un sinistre.
Il doit tre facile de dterminer le niveau ncessaire pour chaque risque. Les diffrents niveaux
devraient ainsi tre trs explicites, non ambigus, et avec des limites claires.
Le principal enjeu concernant une chelle de niveaux d'impacts rside dans le fait qu'elle soit
comprise et utilisable par les personnes qui vont juger de l'importance des consquences de la
ralisation des sinistres. Son laboration peut utilement tre ralise en collaboration avec les
personnes qui vont estimer ces niveaux. Ainsi, chaque valeur aura une relle signification pour elles et
les valeurs seront cohrentes.
Conseils
Bien que les chelles de niveaux d'impacts puissent tre relativement subjectives, il convient
surtout de s'assurer que les parties prenantes sauront discriminer clairement les diffrents
niveaux.
S'assurer que les niveaux et leurs descriptions sont bien compris par les parties prenantes et
les ajuster si besoin.
Une chelle par niveaux permettra de mettre en vidence les progrs raliss par la mise en
place de mesures de scurit, alors qu'une chelle ordinale permettra de positionner de
manire bien distincte tous les risques dans une cartographie. Il est galement possible
d'utiliser les deux types d'chelles simultanment.
Exemple
L'chelle suivante sera utilise pour estimer la gravit des vnements redouts et des risques :
Niveaux de l'chelle
1. Ngligeable
2. Limite
3. Importante
4. Critique
Page 37 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste crer une chelle dcrivant tous les niveaux possibles de vraisemblance des
scnarios de menaces. Tout comme les chelles de besoins et de niveaux d'impacts, une chelle de
niveaux de vraisemblance est gnralement ordinale (les objets sont classs par ordre de grandeur,
les nombres indiquent des rangs et non des quantits) et compose de plusieurs niveaux permettant
de classer l'ensemble des risques analyss. Chaque niveau reflte l'estimation de la possibilit de
ralisation d'un sinistre.
Il doit tre facile de dterminer le niveau ncessaire pour chaque risque. Les diffrents niveaux
devraient ainsi tre trs explicites, non ambigus, et avec des limites claires.
Le principal enjeu concernant une chelle de niveaux de vraisemblance rside dans le fait qu'elle soit
comprise et utilisable par les personnes qui vont juger de la possibilit qu'un sinistre ait lieu. Son
laboration peut utilement tre ralise en collaboration avec les personnes qui vont estimer ces
niveaux. Ainsi, chaque valeur aura une relle signification pour elles et les valeurs seront cohrentes.
Conseils
Bien que les chelles de niveaux de vraisemblance puissent tre relativement subjectives, il
convient surtout de s'assurer que les parties prenantes sauront discriminer clairement les
diffrents niveaux.
S'assurer que les niveaux et leurs descriptions sont bien compris par les parties prenantes et
les ajuster si besoin.
Une chelle par niveaux permettra de mettre en vidence les progrs raliss par la mise en
place de mesures de scurit, alors qu'une chelle ordinale permettra de positionner de
manire bien distincte tous les risques dans une cartographie. Il est galement possible
d'utiliser les deux types d'chelles simultanment.
Exemple
L'chelle suivante sera utilise pour estimer la vraisemblance des scnarios de menaces et des
risques :
Niveaux de l'chelle
1. Minime
2. Significative
3. Forte
4. Maximale
Page 38 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste formaliser les rgles choisies pour faire des choix tout au long d'une tude.
Toute action de l'tude qui ncessite une dcision peut faire l'objet d'un critre de gestion de risques.
Les critres de gestion des risques permettent notamment d'estimer et d'valuer les risques et de
prendre des dcisions concernant leur apprciation et leur traitement. Ils refltent les valeurs, les
objectifs et les ressources de l'organisme. Ils peuvent tre imposs ou rsulter d'obligations lgales et
rglementaires, ou d'autres exigences auxquelles l'organisme rpond. Ils tiennent ainsi compte de la
nature des causes et des consquences qui peuvent survenir, de la faon dont elles vont tre
mesures, des mthodes d'estimation, des chelles choisies, des avis des parties prenantes, du
niveau partir duquel les risques deviennent acceptables ou tolrables, de la prise en compte ou non
des combinaisons de plusieurs risques
Il convient que les critres de gestion des risques soient cohrents avec la politique de gestion des
risques de l'organisme, dfinis au pralablement l'tude, ce qui contribue la transparence et la
rigueur de l'approche, et facilite l'adhsion des parties prenantes, et revus rgulirement.
On peut ainsi dfinir la manire dont :
les vnements redouts sont estims et valus ;
les scnarios de menaces sont estims et valus ;
les risques sont estims et valus ;
les risques sont traits et valids (notamment les choix de traitement et les risques
rsiduels)
Conseils
Minimiser les automatismes, qui dresponsabilisent les parties prenantes et peuvent de plus
apporter une scientificit illusoire.
Lors d'une premire utilisation de la mthode et s'il n'existe pas dj de critres de gestion
des risques, il est possible de les formaliser au fur et mesure du droulement de l'tude.
Exemple
Les critres de gestion des risques retenus sont les suivants :
Action
Estimation des
vnements
redouts (module 2)
valuation des
vnements
redouts (module 2)
Estimation des
risques (module 4)
valuation des
risques (module 4)
Page 39 sur 95
ANSSI/ACE/BAC
Donnes d'entre
Propritaire
Dpositaire
Actions :
Action 1.3.1. Identifier les biens essentiels, leurs relations et
leurs dpositaires
Action 1.3.2. Identifier les biens supports, leurs relations et
leurs propritaires
Action 1.3.3. Dterminer le lien entre les biens essentiels et
les biens supports
Action 1.3.4. Identifier les mesures de scurit existantes
Autorit
Parties prenantes :
Risk manager
RSSI
Donnes produites
Biens essentiels
Biens supports
Tableau crois biens essentiels / biens supports
Mesures de scurit existantes
Communication et concertation
Les donnes sont obtenues sur la base d'tude de l'existant, d'entretiens individuels ou
d'changes entre les parties prenantes
Elles peuvent tre intgres la politique de scurit de l'information
Surveillance et revue
Page 40 sur 95
ANSSI/ACE/BAC
Action 1.3.1. Identifier les biens essentiels, leurs relations et leurs dpositaires
Description
Cette action consiste recenser, au sein du patrimoine informationnel du primtre de l'tude, celui
qui peut tre jug comme essentiel.
Les biens essentiels reprsentent le patrimoine informationnel, ou les "biens immatriels", que l'on
souhaite protger, c'est--dire ceux pour lesquels le non respect de la disponibilit, de l'intgrit, de la
confidentialit, voire d'autres critres de scurit, mettrait en cause la responsabilit du dpositaire, ou
causerait un prjudice eux-mmes ou des tiers. Par exemple :
les informations on fonctions vitales pour l'exercice de la mission ou du mtier de l'organisme ;
les traitements secrets ou procds technologiques de haut niveau ;
les informations personnelles, notamment les informations nominatives au sens de la loi
franaise informatique et liberts ;
les informations stratgiques ncessaires pour atteindre les objectifs correspondants aux
orientations stratgiques ;
les informations coteuses, dont la collecte, le stockage, le traitement ou la transmission
ncessitent un dlai important et/ou un cot d'acquisition lev ;
les informations relevant du secret dfense dfinies dans l'[IGI 1300] et pour lesquelles le
niveau d'exigence de scurit n'est pas ngociable ;
les informations classifies d'autres natures
Selon leur finalit, certaines tudes ne mriteront pas une analyse exhaustive de lensemble des
biens informationnels composant le primtre de l'tude. Dans ce contexte, ils seront limits aux
lments vitaux du primtre de l'tude. Ceux qui n'auront pas t retenues l'issue de cette activit
ne feront l'objet dans la suite de l'tude d'aucun besoin de scurit. Cependant, ils hriteront souvent
des mesures de scurit prises pour protger les autres biens informationnels.
Le niveau de dtail des biens essentiels doit tre cohrent avec le primtre et l'objectif de l'tude.
Ainsi, l'tude d'un organisme entier traitera de ses principaux processus ou domaines d'activits, alors
que l'tude d'un systme informatique en dveloppement ncessitera de recenser les principaux flux
d'information concerns, voire chaque champ d'une base de donnes.
Par ailleurs, il est important de bien comprendre les relations fonctionnelles entre les biens essentiels.
Il est donc souhaitable de les dcrire, par exemple sous la forme de modles de flux.
Enfin, chaque bien essentiel doit tre "rattach" un dpositaire nommment ou fonctionnellement
identifi. C'est ce dpositaire qui est cens tre responsable de ses biens essentiels, des risques
pesant sur ceux-ci et qui sera le plus lgitime pour exprimer leurs besoins de scurit.
Conseils
Comme leur nom l'indique, il s'agit de recenser les biens rellement "essentiels" et non de
raliser un recensement exhaustif. Dix ou quinze biens essentiels, suffisamment
reprsentatifs, permettent ainsi de rduire le travail de la suite de l'tude un volume
ncessaire et suffisant.
Il est possible de partir d'un recensement relativement exhaustif pour ensuite slectionner un
sous-ensemble de biens essentiels.
Un bien essentiel, dont les besoins de scurit varieront dans le temps peut tre utilement
scind en plusieurs biens essentiels (ex : une rponse un appel d'offres, avant ou aprs, de
rpondre l'appel d'offres, pourra tre dcompos en deux biens essentiels distincts)
La slection devrait tre effectue par un groupe de travail htrogne et reprsentatif du
primtre de l'tude (responsables, informaticiens et utilisateurs).
Des schmas simples sont trs utiles la comprhension de toutes les parties prenantes.
Page 41 sur 95
ANSSI/ACE/BAC
Exemple
Dans le cadre du sujet d'tude, le cabinet @RCHIMED a retenu les processus suivants en tant que
biens essentiels :
Processus essentiels
tablir les devis (estimation du
cot global d'un projet,
ngociations avec les clients)
Page 42 sur 95
Dpositaires
Service commercial
Bureau d'tudes
Bureau d'tudes
Directeur adjoint
ANSSI/ACE/BAC
Action 1.3.2. Identifier les biens supports, leurs relations et leurs propritaires
Description
Cette action consiste prendre connaissance des composants du systme d'information, qu'il s'agisse
de biens techniques ou non techniques, supports aux biens essentiels prcdemment identifis. On
note que ces biens supports possdent des vulnrabilits que des sources de menaces pourront
exploiter, portant ainsi atteinte aux biens essentiels.
L'identification des biens supports ne peut se faire que lorsque ceux-ci sont connus. Ainsi, lors des
phases prliminaires du cycle de vie d'un projet, il n'est pas possible de les recenser, puisqu'ils ne
sont pas encore spcifis. En revanche, cela devient progressivement possible mesure que l'on
affine les spcifications et la connaissance concrte du primtre de l'tude.
Le niveau de dtail des biens supports peut galement varier selon les objectifs de l'tude. Ainsi, une
tude rapide destine donner les grandes orientations en matire de scurit de l'information sera
trs peu dtaille pour cette action (un rseau, un site, une organisation), alors qu'une tude
prcise et exhaustive destine dmontrer relativement formellement que tous les risques ont t
grs sur un systme critique ncessitera un niveau de dtail beaucoup plus important (telle version
de tel systme d'exploitation, tel type de personnel, telle pice dans les btiments).
cet effet, les bases de connaissances de la mthode proposent une liste gnrique que l'on peut
directement utiliser ou que l'on peut ajuster.
En outre, il est important de bien comprendre les relations entre les biens supports. Il est donc
souhaitable de les dcrire, par exemple en prcisant les inclusions, les interconnexions Ceci
permettra d'tudier les possibles phnomnes de propagation d'incident ou de sinistre.
Une fois les biens supports identifis, il convient de "rattacher" un propritaire pour chacun d'eux,
nommment ou fonctionnellement identifi. En effet, la personne qui en a la responsabilit sera sans
doute la plus mme d'analyser ses vulnrabilits et celle qui sera garante de l'application de
mesures de scurit.
Conseils
Commencer par recenser les grands types de biens supports et n'affiner le niveau de dtail
qu'en cas de besoin, ou bien les affiner mais ne retenir pour la suite de ltude quun nombre
raisonnable de biens supports.
Il peut tre parfois utile de dcrire les biens supports afin d'liminer les ambiguts ou
d'expliciter la diffrence par rapport aux autres biens supports.
Recenser les biens supports partir des biens essentiels permet de ne considrer que les
biens supports rellement dans le primtre du primtre de l'tude.
Des schmas simples sont trs utiles la comprhension de toutes les parties prenantes.
Page 43 sur 95
ANSSI/ACE/BAC
Exemple
Sans les dtailler dans un premier temps, @RCHIMED a retenu les biens supports suivants :
en interne :
o SYS Rseau interne,
o SYS Sous rseau Ethernet,
o SYS Sous rseau Wifi,
o ORG Organisation du cabinet,
o LOC Locaux du cabinet ;
en interface :
o SYS Systme de l'hbergeur (Internet et par courrier lectronique),
o ORG Hbergeur (par courrier papier),
o SYS Internet (pour des accs distants et le courrier lectronique),
o ORG Partenaire (cotraitants btiment, clients).
Le schma suivant dcompose ces biens supports et les positionne les uns par rapport aux autres :
Page 44 sur 95
ANSSI/ACE/BAC
Action 1.3.3. Dterminer le lien entre les biens essentiels et les biens supports
Description
Cette action consiste dterminer le lien entre les biens essentiels et les biens supports. Ceci
permettra de rvler la criticit de ces derniers, ainsi que les risques vritables pesant sur le primtre
de l'tude.
Pour ce faire, il suffit de se demander sur quels biens supports, parmi ceux identifis dans l'action
prcdente, repose chaque bien essentiel. On s'interroge ainsi sur les biens supports qui vont stocker
ou traiter les biens essentiels, un moment ou un autre de leur cycle de vie.
Conseils
Exemple
Le tableau suivant prsente les biens supports et leurs liens avec les biens essentiels :
Biens essentiels
Biens supports
Biens supports communs @RCHIMED
SYS Rseau interne
MAT Serveur rseau et fichiers
LOG Serveurs logiciels du rseau interne
MAT Disque USB
MAT BOX Wifi
MAT Commutateur
MAT PABX (commutateur tlphonique)
MAT Tlphone fixe
MAT Tlphone portable
RSX Canaux informatiques et de tlphonie
ORG Organisation du cabinet
PER Utilisateur
PER Administrateur informatique
PAP Support papier
CAN Canaux interpersonnels
LOC Locaux du cabinet
Biens supports spcifiques au bureau dtudes
SYS Sous rseau Ethernet
MAT Ordinateur de design
LOG MacOS X
LOG ARC+ (visualisation)
LOG Pagemaker (PAO)
LOG Suite bureautique et de messagerie
MAT Ordinateur de calcul et de cration
Page 45 sur 95
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Un simple tableau crois entre les biens essentiels et les biens supports permet de
reprsenter le lien entre les deux.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
ANSSI/ACE/BAC
Description
Cette action consiste recenser l'ensemble des mesures de scurit existantes sur les biens supports
ou d'ores et dj prvues.
Pour chaque bien support identifi, il convient de s'interroger sur l'existence de mesures de scurit.
Ces mesures peuvent tre techniques ou non techniques (produit de scurit logique ou physique,
configuration particulire, mesures organisationnelles ou humaines, rgles, procdures).
Chaque mesure de scurit peut utilement tre catgorise selon la ligne de dfense (prventive,
protectrice ou rcupratrice) laquelle elle appartient. Cela facilitera ultrieurement la dtermination
des mesures de scurit en appliquant une dfense en profondeur.
Conseils
Exemple
Bien support
sur lequel elle repose
Mesure de scurit
6.2. Tiers
LOG Windows XP
MAT Disque USB
MAT Commutateur
MAT Commutateur
LOG Windows XP
ORG Organisation du cabinet
X
X
X
X
X
10.5. Sauvegarde
10.6. Gestion de la scurit des
rseaux
10.6. Gestion de la scurit des
rseaux
11.5. Contrle daccs au systme
dexploitation
14.1. Aspects de la scurit de
linformation en matire de gestion
de la continuit de lactivit
Page 46 sur 95
Rcupration
Protection
Prvention
X
X
X
X
X
ANSSI/ACE/BAC
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
Page 47 sur 95
ANSSI/ACE/BAC
Permet aux parties prenantes de comparer objectivement l'importance des biens essentiels et
de prendre conscience des vritables enjeux de scurit
Permet d'tudier un primtre sans dtailler les biens supports et les scnarios envisageables
Permet de hirarchiser les vnements redouts, voire d'en carter de la suite de l'tude
Donnes d'entre
A
R
C
C
R
C
Propritaire
Dpositaire
Actions :
Action 2.1.1. Analyser tous les vnements redouts
Action 2.1.2. valuer chaque vnement redout
Autorit
Parties prenantes :
Risk manager
RSSI
Critres de scurit
Biens essentiels
chelles de mesures
Typologie d'impacts
Sources de menaces
Critres de gestion des risques
Responsable
Donnes produites
vnements redouts
Communication et concertation
Les donnes sont obtenues sur la base d'changes entre les parties prenantes
Les besoins peuvent tre exprims par plusieurs personnes qui ne donneront pas forcment
les mmes rponses ; il convient alors de confronter les arguments, de les collecter et
d'obtenir un consensus qui peut ncessiter la dcision d'une autorit
Les vnements redouts peuvent tre prsents sous la forme d'exemples d'vnements
redouts hirarchiss, d'arbres d'impacts ou de fiches dtailles (bien essentiel, critre de
scurit, besoins de scurit, sources de menaces, impacts, gravit)
Surveillance et revue
Page 48 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste identifier et estimer les vnements redouts pour chaque critre de scurit
et chaque bien essentiel identifi. On va ainsi faire merger les besoins de scurit des biens
essentiels, les impacts encourus au cas o ils ne seraient pas respects et les sources de menaces
susceptibles d'en tre l'origine, et leur attribuer un niveau de gravit.
Pour mener bien cette activit, un groupe de travail htrogne et reprsentatif du primtre de
l'tude (responsable du primtre de l'tude, dpositaires des biens essentiels, experts mtiers) est
constitu.
Pour chaque critre de scurit de chaque bien essentiel, le but est de dfinir le besoin de scurit,
les impacts occasionns par son non-respect et les sources de menaces susceptibles d'en tre
l'origine. Ces vnements redouts sont obtenus en questionnant les parties prenantes sur ce qu'elles
craignent et en approfondissant la rflexion jusqu' ce que tous les lments aient t formuls.
Bien que l'on puisse raliser cette action de manire squentielle (expression des besoins de scurit,
puis identification des impacts, et enfin identification des sources de menaces), la rflexion est
gnralement mene globalement. En effet, il semble plus naturel de s'interroger sur tous les
lments constitutifs d'un mme vnement redout (besoins de scurit, impacts et sources de
menaces) pour ensuite dvelopper chaque autre vnement redout, et par ailleurs, les parties
prenantes ne rpondent pas forcment aux questions dans un ordre squentiel, du fait de
l'interprtation qu'elles peuvent faire des diffrents concepts (besoin, impact, source, vnement
redout).
D'une manire gnrale, il est recommand :
d'exprimer les besoins de scurit de chaque bien essentiel en choisissant la valeur limite
acceptable de chaque chelle de besoins dfinie ;
d'identifier, pour chaque besoin de scurit exprim et pour chaque type d'impact (d'aprs
une typologie), des exemples d'impacts survenant par le non-respect du besoin de scurit ;
d'identifier, pour chaque besoin de scurit exprim et pour chaque type de sources de
menace (d'aprs une typologie), des exemples de sources de menaces susceptibles d'tre
l'origine du non respect du besoin de scurit.
Concernant les besoins de scurit, les parties prenantes devraient tre invites choisir un niveau
sur chaque chelle de besoins pour chaque bien essentiel.
Pour ce faire, on peut par exemple leur demander partir de quel niveau :
le bien essentiel n'est plus conforme la qualit attendue, ou
elles ne peuvent plus exercer leur mtier dans de bonnes conditions.
Il s'agit de besoins exprims au regard des processus mtiers. Ils sont indpendants des risques
encourus et des moyens de scurit mis en uvre. Ils reprsentent donc une valeur intrinsque de la
sensibilit des biens essentiels.
Si un bien essentiel a des besoins qui varient dans le temps, il est recommand dtudier sparment
ses diffrents tats comme sil sagissait dautant de biens essentiels.
Quand les parties prenantes sont interroges sparment, une synthse devrait tre tablie pour
harmoniser les diffrents points de vue. Cette opration devrait tre effectue par des personnes
disposant d'une vision globale des biens essentiels. Un consensus peut alors tre obtenu par
expression des argumentaires de chacun, suivie d'un arbitrage. Dans le cas o des divergences trop
importantes apparatraient, il peut tre ncessaire de demander aux parties prenantes de justifier
davantage leurs valeurs, voire de les reconsidrer.
Concernant les impacts, les parties prenantes devraient expliquer les consquences possibles du
non-respect de chaque besoin de scurit exprim.
Page 49 sur 95
ANSSI/ACE/BAC
Conseils
Le point de vue des parties prenantes devrait tre justifi par des commentaires.
Les illustrations concrtes (impacts et sources de menaces) sont prfres aux gnralits.
Il peut tre utile de formuler les vnements redouts sous la forme de scnarios narratifs.
Cette forme peut tre mieux comprise et accepte de la part des parties prenantes.
Considrer tous les types d'impacts des bases de connaissances pour pousser les parties
prenantes envisager des impacts auxquels ils n'auraient peut-tre pas song.
S'assurer que les termes sont bien compris par les parties prenantes et les ajuster si besoin.
Pour que la traabilit des choix effectus soit la plus claire possible, il est possible de
transformer les vnements redouts non retenus en hypothses.
Faire estimer la gravit par les parties prenantes, leur prsenter l'ensemble des rsultats
Page 50 sur 95
ANSSI/ACE/BAC
Exemple
Chaque ligne du tableau suivant reprsente un vnement redout par le cabinet @RCHIMED (bien
essentiel, critre de scurit, besoin de scurit selon les chelles de besoin, sources de menaces et
impacts). La gravit de chaque vnement redout est estime (cf. chelle de gravit) sans tenir
compte des mesures de scurit existantes.
vnement redout
Besoin de
scurit
Sources de menaces
Impacts
Gravit
24-72h
Altration de devis
Intgre
Compromission de
devis
Limit
Altration de plans ou
de calculs de
structures
Compromission de
plans ou calculs de
structures
Perte de crdibilit
2. Limite
3. Importante
3. Importante
2. Limite
Intgre
Limit
24-72h
2. Limite
2. Limite
1. Ngligeable
4. Critique
3. Importante
Dtectable
Compromission de
Public
visualisations
Grer le contenu du site Internet
Indisponibilit du site
Internet
Altration du contenu
du site Internet
Compromission du
contenu du site
Internet
24-72h
Matris
Public
-
Page 51 sur 95
Perte de crdibilit
Perte de notorit
Bouche oreille ngatif
Perte de crdibilit
Perte de notorit
Bouche oreille ngatif
Perte d'un march ou de
clientle
2. Limite
3. Importante
1. Ngligeable
ANSSI/ACE/BAC
Description
Cette action consiste juger de l'importance des vnements redouts en les hirarchisant selon les
critres de gestion des risques retenus.
Il convient essentiellement de fournir les lments ncessaires pour dcider de dvelopper ou non
l'tude concernant chaque vnement redout, de traiter ou non les risques affrents et de prioriser la
mise en uvre de leur traitement.
Pour ce faire, on peut positionner chaque vnement redout dans un tableau selon leur gravit.
Dans ce cas, on utilise gnralement un libell court et explicite, refltant l'atteinte d'un critre de
scurit d'un bien essentiel, pour chaque vnement redout.
Certains vnements redouts peuvent tre carts de la suite de l'tude si les critres de gestion des
risques retenus le prvoient (par exemple, si la gravit est trs faible). Il est important d'expliquer
pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude et constituent
ainsi des vnements redouts non traits. Cette opration doit donc tre dment justifie.
Conseils
Exemple
L'importance relative des vnements redouts prcdemment analyss (identifis et estims) est
value l'aide du tableau suivant (cf. critres de gestion des risques) :
Gravit
vnements redouts
4. Critique
3. Importante
Altration de devis
Compromission de plans ou calculs de structures
Compromission de devis
Altration du contenu du site Internet
2. Limite
Indisponibilit de devis
Indisponibilit de visualisations
Altration de visualisations
Indisponibilit de plans ou de calculs de structures
Indisponibilit du site Internet
1. Ngligeable
Compromission de visualisations
Compromission du contenu du site Internet
Page 52 sur 95
ANSSI/ACE/BAC
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
Il permet galement de recenser les ventuelles mesures de scurit existantes et d'estimer leur effet
en r-estimant la vraisemblance des scnarios de menaces, une fois les mesures de scurit
appliques.
l'issue de ce module, les scnarios de menaces sont identifis, explicits et positionns les uns par
rapport aux autres en termes de vraisemblance.
Le module comprend une activit :
Activit 3.1 Apprcier les scnarios de menaces
Page 53 sur 95
ANSSI/ACE/BAC
Donnes d'entre
C
C
Propritaire
A
A
Dpositaire
Actions :
Action 3.1.1. Analyser tous les scnarios de menaces
Action 3.1.2. valuer chaque scnario de menace
Autorit
Parties prenantes :
Risk manager
RSSI
Critres de scurit
Biens supports
chelles de mesures
Typologie de menaces et des vulnrabilits
Sources de menaces
Critres de gestion des risques
Responsable
R
C
Donnes produites
Scnarios de menaces
Communication et concertation
Les donnes sont obtenues sur la base d'changes entre les parties prenantes
Les scnarios de menaces peuvent tre prsents sous la forme d'exemples de scnarios
hirarchiss, d'arbres de menaces ou de fiches dtailles (bien support, critre de scurit,
sources de menaces, vraisemblance, menaces, vulnrabilits et pr-requis)
Surveillance et revue
Page 54 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste identifier les scnarios de menaces pour chaque critre de scurit et chaque
bien support identifi et les estimer en termes de vraisemblance.
Les scnarios de menaces sont obtenus en questionnant les parties prenantes sur ce qu'elles savent
et en approfondissant la rflexion jusqu' ce que tous les lments aient t formuls.
D'une manire gnrale, il est recommand d'identifier ensemble tous les lments qui composent les
scnarios de menaces :
les menaces qui pourraient se concrtiser ;
les vulnrabilits exploitables sur les biens supports ;
les sources de menaces susceptibles d'en tre l'origine.
Pour mener bien cette action, il convient tout d'abord de choisir une typologie de menaces. cet
effet, les bases de connaissances de la mthode proposent une liste gnrique que l'on peut
directement utiliser ou que l'on peut ajuster. Cette typologie doit aider les parties prenantes
envisager des vnements auxquels elles n'auraient peut-tre pas song, et ce, dans leur contexte
particulier.
Au sein des menaces retenues, on ne slectionne que celles qui touchent le critre de scurit et le
bien support considrs. On peut galement carter les menaces que l'on estime inapplicables ou que
l'on ne souhaite pas tudier. Cela signifie que des risques ne seront pas apprcis. Il convient donc
de justifier cette opration.
Il est galement possible de constituer des arbres pour reprsenter enchanements de menaces :
pour chaque critre de scurit et pour chaque bien support, rechercher les menaces directes
en se posant la question suivante : que peut-il se passer sur ce bien support pour que ce
critre de scurit soit touch ?
rechercher les menaces qui devraient tre ralises pour que les menaces se ralisent en se
posant la question suivante pour chaque menace directe : quelles sont les menaces qui
requises au pralable pour que cette menace puisse se raliser ? puis rechercher les
ventuelles menaces requises pour que chaque menace requise se ralise, et ainsi de suite
arrter l'inventaire quand les mmes menaces reviennent plusieurs fois et que celles-ci
convergent vers des sources de menaces ;
si possible, vrifier sur le terrain ou sur la base d'expriences vcues la ralit et le poids
relatif de chaque menace identifie.
Pour chaque bien support et chaque menace slectionne, on dtermine les vulnrabilits qui
peuvent tre exploites pour que la menace se ralise. Les bases de connaissances de la mthode
proposent une typologie de vulnrabilits que l'on peut directement utiliser ou que l'on peut ajuster. Le
nombre et le niveau de dtail des vulnrabilits dpendent de l'objectif de l'tude et des livrables
attendus.
Les sources de menaces doivent tre slectionnes parmi celles retenues. Il convient de ne retenir
que celles qui peuvent tre l'origine des diffrents scnarios de menaces et de les illustrer par des
exemples concrets.
Pour estimer la vraisemblance des scnarios de menaces, il convient d'attribuer un niveau chaque
scnario de menace en utilisant l'chelle de vraisemblance dfinie. L'estimation est essentiellement
faite au regard :
de lexistence plus ou moins avre et de la facilit dexploitation des vulnrabilits identifies,
de lexposition aux menaces considres,
de lexposition et du potentiel des sources de menaces identifies.
Elle ne doit pas tenir compte des ventuelles mesures de scurit existantes.
Page 55 sur 95
ANSSI/ACE/BAC
Il convient finalement d'examiner les scnarios de menaces dans leur ensemble afin de mettre en
vidence et de rsoudre les ventuelles incohrences entre leurs menaces, leurs biens supports et
leurs vulnrabilits, leurs sources de menaces et leurs niveaux de vraisemblance. l'issue, chaque
scnario de menace peut tre compar aux autres : les valeurs doivent tre cohrentes les unes par
rapport aux autres.
Il est ainsi possible d'ajuster les rsultats obtenus en vrifiant :
la corrlation ventuelle entre les diffrents scnarios de menaces (des biens supports
peuvent avoir des dpendances les uns par rapports aux autres) ;
le niveau de dtail des libells des exemples (qui devraient tre harmoniss).
Cette action ne doit pas tre nglige car elle permet d'accrotre la cohrence de l'tude, sa qualit et
son ralisme, la facilit de validation, la comprhension et l'adhsion des parties prenantes.
Conseils
Le point de vue des parties prenantes devrait tre justifi par des commentaires.
Les illustrations concrtes (menaces, vulnrabilits et sources de menaces) sont prfres
aux gnralits.
Il peut tre utile de formuler les scnarios de menaces sous la forme de scnarios narratifs.
Cette forme peut tre mieux comprise et accepte de la part des parties prenantes.
S'assurer que les termes sont bien compris par les parties prenantes et les ajuster si besoin.
Pour que la traabilit des choix effectus soit la plus claire possible, il est possible de
transformer les scnarios de menaces non retenus en hypothses.
Faire estimer la vraisemblance par les parties prenantes, leur prsenter l'ensemble des
rsultats collects et les ajuster de faon reflter leur point de vue.
Cette action peut utilement permettre de revoir ou d'enrichir les menaces, les vulnrabilits et
les sources de menaces.
Exemple
Les pages suivantes prsentent les scnarios de menaces potentiellement ralisables dans le cadre
du sujet de l'tude.
Les sources de menaces susceptibles d'en tre l'origine sont identifies et la vraisemblance de
chaque scnario de menace est estime (cf. chelle de vraisemblance).
Le dtail des scnarios de menaces (menaces, vulnrabilits et pr-requis) est dcrit dans les bases
de connaissances de la mthode EBIOS.
Scnarios de menaces
Sources de menaces
Vraisemblance
3. Forte
2. Significative
2. Significative
Page 56 sur 95
3. Forte
2. Significative
2. Significative
ANSSI/ACE/BAC
Scnarios de menaces
Sources de menaces
Vraisemblance
Script-kiddies
Hbergeur
Script-kiddies
Virus non cibl
Panne lectrique
Phnomne naturel (foudre, usure)
Hbergeur
Script-kiddies
Virus non cibl
Concurrent
Client
Partenaire
Hbergeur
Hbergeur
Hbergeur
2. Significative
2. Significative
1. Minime
2. Significative
1. Minime
ORG Partenaire
Menaces sur un partenaire causant une indisponibilit
Menaces sur un partenaire causant une altration
Menaces sur un partenaire causant une compromission
Partenaire
Partenaire
Partenaire
3. Forte
3. Forte
3. Forte
2. Significative
1. Minime
4. Maximale
Page 57 sur 95
4. Maximale
3. Forte
4. Maximale
2. Significative
3. Forte
1. Minime
4. Maximale
ANSSI/ACE/BAC
Description
Cette action consiste juger de l'importance des scnarios de menaces en les hirarchisant selon les
critres de gestion des risques retenus.
Il convient essentiellement de fournir les lments ncessaires pour dcider de traiter ou non les
risques affrents et de prioriser la mise en uvre de leur traitement.
Pour ce faire, on peut positionner chaque scnario de menace dans un tableau tri selon leur
vraisemblance. Dans ce cas, on utilise gnralement un libell court et explicite, refltant l'atteinte
d'un critre de scurit par un bien support, pour chaque scnario de menace.
Certains scnarios de menaces peuvent tre carts de la suite de l'tude si les critres de gestion
des risques retenus le prvoient (par exemple, si la vraisemblance est trs faible). Il est important
d'expliquer pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude et
constituent ainsi des scnarios de menaces non traits. Cette opration doit donc tre dment
justifie.
Conseils
Exemple
L'importance relative des scnarios de menaces prcdemment analyss (identifis et estims) est
value de la faon suivante (cf. critres de gestion des risques) :
Vraisemblance
4. Maximale
3. Forte
2. Significative
Scnarios de menaces
Page 58 sur 95
ANSSI/ACE/BAC
Vraisemblance
1. Minime
Scnarios de menaces
Page 59 sur 95
ANSSI/ACE/BAC
Page 60 sur 95
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
ANSSI/ACE/BAC
Donnes d'entre
Propritaire
Actions :
Action 4.1.1. Analyser les risques
Action 4.1.2. valuer les risques
Dpositaire
Autorit
Parties prenantes :
Risk manager
RSSI
vnements redouts
Scnarios de menaces
Tableau crois biens essentiels / biens supports
Critres de gestion des risques
Mesures de scurit existantes
Responsable
R
R
C
C
C
I
C
I
Donnes produites
Risques
Communication et concertation
Les donnes sont obtenues sur la base d'changes entre les parties prenantes
Les rsultats peuvent faire l'objet d'une cartographie des risques
Surveillance et revue
Des processus sont mis en place pour assurer vrifier qu'on a bien considr toutes les
informations ncessaires (par rapport l'tat de l'art, aux autres organismes dans le mme
secteur d'activits)
Il convient d'examiner les risques dans leur ensemble afin de mettre en vidence et de
rsoudre les ventuelles incohrences entre leurs composantes. l'issue, chaque risque peut
tre compar aux autres : la manire de les prsenter doit donc tre harmonise et les
valeurs doivent tre cohrentes les unes par rapport aux autres.
Page 61 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste mettre en vidence l'ensemble des risques qui psent rellement sur le
primtre de l'tude et dterminer leur gravit et leur vraisemblance, une premire fois sans tenir
compte des mesures de scurit existantes, et une seconde fois en les prenant en compte. On fait
ainsi le lien entre les vnements redouts et les scnarios de menaces, c'est--dire entre ce que
l'organisme craint et ce quoi il est expos.
Pour identifier les risques, il convient pour chaque vnement redout de retenir les scnarios de
menaces qui :
concernent les biens supports lis au bien essentiel considr ;
touchent le mme critre de scurit ;
sont l'initiative des mmes sources de menaces (on ne gardera que celles en commun).
Chaque combinaison constitue un risque. Nanmoins, il est souhaitable de regrouper les risques afin
leur liste ne soit pas trop longue. On considre ainsi gnralement qu'un risque est compos d'un
vnement redout et de tous les scnarios de menaces concerns.
Pour chaque risque, il convient ensuite de dterminer parmi les mesures de scurit existantes
identifies, celles qui doivent avoir pour effet de :
protger les besoins de scurit des biens essentiels identifis (ces mesures de scurit sont
essentiellement des mesures de prvention et de rcupration) ;
rduire chaque impact identifi (prvision et prparation, prvention, confinement, lutte,
rcupration, restauration, compensation) ;
contrer chaque source de menaces identifie (prvision et prparation, dissuasion, dtection,
confinement) ;
se protger contre les menaces (essentiellement des mesures de dtection et de protection) ;
rduire les vulnrabilits des biens supports identifis (essentiellement des mesures de
prvention et de protection).
Enfin, pour estimer le niveau de chaque risque identifi en termes de gravit et de vraisemblance, on
exploite les donnes produites dans les modules prcdents.
Une premire estimation, dite "brute", est ralise sans tenir compte des mesures de scurit
existantes. Pour ce faire, la gravit et la vraisemblance de chaque risque sont estimes en fonction
des critres de gestion des risques retenus. dfaut, sa gravit est gale celle de l'vnement
redout considr et sa vraisemblance est gale la valeur maximale des scnarios de menace
concerns. Elles peuvent ensuite tre ajustes, notamment la vraisemblance, qui jusqu' prsent, ne
tenait pas compte des besoins de scurit de l'lment essentiel et des sources de menaces en
commun.
Une seconde estimation, dite "nette", est ralise pour la gravit et la vraisemblance de chaque risque
en tenant compte de l'effet des mesures de scurit existantes, s'il en existe.
Conseils
Il est gnralement utile, des fins de communication, d'illustrer les risques par des exemples
reprsentatifs et explicites pour les parties prenantes.
Le regroupement de risques, dans le but de rduire leur nombre, peut tre ralis par
vnement redout, par impact, par scnario de menace, ou encore par menace.
L'ajustement de la vraisemblance des risques est gnralement effectu en fonction de la
vraisemblance maximale des scnarios de menaces lis un mme vnement redout.
Il n'est pas ncessaire de vrifier la bonne application des mesures de scurit existantes. En
effet, l'important est ici d'identifier ce qui a dj t pens pour ne pas le perdre. Le fait que ce
soit mis en uvre et la qualit de cette mise en uvre pourront tre vrifis l'occasion d'un
audit spcifique.
Page 62 sur 95
ANSSI/ACE/BAC
Exemple
@RCHIMED a tabli la liste des risques partir des vnements redouts et des scnarios de
menaces prcdemment apprcis.
Les mesures de scurit existantes ayant un effet sur chaque risque ont galement t identifies.
La gravit et la vraisemblance ont finalement t estimes, sans, puis avec, les mesures de scurit
(les niveaux rays correspondent aux valeurs avant application de ces mesures).
Risque li l'indisponibilit d'un devis au-del de 72h
vnement redout
Indisponibilit de devis
Besoin de
scurit
24-72h
Sources de menaces
Impacts
Impossibilit de signer un
contrat
Perte d'un march
Perte de crdibilit
Scnarios de menaces
Activation du WPA2
Assurance multirisque professionnelle et
sur les matriels informatiques
Climatisation
Contrat de maintenance informatique
(intervention sous 4h)
Contrle d'accs par mot de passe
Dispositifs de lutte contre lincendie
Installation dun antivirus
Alimentation secourue
Accs restreint en entre (messagerie,
services WEB)
Sauvegarde hebdomadaire sur des
disques USB stocks dans une armoire
fermant clef
Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
Sources de menaces
Gravit
Vraisemblance
Bien support
sur lequel elle repose
MAT Commutateur
Prvention
3. Forte
3. Forte
2. Significative
2. Significative
3. Forte
Protection
Rcupration
LOG Windows XP
LOC Locaux du cabinet
LOG Windows XP
MAT Serveur rseau et fichiers
MAT Commutateur
X
X
X
X
2. Limite
2. Significative
3. Importante
3. Forte
Page 63 sur 95
4. Critique
4. Maximale
ANSSI/ACE/BAC
Description
Cette action consiste juger de l'importance des risques en les hirarchisant selon les critres de
gestion des risques retenus.
Certains risques peuvent tre carts de la suite de l'tude si les critres de gestion des risques
dfinis le prvoient (par exemple, si la gravit et/ou la vraisemblance est trs faible). Il est important
d'expliquer pourquoi ils ne sont pas retenus, car ils ne seront pas tudis dans la suite de l'tude et
constituent ainsi des risques non traits. Cette opration doit donc tre dment justifie.
Conseils
Exemple
Les risques prcdemment analyss (identifis et estims) peuvent tre valus l'aide du tableau
suivant (les risques rays correspondent ceux rduits par des mesures de scurit existantes) :
Risque li l'altration de
plans ou de calculs de
structures qui doivent
rester rigoureusement
intgres
4. Critique
3. Importante
Risque li l'altration du
contenu du site Internet
sans pouvoir la dtecter ni
la retrouver
Risque li la
compromission d'un
devis au-del du
personnel et des
partenaires
Risque li la
compromission de plans
ou calculs de structures
au-del des personnels
et partenaires
2. Limite
Risque li l'indisponibilit
d'un devis au-del de 72h
Risque li l'indisponibilit
de plans ou de calculs de
structures au-del de 72h
Risque li l'indisponibilit
de visualisations au-del
de 72h
Risque li l'indisponibilit
du contenu du site Internet
au-del de 72h
Risque li l'indisponibilit
d'un devis au-del de 72h
Risque li l'indisponibilit
de plans ou de calculs de
structures au-del de 72h
Risque li l'indisponibilit
de visualisations au-del de
72h
Risque li l'altration de
visualisations sans pouvoir
la dtecter
Risque li
l'indisponibilit du
contenu du site Internet
au-del de 72h
Gravit
Risque li la
compromission de
visualisations, juges
comme publiques
Risque li la
compromission du
contenu du site Internet
public
1. Ngligeable
1. Minime
2. Significative
3. Forte
4. Maximale
Vraisemblance
Risques ngligeables
Risques significatifs
Page 64 sur 95
Risques intolrables
ANSSI/ACE/BAC
Donnes d'entre
Propritaire
Dpositaire
Actions :
Action 4.2.1. Choisir les options de traitement des risques
Action 4.2.2. Analyser les risques rsiduels
Autorit
Parties prenantes :
Risk manager
RSSI
Risques
Paramtres prendre en compte
Responsable
Donnes produites
Communication et concertation
Les donnes sont obtenues sur la base d'changes entre les parties prenantes
Les objectifs de scurit peuvent faire l'objet :
o d'une fiche d'expression rationnelle des objectifs de scurit (FEROS), au sens du
[Guide 150] ;
o d'un cahier des charges "ouvert", c'est--dire laissant toute libert pour dterminer
des mesures de scurit pour traiter les risques
Surveillance et revue
Des processus sont mis en place pour vrifier qu'on a bien considr toutes les informations
ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits)
Page 65 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste identifier les objectifs de scurit, c'est--dire choisir la manire dont on va
devoir traiter les risques afin que le niveau de risque rsiduel devienne acceptable.
Cette action doit tre ralise en fonction des critres de gestion des risques retenus.
Il convient ainsi, pour tout ou partie de chaque risque de choisir parmi les options suivantes :
l'viter (ou le refuser) : changer le contexte de telle sorte qu'on n'y soit plus expos ;
le rduire : prendre des mesures de scurit pour diminuer l'impact et/ou la vraisemblance ;
le prendre (ou le maintenir), voire l'augmenter : assumer les consquences sans prendre de
mesure de scurit supplmentaire ;
le transfrer (ou le partager) : partager les pertes occasionnes par un sinistre ou faire
assumer la responsabilit un(des) tiers.
On note que l'on peut choisir plusieurs options pour chaque risque (ex. : un risque peut tre
partiellement rduit par la mise en uvre de mesures de scurit, partiellement transfr par le
recours une assurance et partiellement pris pour ce qui subsiste).
Le choix des options de traitement doit tre fait au regard :
des lments constitutifs du risque (bien essentiel, bien support, critre de scurit touch,
impacts, menaces) : ils permettent de juger de la faisabilit de leur traitement ;
des critres de gestion des risques retenus : ils peuvent orienter le choix (vitement,
rduction, prise ou transfert) selon la gravit et la vraisemblance (par exemple, il peut tre
dcid que les risques dont la gravit et la vraisemblance sont trs faibles doivent tre pris,
les plus importants vits, et les autres rduits ou transfrs) ;
des paramtres prendre en compte : ils peuvent avoir une influence sur les choix de
traitement, notamment les contraintes et les hypothses.
Conseils
Il peut s'avrer utile l'illustrer ou d'orienter les choix de traitement en indiquant des exemples
de mesures de scurit pour chaque objectif de scurit.
Cette action fait gnralement l'objet de modifications lorsque les ngociations du module
suivant poussent rviser les choix de traitement.
Page 66 sur 95
ANSSI/ACE/BAC
Exemple
@RCHIMED souhaite essentiellement rduire les risques jugs comme prioritaires et significatifs, et
prendre les risques jugs comme non prioritaires.
Le tableau suivant prsente les objectifs de scurit identifis (les croix correspondent aux premiers
choix, les croix entre parenthses correspondent aux autres possibilits acceptes) :
Risque
Risque li l'indisponibilit d'un devis au-del de 72h
Risque li l'altration d'un devis qui doit rester
rigoureusement intgre
Risque li la compromission d'un devis au-del du
personnel et des partenaires
Risque li l'indisponibilit de plans ou de calculs de
structures au-del de 72h
Risque li l'altration de plans ou de calculs de
structures qui doivent rester rigoureusement intgres
Risque li la compromission de plans ou calculs de
structures au-del des personnels et partenaires
Risque li l'indisponibilit de visualisations au-del
de 72h
Risque li l'altration de visualisations sans pouvoir
la dtecter
Risque li la compromission de visualisations, juges
comme publiques
Risque li l'indisponibilit du contenu du site Internet
au-del de 72h
Risque li l'altration du contenu du site Internet
sans pouvoir la dtecter ni la retrouver
Risque li la compromission du contenu du site
Internet public
vitement
Rduction
(X)
Prise
X
Transfert
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
(X)
Page 67 sur 95
(X)
(X)
ANSSI/ACE/BAC
Description
Cette action consiste identifier et estimer les risques rsiduels qui subsisteront quand chaque
objectif de scurit sera atteint, et vrifier que l'on sera prt les accepter en toute connaissance de
cause.
Cette action doit tre ralise en fonction des critres de gestion des risques retenus.
D'une manire gnrale, les risques rsiduels sont mis en vidence selon le choix de traitement :
un risque vit ne gnre aucun risque rsiduel s'il est compltement vit ; sinon, les risques
rsiduels correspondent ce qui n'est pas vit ;
un risque rduit mne des risques rsiduels s'il n'est pas totalement rduit ;
un risque pris constitue un risque rsiduel part entire ;
un risque transfr n'induit aucun risque rsiduel s'il est totalement transfr ; sinon, les
risques rsiduels correspondent ce qui n'est pas transfr.
La gravit et la vraisemblance des risques rsiduels doivent finalement tre estimes.
Pour chaque risque, il peut tre utile de dterminer la gravit et la vraisemblance attendues une fois
les objectifs de scurit satisfaits. Ces niveaux constituent ainsi le niveau de risque acceptable.
Conseils
Il est prfrable de mettre systmatiquement des risques rsiduels en vidence. Ceci montre
qu'une rflexion a t mene et tend dmontrer par leur nonc que ces risques rsiduels
peuvent tre accepts.
Il est possible que cette action ne mette en vidence aucun risque rsiduel, notamment dans
le cas o l'on prvoirait de rduire tous les risques. Le module suivant permettra de mettre en
vidence des risques rsiduels si la rduction des risques n'est pas complte.
Lestimation des risques rsiduels ne doit pas tre nglige. En effet, cest sur cette base que
lon pourra juger de leur acceptation.
Exemple
l'issue de l'identification des objectifs de scurit, @RCHIMED a mis en vidence les risques
rsiduels suivants :
Risques rsiduels
Risque li l'indisponibilit d'un devis au-del de 72h
Risque li l'indisponibilit de plans ou de calculs de structures
au-del de 72h
Risque li l'indisponibilit de visualisations au-del de 72h
Risque li la compromission de visualisations, juges comme
publiques
Risque li l'indisponibilit du contenu du site Internet au-del de
72h
Risque li la compromission du contenu du site Internet public
Gravit
2. Limite
Vraisemblance
2. Significative
2. Limite
2. Significative
2. Limite
2. Significative
1. Ngligeable
4. Maximale
2. Limite
2. Significative
1. Ngligeable
4. Maximale
On note que ces risques rsiduels pourront tre rduits ultrieurement, quand les autres risques
seront devenus acceptables.
Page 68 sur 95
ANSSI/ACE/BAC
Module 1
tude du
contexte
Module 2
tude des
vnements
redouts
Page 69 sur 95
Module 3
tude des
scnarios de
menaces
Module 4
tude des
risques
Module 5
tude des
mesures de
scurit
ANSSI/ACE/BAC
Permet d'exploiter les rfrentiels de mesures existants et/ou d'en laborer des spcifiques
Permet de s'adapter l'objectif de la gestion des risques et aux livrables attendus
Permet de mesurer l'efficacit des mesures de scurit (rapport cot / effet)
Permet aux parties prenantes de dcider objectivement de la poursuite des actions
Favorise l'implication et la responsabilisation des parties prenantes
Donnes d'entre
Propritaire
Actions :
Action 5.1.1. Dterminer les mesures de scurit
Action 5.1.2. Analyser les risques rsiduels
Action 5.1.3. tablir une dclaration d'applicabilit
Dpositaire
Autorit
Parties prenantes :
Risk manager
RSSI
R
R
R
C
C
C
I
I
A
A
I
I
C
C
C
Donnes produites
Communication et concertation
Surveillance et revue
Des processus sont mis en place pour vrifier qu'on a bien considr toutes les informations
ncessaires (par rapport l'tat de l'art, aux organismes dans le mme secteur d'activits)
Les rsultats prcdents orientent les choix des mesures de scurit (capacit de relier les
mesures de scurit aux objectifs de scurit et aux paramtres prendre en compte dans le
traitement des risques)
Les rsultats revtent une signification prcise pour l'organisation (ils sont explicites pour les
personnes auxquelles ils sont destins)
Les conclusions de l'tude couvrent lensemble des questions poses au dpart
Les rsultats de lanalyse des donnes recueillies refltent lexprience des participants ou le
contexte avec crdibilit
Les rsultats correspondent ce que les participants voulaient dire et non simplement ce
qui a t exprim (perspective mique)
Page 70 sur 95
ANSSI/ACE/BAC
Page 71 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste dterminer les moyens datteindre les objectifs de scurit. Il s'agit donc ici de
dfinir les mesures de scurit qui vont permettre d'viter, de rduire ou de transfrer tout ou partie
des risques (la prise de risque ne requiert pas de mesures de scurit), en tenant compte des
contraintes identifies, notamment budgtaires et techniques.
Les mesures de scurit peuvent tre slectionnes et utilises telles quelles dans des rfrentiels de
mesures (normes, mthodes, bases de connaissances, catalogues de scurit), adaptes d'aprs
des rfrentiels, ou cres de toute pice. cette fin, les bases de connaissances de la mthode
proposent une liste gnrique que l'on peut directement utiliser ou que l'on peut ajuster.
Le contenu et le niveau de dtail des mesures de scurit doivent tre cohrents avec le but de
l'tude et des livrables attendus. Il peut s'agir d'exigences plus ou moins dtailles, de principes, de
rgles, de consignes, de procdures, de points de contrle, de choix de produits, etc
Par ailleurs, ds lors qu'une mesure de scurit est spcifie, il convient d'identifier :
la ligne de dfense (prventive, protectrice ou rcupratrice) laquelle elle appartient, afin de
faciliter la dtermination des mesures de scurit en appliquant une dfense en profondeur ;
le bien support qui la porte, afin de faciliter l'optimisation des mesures de scurit, son
propritaire tant a priori responsable de l'application de la mesure de scurit.
Pour qu'un risque soit vit, il convient de changer un lment du contexte afin de ne plus y tre
expos. Cela peut se traduire par des mesures de scurit telles que le changement de localisation
gographique, le fait de ne pas commencer ou poursuivre l'activit porteuse du risque, la sparation
d'informations ayant des besoins de scurit bien diffrents sur des biens supports isols
Pour qu'un risque soit transfr, il convient de partager les pertes avec un tiers. Les mesures de
scurit peuvent ainsi consister souscrire une assurance, financer le risque, utiliser des produits,
des services ou des individus certifis, contractualiser des clauses de transfert de responsabilit
Pour qu'un risque soit rduit un niveau acceptable, il convient de diminuer sa gravit et/ou sa
vraisemblance en agissant sur ses composantes (sources de menaces, menaces, vulnrabilits,
impacts). Il est ainsi souvent ncessaire de mettre en uvre plusieurs mesures de scurit, et si
3
possible, en appliquant les principes de dfense en profondeur .
ANSSI/ACE/BAC
Afin de mettre en place une dfense en profondeur, la dmarche consiste dans un premier temps
tablir au moins trois lignes de dfense (selon la gravit des risques et la capacit des sources de
menaces) pour chaque risque :
une ligne prventive, destine viter l'apparition des incidents et des sinistres l'aide de
mesures de scurit qui agissent sur :
o les sources de menaces (dissuasion, dception),
o les besoins de scurit des biens essentiels (anticipation, prvention),
o les vulnrabilits des biens supports (rduction des failles, prparation) ;
une ligne protectrice, destine bloquer, contenir et dtecter l'apparition des incidents et des
sinistres l'aide de mesures de scurit qui agissent sur :
o les besoins de scurit des biens essentiels (confinement),
o les sources de menaces (lutte),
o les menaces (dtection, protection, raction dfensive),
o les vulnrabilits des biens supports (rsistance, rsilience) ;
une ligne rcupratrice, destine minimiser les consquences des incidents et des sinistres
et revenir l'tat initial, l'aide de mesures de scurit qui agissent sur :
o les besoins de scurit des biens essentiels (rcupration, restauration),
o les sources de menaces (raction offensive),
o les impacts (compensation).
Chaque ligne de dfense peut ensuite tre renforce en dterminant plusieurs mesures de scurit
sur un ou plusieurs bien support (un matriel, un logiciel, des locaux, une organisation).
Un ensemble de mesures de soutien (alerte, diffusion, corrlation d'vnements, protection des
mesures de scurit, raction) devrait complter le dispositif de dfense en profondeur.
On note que les ventuelles mesures de scurit existantes doivent tre considres, mais peuvent
aussi tre remises en question par des mesures de scurit plus appropries.
Il convient enfin d'amliorer le dispositif global de scurit, bien support par bien support. Le but est ici
de faire le bilan pour gagner en pertinence, en conomie et en efficacit.
La liste des mesures de scurit portes par chaque bien support doit tout d'abord tre tablie.
Ensuite, l'applicabilit et la cohrence des mesures de scurit portes par chaque bien support
doivent tre tudies. Il est ainsi possible de vrifier que les mesures de scurit sont compatibles
entre elles, de factoriser certaines mesures de scurit, de vrifier que la formulation va tre comprise
par le propritaire du bien support, qu'il va tre capable de la mettre en uvre Le cas chant, les
mesures de scurit peuvent tre adaptes en consquence.
On estime finalement l'impact de la mise en uvre de chaque mesure de scurit en termes de cot
financier ou de charge de personnel (tude, ralisation, application, maintien en situation
oprationnelle), mais aussi en termes de consquences sur les habitudes et la culture des
personnes et sur les processus mtiers du fait du changement induit.
Conseils
Page 73 sur 95
ANSSI/ACE/BAC
Exemple
R1
R2
R3
R5
Utilisation de films
empchant lespionnage de
lcran des ordinateurs
portables
Accompagnement
systmatique des visiteurs
dans les locaux
X
Assurance multirisque
professionnelle et sur les
matriels informatiques
Destruction des documents
sensibles lors de leur mise
au rebut
Sensibilisation rgulire des
personnels aux risques
encourus
Retrait des droits daccs en
fin de contrat
Utilisation de mots de passe
de qualit pour chaque
compte utilisateur
LOG
MacOS X
7.1. Responsabilits
relatives aux biens
LOG
Serveurs
logiciels du
rseau interne
10.1. Procdures et
responsabilits lies
lexploitation
LOG
Windows XP
MAT
Commutateur
10.6. Gestion de la
scurit des rseaux
MAT Disque
USB
MAT
Ordinateurs
portables
9.2. Scurit du
matriel
MAT
Ordinateurs
portables
9.2. Scurit du
matriel
6.2. Tiers
7.1. Responsabilits
relatives aux biens
Bien support
sur lequel
elle repose
R6
R4
Rcupration
Mesure de scurit
Protection
Le tableau suivant prsente la liste des mesures de scurit destines rduire ou transfrer les
risques prioritaires (elles traitent galement les autres risques) :
Prvention
ORG
Organisation
du cabinet
ORG
Organisation
du cabinet
ORG
Organisation
du cabinet
ORG
Organisation
du cabinet
ORG
Organisation
du cabinet
10.2. Gestion de la
prestation de service
par un tiers
15.3. Prises en compte
de laudit du systme
dinformation
14.1. Aspects de la
scurit de linformation
en matire de gestion
de la continuit de
lactivit
PAP
Support
papier
PER
Utilisateur
PER
Administrateur
PER
Utilisateur
11.3. Responsabilits
utilisateurs
Ces mesures de scurit ont t dtermines dans lobjectif de couvrir diffrents lments des risques
traiter (vulnrabilits, menaces, sources de menaces, besoins de scurit ou impacts), daborder la
plupart des thmes de lISO 27002, de couvrir les diffrentes lignes de dfense (prvention, protection
et rcupration), et ont t optimises bien support par bien support.
Page 74 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste identifier et estimer les risques rsiduels qui subsisteront quand chaque
mesure de scurit sera mise en uvre. Cela permet de vrifier que l'on sera prt les accepter en
toute connaissance de cause.
Pour chaque objectif de scurit, il convient de :
raliser un argumentaire justificatif, qui devrait dmontrer que :
o la combinaison des mesures de scurit traite le risque conformment l'objectif de
scurit identifi,
o l'ensemble des mesures de scurit constitue un tout cohrent et dont les lments
se soutiennent mutuellement,
o le niveau de rsistance des mesures de scurit choisi est cohrent avec les sources
de menaces retenues ;
complter la liste des risques rsiduels au regard des mesures de scurit identifies, et les
estimer en termes de gravit et de vraisemblance ;
estimer l'effet des mesures de scurit sur la gravit et la vraisemblance du risque
concern en les r-estimant.
Conseils
Il peut tre utile de raliser un tableau crois entre les objectifs de scurit et les mesures de
scurit pour vrifier la couverture et qu'il n'existe pas de mesure de scurit inutile.
Lanalyse des risques rsiduels ne doit pas tre nglige. En effet, cest sur cette base que
lon pourra juger de leur acceptation.
Exemple
Si les mesures de scurit prcdemment identifies sont mises en uvre, alors le niveau des
risques jugs comme intolrables ou significatifs peut tre r-estim comme suit :
Risque li l'altration d'un devis qui doit rester rigoureusement intgre
Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale
Risque li l'altration de plans ou de calculs de structures qui doivent rester rigoureusement intgres
Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale
1. Ngligeable
1. Minime
2. Limite
2. Significative
[]
Page 75 sur 95
3. Importante
3. Forte
4. Critique
4. Maximale
ANSSI/ACE/BAC
Description
Cette action consiste expliquer comment les paramtres prendre en compte (rfrences
applicables, contraintes et hypothses) ont t pris en compte au sein de l'tude et de justifier le fait
de ne pas en avoir tenu compte, le cas chant.
Elle permet ainsi de ne rien oublier de ce qu'il a t dcid de considrer lors de l'tude, et donc de
rappeler, si ce n'est pas dj fait, qu'il est ncessaire de tenir compte des paramtres identifis dans
l'tablissement du contexte dans l'apprciation et dans le traitement des risques, et notamment dans
la dtermination des mesures de scurit.
Certains paramtres prendre en compte, notamment les rfrences applicables, peuvent faire l'objet
de mesures de scurit complmentaires, dont il convient de vrifier la cohrence avec les autres
mesures de scurit. On note que le fait de ne pas prendre en compte des rfrences rglementaires
applicables engendre des risques de nature juridique qu'il convient de mettre en vidence.
Certains paramtres prendre en compte peuvent galement requrir de modifier des mesures de
scurit.
Cette action peut ainsi servir dmontrer lapplicabilit dtaille de meilleures pratiques en expliquant
le positionnement face chacune delles.
Pour chacune des meilleures pratiques, il suffit de dterminer, parmi les mesures de scurit
prcdemment identifies, celles qui lui correspondent.
Ainsi, les meilleures pratiques couvertes par au moins une mesure de scurit peuvent tre juges
comme utiles pour le primtre de l'tude. Les mesures de scurit lies ces meilleures pratiques
expliquent comment celles-ci sont appliques, et ce, de manire ncessaire et suffisante.
A contrario, les meilleures pratiques qui ne sont couvertes par aucune mesure de scurit peuvent
tre juges comme inutiles pour le primtre de l'tude. En effet, elles ne servent traiter aucun
risque ni couvrir aucun paramtre prendre en compte.
Conseils
Exemple
La prise en compte de chaque contrainte identifie est explicite comme suit :
Paramtre prendre en compte
Le personnel est utilisateur de
l'informatique, mais pas spcialiste
Le personnel de nettoyage intervient de
7h 8h
Aucun dmnagement n'est planifi
Explication / Justification
Pris en compte
Les mesures de scurit applicables par le personnel ne
demandent pas une grande expertise
Non pris en compte
Les horaires doivent correspondrent ceux du personnel
Pris en compte
Les mesures de scurit formalises ne demandent pas
de dmnagement
Page 76 sur 95
ANSSI/ACE/BAC
Donnes d'entre
R
R
C
C
Propritaire
Dpositaire
Actions :
Action 5.2.1. laborer le plan d'action et suivre la ralisation
des mesures de scurit
Action 5.2.2. Analyser les risques rsiduels
Action 5.2.3. Prononcer l'homologation de scurit
Autorit
Parties prenantes :
Risk manager
RSSI
C
I
Donnes produites
Plan d'action
Mesures de scurit mises en uvre
Risques rsiduels mis jour
Dcision dhomologation de scurit
Communication et concertation
Surveillance et revue
L'interprtation des personnes ralisant l'tude s'accorde avec les donnes recueillies
Page 77 sur 95
ANSSI/ACE/BAC
Action 5.2.1. laborer le plan d'action et suivre la ralisation des mesures de scurit
Description
Cette action consiste identifier parmi les mesures de scurit formalises celles qui ne seraient pas
dj appliques et planifier concrtement les actions ncessaires leur mise en uvre.
Pour chaque mesure de scurit prcdemment formalise, il convient d'indiquer, par exemple sous
la forme d'un tableau :
son libell ;
sa priorit (qui peut tre dtermine par les critres de gestion de risques, par exemple en
fonction de la gravit et de la vraisemblance des risques concerns) ;
le responsable de la mise en uvre (une personne ou une fonction) ;
si besoin, le dtail des actions mener (notamment si plusieurs tapes sont ncessaires) ;
l'chance prvisionnelle ;
le cot prvisionnel de mise en uvre (notamment l'achat de produits et la charge estime) ;
l'tat d'avancement (non dmarr / en cours / termin / contrl) ;
les moyens de contrler la mise en uvre (indicateur oprationnel, lments de preuve) ;
les ventuels risques, rsiduels ou induits, mis en vidence au fur et mesure de
l'avancement du plan d'action.
Conseils
Il peut tre utile de prciser si les mesures de scurit doivent tre appliques avant ou aprs
l'homologation. Celles qui servent traiter des risques jugs comme bloquants devraient
gnralement tre appliques avant et celles qui servent traiter des risques jugs comme
majeurs, indirects et mineurs peuvent tre appliques aprs.
D'une manire gnrale, chaque action du plan d'action devrait tre :
o S spcifique (un acteur, un domaine la fois) ;
o M mesurable (dfinition du moyen de contrle) ;
o A atteignable (ventuellement en plusieurs tapes, avec les ressources
ncessaires) ;
o R raliste (en fonction des acteurs, de leurs capacits) ;
o T lie au temps (avec une date buttoir, un dlai, une priode dfinie).
Exemple
Le plan d'action d'@RCHIMED, tri par terme, avancement et cot financier, est tabli comme suit :
Mesure de scurit
Mesures du trimestre
Activation dune alarme anti-intrusion
durant les heures de fermeture
Consignes de fermeture clef des
locaux
Dispositifs de lutte contre lincendie
Climatisation
Contrle d'accs par mot de passe sous
MacOS X
Contrle d'accs par mot de passe sous
Windows XP
Accs restreint en entre (messagerie,
services WEB)
Activation du WPA2
Sauvegarde hebdomadaire sur des
disques USB stocks dans un meuble
fermant clef
Installation dun antivirus sous MacOS X
Installation dun antivirus sous Windows
XP
Responsable
Difficult
Cot financier
Terme
Avancement
Directeur
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
Directeur adjoint
1. Faible
1. Faible
1. Nul
1. Nul
1. Trimestre
1. Trimestre
3. Termin
3. Termin
Directeur adjoint
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
1. Nul
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
2. Moins de 1000
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
2. Moins de 1000
1. Trimestre
3. Termin
Page 78 sur 95
ANSSI/ACE/BAC
Mesure de scurit
Alimentation secourue
Contrat de maintenance informatique
(intervention sous 4h)
Accord sur le niveau de service de
l'hbergeur
Assurance multirisque professionnelle
et sur les matriels informatiques
laboration dune politique de scurit
de linformation
Rangement systmatique des
documents lis aux plans et calculs de
structures dans un meuble ferm clef
Chiffrement des fichiers lis aux plans
et calculs de structures l'aide de
certificats lectroniques
Cration d'empreintes des fichiers lis
aux plans et aux calculs de structure
Cration d'empreintes des fichiers lis
aux visualisations
Difficult
1. Faible
Cot financier
2. Moins de 1000
Terme
1. Trimestre
Avancement
3. Termin
Directeur adjoint
1. Faible
2. Moins de 1000
1. Trimestre
3. Termin
Directeur adjoint
1. Faible
2. Moins de 1000
1. Trimestre
3. Termin
Directeur
1. Faible
3. Plus de 1000
1. Trimestre
3. Termin
Directeur adjoint
2. Moyenne
1. Nul
1. Trimestre
2. En cours
Bureau d'tudes
1. Faible
1. Nul
1. Trimestre
1. Non dmarr
Bureau d'tudes
2. Moyenne
1. Nul
1. Trimestre
1. Non dmarr
Bureau d'tudes
2. Moyenne
1. Nul
1. Trimestre
1. Non dmarr
Bureau d'tudes
2. Moyenne
1. Nul
1. Trimestre
1. Non dmarr
Directeur adjoint
1. Faible
2. Moins de 1000
1. Trimestre
1. Non dmarr
Service
commercial
1. Faible
2. Moins de 1000
1. Trimestre
1. Non dmarr
Service
commercial
1. Faible
2. Moins de 1000
1. Trimestre
1. Non dmarr
Tous
1. Faible
2. Moins de 1000
1. Trimestre
1. Non dmarr
Directeur adjoint
1. Faible
3. Plus de 1000
1. Trimestre
1. Non dmarr
Directeur adjoint
1. Faible
1. Nul
2. Anne
1. Non dmarr
Directeur adjoint
2. Moyenne
1. Nul
2. Anne
1. Non dmarr
Directeur adjoint
2. Moyenne
1. Nul
2. Anne
1. Non dmarr
Service
commercial
2. Moyenne
1. Nul
2. Anne
1. Non dmarr
Service
commercial
2. Moyenne
1. Nul
2. Anne
1. Non dmarr
Directeur
2. Moyenne
2. Moins de 1000
2. Anne
1. Non dmarr
Directeur
2. Moyenne
2. Moins de 1000
2. Anne
1. Non dmarr
Directeur adjoint
1. Faible
2. Moins de 1000
2. Anne
1. Non dmarr
Directeur adjoint
2. Moyenne
3. Plus de 1000
2. Anne
1. Non dmarr
Directeur adjoint
3. leve
1. Nul
3. 3 ans
1. Non dmarr
Directeur adjoint
3. leve
1. Nul
3. 3 ans
1. Non dmarr
Directeur adjoint
3. leve
1. Nul
3. 3 ans
1. Non dmarr
Directeur adjoint
et partenaires
2. Moyenne
1. Nul
3. 3 ans
1. Non dmarr
Directeur adjoint
3. leve
3. Plus de 1000
3. 3 ans
1. Non dmarr
Page 79 sur 95
ANSSI/ACE/BAC
Description
Cette action consiste identifier et estimer les risques rsiduels qui subsiste rellement une fois les
mesures de scurit mises en uvre. Cela permet de vrifier que l'on sera prt les accepter en
toute connaissance de cause.
Pour chaque objectif de scurit, il convient de complter la dmonstration de couverture et donc de :
revoir largumentaire justificatif, qui devrait dmontrer que :
o la combinaison des mesures de scurit mises en uvre traite le risque
conformment l'objectif de scurit identifi,
o l'ensemble des mesures de scurit mises en uvre constitue un tout cohrent et
dont les lments se soutiennent mutuellement,
o le niveau de rsistance des mesures de scurit mises en uvre est cohrent avec
les sources de menaces retenues ;
complter la liste des risques rsiduels au regard des mesures de scurit mises en uvre, et
les estimer en termes de gravit et de vraisemblance ;
estimer l'effet des mesures de scurit mises en uvre sur la gravit et la vraisemblance du
risque concern en les r-estimant.
Conseils
Il peut tre utile de raliser un tableau crois entre les objectifs de scurit et les mesures de
scurit mises en uvre pour vrifier la couverture et qu'il n'existe pas de mesure de scurit
inutile.
Lanalyse des risques rsiduels ne doit pas tre nglige. En effet, cest sur cette base que
lon pourra juger de leur acceptation.
Exemple
Un ensemble de risques subsiste aprs la mise en uvre des mesures de scurit formalises :
Risque li l'altration d'un devis qui doit rester rigoureusement intgre
Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale
Risque li l'altration de plans ou de calculs de structures qui doivent rester rigoureusement intgres
Niveau de risque
Gravit
Vraisemblance
1. Ngligeable
1. Minime
2. Limite
2. Significative
3. Importante
3. Forte
4. Critique
4. Maximale
1. Ngligeable
1. Minime
2. Limite
2. Significative
[]
Page 80 sur 95
3. Importante
3. Forte
4. Critique
4. Maximale
ANSSI/ACE/BAC
Description
Cette action consiste faire valider les conclusions de l'tude de manire formelle.
La dcision dhomologation est lengagement par lequel l'autorit atteste que le projet a bien pris en
compte les contraintes oprationnelles tablies au dpart, que le systme et les informations sont
protgs conformment aux objectifs de scurit, et que le systme dinformation est apte entrer en
service avec des risques rsiduels accepts et matriss.
Cette dcision est thoriquement prise pralablement l'emploi du systme d'information considr.
Lautorit peut sappuyer sur une commission dhomologation qui lui fournira les lments
dinformation et la synthse ncessaires sa dcision. Si la responsabilit du systme dinformation
nest pas incarne par une seule autorit, lhomologation peut tre collgiale ou confie une autorit
parmi les autorits concernes.
Lautorit peut prononcer :
une homologation provisoire, assortie de rserves et dun dlai de mise en conformit ;
un refus d'homologation au vu des rsultats d'audit et des risques rsiduels encourus jugs
inacceptables ;
une homologation complte, assortie le cas chant de conditions, pour une dure
dtermine (frquemment entre 3 et 5 ans).
Lhomologation peut tre assortie de conditions, qui sont alors mentionnes dans la dcision
dhomologation. Lautorit peut modifier les conditions dont lhomologation est assortie ou retirer
lhomologation lorsquelle estime que les risques encourus ne sont pas acceptables au regard du
besoin de protection du systme et des informations. Toute volution du systme ayant une
rpercussion sur la scurit devrait donner lieu une nouvelle homologation de scurit.
Conseils
Afin d'assurer une intgration de la SSI tout au long du projet, la commission d'homologation
doit tre cre ds l'tude d'opportunit.
La commission d'homologation doit valider les diffrentes tapes de l'tude des risques, aux
jalons cls du programme, sur la base de livrables adapts.
La commission d'homologation peut se prononcer sur la base d'un plan d'action visant
rduire les risques rsiduels, satisfaire des objectifs de scurit et mettre en uvre les
mesures de scurit.
Les diffrentes tapes de l'tude des risques doivent tre raffines tout au long du projet.
Exemple
Le Directeur d'@RCHIMED a prononc l'homologation de scurit du cabinet au vu de l'tude ralise
(dlimitation du primtre, apprciation des risques, laboration du plan d'action, mise en vidence
des risques rsiduels) et des livrables labors (note de cadrage, note de stratgie, politique de
scurit de l'information).
Cette homologation de scurit est valable un an et pourra tre renouvele tous les ans.
La mise en uvre du plan d'action devra tre dmontre, ainsi que l'amlioration continue de l'tude
de scurit.
Page 81 sur 95
ANSSI/ACE/BAC
Page 82 sur 95
Activits d'EBIOS
permettant de les satisfaire
Activit 1.1 Dfinir le cadre
de la gestion des risques
Activit 1.3 Identifier les
biens
ANSSI/ACE/BAC
Page 83 sur 95
Activits d'EBIOS
permettant de les satisfaire
ANSSI/ACE/BAC
Activits d'EBIOS
permettant de les satisfaire
Page 84 sur 95
ANSSI/ACE/BAC
5. Background
6. Overview of the information security risk
management process
7. Context establishment
7.1. General considerations
7.2. Basic Criteria
7.3. The scope and boundaries
7.4. Organization for information security risk
management
Page 85 sur 95
ANSSI/ACE/BAC
Introduction
1. Domaine dapplication
2. Rfrences normatives
3. Termes et dfinitions
4. Principes de management du risque
5. Cadre organisationnel de management du
risque
5.1. Gnralits
5.2. Mandat et engagement
5.3. Conception du cadre organisationnel de
management du risque
5.4. Mise en uvre du management du risque
5.5. Surveillance et revue du cadre
organisationnel
5.6. Amlioration continue du cadre
organisationnel
6. Processus de management du risque
6.1. Gnralits
6.2. Communication et consultation
6.3. tablissement du contexte
6.4. Apprciation du risque
6.5. Traitement du risque
6.6. Surveillance et revue
6.7. Documentation du processus de
management du risque
Page 86 sur 95
ANSSI/ACE/BAC
Annexe B Rfrences
Acronymes
ANSSI
EBIOS
FEROS
ISO
PP
Profil de Protection
Page 87 sur 95
Standardization
(organisation
ANSSI/ACE/BAC
Dfinitions
Apprciation des risques
(risk assessment)
Besoin de scurit
(sensitivity)
Bien
(asset)
Bien essentiel
(primary asset)
liste de noms ;
requte de certification ;
gestion de la facturation ;
algorithme de chiffrement ;
micro-ordinateur portable ;
Ethernet ;
systme d'exploitation ;
Page 88 sur 95
ANSSI/ACE/BAC
Bien support
(supporting asset)
Exemples :
Communication
concertation
et
(communication and
consultation)
socit d'infogrance ;
locaux de l'organisme ;
administrateur systme ;
micro-ordinateur portable ;
Ethernet ;
systme d'exploitation ;
portail de tlprocdure ;
Confidentialit
(confidentiality)
(security criteria)
Exemples :
Disponibilit
disponibilit,
intgrit,
confidentialit,
(availability)
du
Page 89 sur 95
ANSSI/ACE/BAC
vnement redout
(feared event)
Gravit
(consequences)
Homologation de scurit
(security accreditation)
Page 90 sur 95
ANSSI/ACE/BAC
Impact
(impact)
Information
(information)
Intgrit
(integrity)
Menace
(threat)
Mesure de scurit
(control)
Objectif de scurit
(security objective)
Organisme
(organisation)
un message ;
une liste de noms ;
une requte de certification ;
liste de rvocation ;
avec
des
Exemples :
Partie prenante
(stakeholder)
entreprise,
dpartement ministriel,
Page 91 sur 95
ANSSI/ACE/BAC
Prise de risques
(risk retention)
Processus de l'organisme
(business process)
Processus informationnel
(information process)
Rduction de risques
(risk reduction)
Refus de risques
(risk avoidance)
Risque rsiduel
(residual risk)
Risque de scurit de
l'information
(information security risk)
Page 92 sur 95
ANSSI/ACE/BAC
Scnario de menace
(vector)
Scurit de l'information
(information security)
Source de menace
(threat source)
Surveillance et revue
(risk monitoring and review)
Systme d'information
(information system)
Traitement des risques
(risk treatment)
Page 93 sur 95
ANSSI/ACE/BAC
Transfert de risques
(risk transfer)
Validation du traitement
des risques
(risk acceptance)
Vraisemblance
(likelihood)
Vulnrabilit
(vulnerability)
crdulit du personnel,
facilit de pntrer sur un site,
possibilit de crer ou modifier des commandes systmes,
Page 94 sur 95
ANSSI/ACE/BAC
Rfrences bibliographiques
[Guide 150]
[IGI 1300]
[ISO 15408]
[ISO 27001]
[ISO 27002]
[ISO 27005]
[ISO 31000]
[ISO 9000]
[RGS]
Page 95 sur 95