Académique Documents
Professionnel Documents
Culture Documents
Bureau conseil
Quels sont les avantages de la mthode EBIOS dans le cadre d'une dmarche ISO 27001 ?
La mthode EBIOS reprsente une aide la mise en place d'un SGSSI. En effet, la ralisation pralable d'une tude EBIOS offre plusieurs avantages : une mthode structure identifiant les besoins rels de l'organisme en matire de SSI, le soutien de la dmarche spcifie dans l'ISO 27001, pendant la phase d'analyse et d'valuation des risques, pour choisir des objectifs et mesures de scurit pertinents, la justification du choix des objectifs et mesures de scurit de l'ISO 17799 en fonction des besoins rels de l'organisme grce la traabilit entre toutes les composantes du risque jusqu'aux biens qui peuvent tre impacts, une description pratique et dtaille de la mise en uvre des objectifs et mesures de scurit de l'ISO 27001 sous la forme d'exigences de scurit fonctionnelles, une mthode et des rsultats rutilisables en vue des itrations successives du SGSSI (audit rgulier) permettant : o d'une part, la traabilit entre les risques initialement identifis, les mesures prises et les risques nouveaux ou mis jour, o d'autre part, la mesure de l'efficacit des mesures prises par des dmonstrations de couverture rigoureuses. Page 2 sur 4
une
dmarche
EBIOS intervient principalement dans la premire tape du SGSSI (planifier), mais galement dans les trois tapes suivantes (mettre en uvre, vrifier, amliorer). Une solution efficace pour mettre en uvre une dmarche ISO 27001 consiste : dans l'tape Planifier : o dfinir le domaine dapplication du SGSSI (formaliser le primtre), o laborer une politique de scurit, o raliser une tude EBIOS globale afin d'effectuer l'analyse, l'valuation et le traitement des risques, en choisissant les objectifs et mesures de scurit permettant de couvrir les risques qui doivent tre rduits, o prparer une dclaration d'applicabilit ; dans l'tape Mettre en uvre : o laborer un plan de traitement des risques l'aide des rsultats de l'tude, o laborer les lments de communication l'aide des rsultats de l'tude ; dans l'tape Vrifier : o laborer le rfrentiel d'audit l'aide des rsultats de l'tude, o ractualiser l'tude pour mettre jour le niveau des risques ; dans l'tape Amliorer : o exploiter les rsultats actualiss de l'tude pour amliorer le SGSSI ; raliser les autres actions du SGSSI l'aide d'outils complmentaires, tels que les mthodes d'laboration de politiques SSI (PSSI) et d'laboration et de mise en uvre de tableaux de bord SSI (TDBSSI), diffuses par la DCSSI.
Page 3 sur 4
EBIOS
tude du contexte tude de l'organisme tude du systme-cible Dtermination de la cible de l'tude
Expression des besoins de scurit Ralisation des fiches de besoins Synthse des besoins de scurit Dtermination du mode d'exploitation
Identification des objectifs de scurit Confrontation des menaces aux besoins Dtermination des objectifs de scurit Dtermination des niveaux de scurit
Dtermination des exigences de scurit Dtermination des exigences fonctionnelles Dtermination des exigences d'assurance
Page 4 sur 4