PREMIER MINISTRE Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes dinformation Sous-direction des oprations

Bureau conseil

MEILLEURES PRATIQUES POUR LA GESTION DES RISQUES SSI

Exploitation des rsultats de la mthode EBIOS dans le cadre d'une dmarche ISO 27001

Version du 10 novembre 2005

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 15 - Fax 01 71 75 84 00

Document dit par le bureau conseil de la DCSSI

Qu'est-ce que l'ISO 27001 ?

La norme internationale ISO 27001 spcifie un Systme de Gestion de la Scurit des Systmes d'Information (SGSSI) / Information Security Management System (ISMS). Ce SGSSI est structur en quatre tapes rcurrentes (planifier, mettre en uvre, vrifier, amliorer), afin de respecter le principe de la roue de Deming, issue du monde Planifier de la qualit. Ce concept permet d'tablir un parallle avec les normes Mettre en oeuvre Amliorer relatives aux systmes de management Vrifier de la qualit (ISO 9001) et de l'environnement (ISO 14001). Pour oprer ce SGSSI, l'ISO 27001 prconise d'employer son annexe A ou l'ISO 17799 pour identifier les mesures de scurit mettre en uvre au cours de l'tape de planification. La norme internationale ISO 17799 est un guide de bonnes pratiques regroupant 39 objectifs de scurit, dcomposs en 133 mesures de scurit, et relatifs 11 domaines (politique de scurit, scurit du personnel, contrle des accs). Les objectifs de scurit prsentent un but atteindre et les mesures de scurit prsentent les activits permettant d'y parvenir, expliquant les actions mettre en uvre pour implmenter ces mesures.

Quels sont les avantages de la mthode EBIOS dans le cadre d'une dmarche ISO 27001 ?
La mthode EBIOS reprsente une aide la mise en place d'un SGSSI. En effet, la ralisation pralable d'une tude EBIOS offre plusieurs avantages : une mthode structure identifiant les besoins rels de l'organisme en matire de SSI, le soutien de la dmarche spcifie dans l'ISO 27001, pendant la phase d'analyse et d'valuation des risques, pour choisir des objectifs et mesures de scurit pertinents, la justification du choix des objectifs et mesures de scurit de l'ISO 17799 en fonction des besoins rels de l'organisme grce la traabilit entre toutes les composantes du risque jusqu'aux biens qui peuvent tre impacts, une description pratique et dtaille de la mise en uvre des objectifs et mesures de scurit de l'ISO 27001 sous la forme d'exigences de scurit fonctionnelles, une mthode et des rsultats rutilisables en vue des itrations successives du SGSSI (audit rgulier) permettant : o d'une part, la traabilit entre les risques initialement identifis, les mesures prises et les risques nouveaux ou mis jour, o d'autre part, la mesure de l'efficacit des mesures prises par des dmonstrations de couverture rigoureuses. Page 2 sur 4

Document dit par le bureau conseil de la DCSSI

Comment mettre en uvre ISO 27001 en utilisant EBIOS ?

une

dmarche

EBIOS intervient principalement dans la premire tape du SGSSI (planifier), mais galement dans les trois tapes suivantes (mettre en uvre, vrifier, amliorer). Une solution efficace pour mettre en uvre une dmarche ISO 27001 consiste : dans l'tape Planifier : o dfinir le domaine dapplication du SGSSI (formaliser le primtre), o laborer une politique de scurit, o raliser une tude EBIOS globale afin d'effectuer l'analyse, l'valuation et le traitement des risques, en choisissant les objectifs et mesures de scurit permettant de couvrir les risques qui doivent tre rduits, o prparer une dclaration d'applicabilit ; dans l'tape Mettre en uvre : o laborer un plan de traitement des risques l'aide des rsultats de l'tude, o laborer les lments de communication l'aide des rsultats de l'tude ; dans l'tape Vrifier : o laborer le rfrentiel d'audit l'aide des rsultats de l'tude, o ractualiser l'tude pour mettre jour le niveau des risques ; dans l'tape Amliorer : o exploiter les rsultats actualiss de l'tude pour amliorer le SGSSI ; raliser les autres actions du SGSSI l'aide d'outils complmentaires, tels que les mthodes d'laboration de politiques SSI (PSSI) et d'laboration et de mise en uvre de tableaux de bord SSI (TDBSSI), diffuses par la DCSSI.

Page 3 sur 4

Document dit par le bureau conseil de la DCSSI

Pour cela, les donnes exploitables sont les suivantes :

EBIOS
tude du contexte tude de l'organisme tude du systme-cible Dtermination de la cible de l'tude

Systme de gestion de la scurit des systmes d'information (SGSSI)

Expression des besoins de scurit Ralisation des fiches de besoins Synthse des besoins de scurit Dtermination du mode d'exploitation

Planifier (mise en place du SGSSI)

Mettre en oeuvre (mise en oeuvre de la scurit)

tude des menaces tude des origines des menaces tude des vulnrabilits

Dtermination des menaces

Vrifier (mesure de conformit, surveillance)

Identification des objectifs de scurit Confrontation des menaces aux besoins Dtermination des objectifs de scurit Dtermination des niveaux de scurit

Amliorer (actions correctives et prventives)

Dtermination des exigences de scurit Dtermination des exigences fonctionnelles Dtermination des exigences d'assurance

(pour tout complment d'information : ebios.dcssi@sgdn.pm.gouv.fr)

Page 4 sur 4