Vous êtes sur la page 1sur 27

1.

VOLUTION DE LA SSI

LA METHODE EBIOS

Lvolution de la terminologie :
scurit informatique ;
scurit des systmes dinformation ;
scurit de linformation ;
systme de scurit de linformation.

1. Gnralits
2. CC et autres mthodes dvaluation
3. La mthode EBIOS
3.1 Etude du contexte

La SSI doit tre considre globalement


en tenant compte de toutes les ressources ;
en tant prise en compte au plus haut niveau hirarchique ;
en tant prise en compte au plus tt dans la gestion des projets.

3.2 Expression des besoins de scurit

Anas ABOU EL KALAM


1

1. LE DVELOPPEMENT DES MTHODES SSI

1. Les mthodologies de scurit

De nouveaux besoins :
formalisation, retour dexprience
uniformisation, standardisation
qualit

 Mehari, Marion, Melisa, I CAS, CRAMM, BS7799, EBIOS, RFC


1244

Enrichissement des mthodes


de nombreuses mthodes prouves approfondissent leurs bases
de connaissances, dveloppent les domaines dapplication, sont
compltes par des outils logiciels

 Souvent applicables par des prestataires de service sous forme


 d'audit de scurit
danalyse de risques

 Ralises par des utilisateurs ayant des comptences techniques de


scurit ou des groupes de travail

Multiplication des mthodes


adaptes des domaines ou contextes spcifiques
parfois concurrentes (ides divergentes ou raisons commerciales)
3

 Base  propositions d'actions pour amliorer la situation


http://www.securite.teamlog.com/publication/4/5/167/index.html
4

2. Critres communs










 fournir aux utilisateurs des indications sur les produits


de scurit en terme de degr de confiance

fonctionnalits

1. Gnralits
2. CC et autres mthodes dvaluation
3. La mthode EBIOS

ISO 15408
5



SL

O
P

S
G

KW

HI

IT

E
H

FG

NO

KL

E
T

\]

KL

G
E
T

N
N

E
T

X
P

XG

b
Q

GH

HX

G
[

E
U

JI

K
G

E
Q

IT

"

KL

d
Q

gNG
K
G

P
O

E
O

E
G

NO

H
E

S
N

NO

exigences fonctionnelles

objectifs de scurit

%

#"

"

W
Q

E
Q

O
[

F
a

NO

'

HI

JNO

HI

E
NO

HI

E
FG

E
H

IT

$



"

'

$

!
!

'


indpendant de toute implmentation

%


vision utilisateur

"

"

$'

KL

Cible de Scurit
Cible dEvaluation

"


"3

'

(

>


 PP


$'

$'

)

Profil de Protection



%

'-

!



$

$

"

"


"

'

"

>

PR

<

4
:

"


,

'





)
"

&"

5
!
=


-

 3 parties



 listes de fonctions de scurit remplir

 techniques employes pour la vrification
FG

,+


$

)


"

$'





'

'

"3

"

"

/"



-

*+

&

"






 Pays
 15 pays reconnaissent ce standard


2. Critres communs : PARTIE I

2. Critres communs

processus conception

Certificat dlivr par DCSSI atteste que lexemplaire


du produit ou du systme soumis valuation
rpond aux caractristiques de scurit
spcifies. Il atteste galement que lvaluation
a t conduite conformment aux rgles et normes
en vigueur, avec la comptence et limpartialit
6
requises [dcret 2002-535].

Common Critria for Information Security Evaluation





dveloppement

/D

5;

_Z

9.

^Z

.:

5;

5;

0F

]Z

0F

\Z

0F

0F

.6

5;

[Z

C0

CD

0F

5;

8?

YZ

0F

CD

9 si lU demande que le produit intgre des mcanismes


11
d'auth multiples, il faudra inclure dans PP ou ST le composant
FIA_UAU.5
:

.6

-c

CD

G.

C0

JZ

>5

.=

-Q

<

bR

92

G2

-R

-R

.6

7c

.6

23

.:

JZ

<

0S

/D

.:

JZ

/D











2

 Exemple : composants de la famille FIA_UAU

.6

5;

C0

CD

0F

.6

5;

.6

C0

CD

0F

CD

5;

.6

0F

<

<I

.6

.6

C0

0S

HR

5;

.6

0F

CD

OQ

 Exemple : famille de la classe FAI

CD

2 Critres communs : PARTIE II

C0

.6

ER

+

'









'



'

&











'

!*

&









(voir PP)

C0

<T









"







vision dveloppeur










!









.N

5;

HI

.6

C0

.6

23

HI

.6

5;

5;

0F

0F

.6

C0

CD

8?

>

.=

@0

<

5;

9.:

.6

23

/0













.6

.6

NO

Tous les produits mettant en uvre des fonctions de


scurit peuvent tre valus

 cible de scurit
 spcification de besoin de scurit


inclut les spcifications

92

92

5;

/D

ddis la cible dvaluation

.6

G2

5;

5;

0F

5;

 cible dvaluation
















;

2. Critres communs : PARTIE I


2. Critres communs : PARTIE II

comprend l' exigences fonctionnelles exprimes dans PP ou


ST
exigences sont rparties suivant classes
classes dcomposes en familles de composants
 11 classes (fonctionnalits)
(classe FCO)

(classe FAU)

(classe FDP)
(classe FDP)

(classe FMT)

(classe FIA)

(classe FPR)

(classe FRU)
(classe FPT)

(classe FTA)
(classe FTP)

10

2. Critres communs : PARTIE III

 Dfinit les critres d'valuation en termes


 d'exigences pour le dveloppeur et
 lments de preuve que le dveloppeur du produit doit
fournir lvaluateur
 de tches pour l'valuateur.
 Critres rpartis en classes d'assurance puis familles de
composants
 10 classes (assurances)

12

&

15
g

kr

_kl

c^

_k

fo

ab

16

wx

hk

hf

kl

_f

ab

?J

?J

_kl

c^

kl

kn

im

GJ

FI

?J

HM

LM

'

kl

kl

hfo

_kn

kl

fg

im

ij

ab

[\]

"

"

GJ











 

 







>

>

?J

>

?V

HM

>

QG

?J

>N

>?@

FG

CM

FI

?J

?@

FG

A?

HM

LM

CDE

13

_k

 Fonctionnement
 Questionnaires 
 Pondration

 Thmes


 Phases

prparation

hk

Analyse

GJ

Audit

kl

kr

fg

c^


^



&

ij


f


S

note

()

GJ

 



indicateurs

4. La mthode MARIO, Mthode d'Analyse des


Risques Informatiques et Optimisation par ,iveau

.N

G2;

.6

92

G2

.N

G2;

G2;

.6

23

G2;

-Q

-Q

.6

>

.6

23

.6

-Q

-Q

-Q

-Q

.6

23

.6

-Q

-Q

-Q

 Exemple

<

<

<

&

$

$

 Cette partie fournit aussi pour chaque niveau d'valuation


(EAL1 EAL7 pour Evaluation Assurance Level) l'ensemble des
composants d'assurance ncessaire l'atteinte de ce niveau.

1:

indicateurs



&

89

questionnaires pondrs




12

/0

12

/0




 Comment ?
 niveau
thmes


Quoi ?








2. Critres communs : PARTIE III


3. Mthode M.E.L.I.S.A
(Mthode d'valuation de la vulnrabilit rsiduelle des
systmes d'informations)
Dlgation gnrale l'armement 1985.

MELISA est une mthode d'analyse de vulnrabilits qui fut mise


au point par la DGA (Direction Gnrale des Armements) et qui a
t reprise par la socit CF6. http://www.cf6.fr/fr/accueil.htm

MELISA S - Confidentialit des donnes sensibles


MELISA P - Prennit de fonctionnement du systme
MELISA M - Scurit micro mini informatique
MELISA. R - Scurit rseau

http://www.securite.teamlog.com/publication/4/5/index.html
14

4. La mthode MARIO,

Plan d'action

19


"



$





17

>

F?

HM

>

F?

F?

>

F?

GJ

CM

?J

>G

F?

>N

HM

FG

?J

A?J

>?J

PM



5. MEHARI
C

HD

?V

HM




>

risques encourus
mesures de scurit

?J

>G

>?

PM

Base


A?J

F?

F?

?J

?J

F?

F?

?J

?J

AG

 Phase 2 : tablissement de plans oprationnels de scurit

 Phase 3 : consolidation des plans oprationnels (global).

Plus dinfo :*

20

?J

CD

>N

HM

HM

HD

F?

?J

?J

?J

?@

>G

A?

>?

HM

HM

?J

>

>

F?

FG

?J

F?

FG

QN

A?

>?

M

>

?@

>N

?J

>N

CM

 Comment ?

rgles modes de prsentation
schmas de dcision

plan de scurit

mesures
K

Q?

?V

>N

F?

>N

F?

>

?J

?@

modes de

F?

>?

AG

Quoi ?


facteurs de risque

objectifs stratgiques
fonctionnement

CD

 Ides de base ?
analyse des vulnrabilits

vulnrabilit

?J

?@

rduire la gravit du risque


M

D

?J

AN

G@

CD

5. MEHARI :
5. MEHARI

potentialit du risque
impact

18

5. La mthode MEHARI

Phases
 Phase : tablir plan stratgique de scurit
dfinition des mtriques des risques & objectifs de scurit,
tablissement d'une politique de scurit,
tablissement d'une charte de management.




"



*

*









(

















mthode pour
lExpression des Besoins et
lIdentification des Objectifs de
Scurit









"











































RA2

EBIOS




"



ISO 15408

ISAMM















!

ISO 13335

COBRA

Log grat.

1. Gnralits
2. CC et autres mthodes dvaluation
3. La mthode EBIOS





!

!
!
!
!

ISO 17799

CALLIO

Fr

!
$
$

BS 7799

SCORE

"

"




&

#
#

#
#

SPRINT

#

Cramm

#

Octave

&'

Mehari

#

Marion

Gouv

Melisa


!
!

DCSSI


!
!

***

"




"

1995

EBIOS

Comparatif des normes

Vue globale

21

II.1 La rglementation
 Lois, dcrets
Loi 78-17 du 06/01/78 "informatique et libert"
(http://www.cnil.fr/index.php?id=301)
 Interministrielle
IGI 1300 du 12/03/82 "protection du secret"
 Ministrielle
 Rglementation Interne
 Les informations "classifies de dfense"
IGI 900 du 20/07/93
 Les informations sensibles
IGI 901 du 02/03/94
(www.ssi.gouv.fr/fr/reglementation/901/901.pdf )
 L'IGI 900/SGDN/SSD/DR du 20/07/93

22

II.2 Mthode EBIOS : Introduction


 Mthode d'analyse des risques en SSI
 Peut tre applique pour un Systme Concevoir ou Existant
 dterminer les actions de scurit qu'il convient d'entreprendre
 sinspire des ITSEC (Information Technology Security
Evaluation Criteria)
 input : CdCF (rcapitule besoins)
 output : (objectifs de scurit) = donnes pour
 FEROS (formalisation des objectifs de scurit).
 l'laboration de l'architecture fonctionnelle scurise
23

http://www.ssi.gouv.fr

24

II.2 Introduction

II.2 Introduction

 Conception
 analyse des besoins exprims par le matre d'ouvrage dans le CdCF

Cycle de vie dune solution info


 spcification des besoins (dfinir ce que fait le systme)
 conception (dfinir comment on fait le systme)
 ralisation (faire le systme)
 utilisation (installer et exploiter le systme)

Spcification des besoins


 dfinir les services que le systme doit rendre
 dterminer le contexte
 identifie les grands choix (stratgiques, fonctionnels...) relatifs au systme

 concrtise par le Cahier des Charges Fonctionnel (CdCF)


 objectifs stratgiques et enjeux du systme concevoir
 contraintes : solutions, normes, rglementations, cots, dlais,
 missions du systme, limites du systme concevoir
 grandes fonctions et relations avec l'extrieur
 identification sous systmes & interfaces entre ces sous-systmes
25
9

II.2 Processus en V

 examen de l'existant
 tude des solutions
 bilan de faisabilit et le choix d'une solution
 rponse au CdCF formalis par Spcifications Techniques de Besoin

 Ralisation
 Acquisition ou dveloppement solution
 intgration
 Validation

 Utilisation
 installation sur site,
 exploitation,
 maintenance 9

26

II.2 Introduction
 Prise en compte scurit lors de la spcification des besoins
 analyser les enjeux dun point de vue de la scurit

expression
des besoins

tests de
recette

 poids stratgique du systme pour l'organisme


 impact scurit systme sur scurit globale de l'organisme
 pertes maximales que le systme peut supporter

tests de
qualification

spcification

 analyser le contexte dans lequel se situe le systme / scurit


conception
architecturale

 environnement physique dans lequel va voluer le systme

tests
dintgration

 menaces gnrales pesant sur l'organisme qui abritera le systme


 contraintes de scurit auxquelles le systme est soumis

conception
dtaille

tests
unitaires

 dfinir les besoins intrinsques de scurit


codage
27

 dterminer les objectifs de scurit pour le systme

28

II.2 Introduction : les Objectifs de scurit

II.2 Introduction
 Prise en compte scurit lors de la Conception
 choisir les fonctions de scurit rpondant aux objectifs de scurit

 rsultent d'une analyse qui intgre

 besoins de scurit initiaux,

 slectionner ou spcifier les mcanismes associs


 consolider la politique de scurit technique du systme
 dfinir la politique d'administration de la scurit
 dfinir, le cas chant : mode dgrad, plan sauvegarde et plan secours

 menaces spcifiques
 vulnrabilits associes aux lments connus ou supposs
 choix organisationnels retenus
 doivent se dcliner en

 mesures non techniques de scurit (physique, organisationnelle) qui


constituent les grandes lignes de la politique non technique de scurit
 mesures techniques de scurit exprimant ce qui reste couvrir par des
fonctions techniques au sens ITSEC
 permet d'estimer le type de fonctionnalit de scurit que l'on dsire
obtenir (e.g., une classe de fonctionnalit donne au sens ITSEC).
29

II.2 Introduction : phases & docs

 Prise en compte scurit lors de la Ralisation


 Raliser (soit mme) ou se procurer (produit march) mcanismes sc
 les intgrer avec les autres lments du systme
 effectuer une analyse de vulnrabilit rsiduelle.

 Prise en compte scurit lors de la Ralisation


 installer puis configurer mcanismes scurit sur site d'exploitation
 validation de la scurisation globale du systme
 formation des futurs responsables de la scurit du systme.
 administration, test,sauvegarde, audit

30

II.2 Dmarche EBIOS

tude du
contexte

Politique de Scurit
nterne (PSI
PSI) : dfinit
rgles gnrales de
scurit. se situe en
amont du cycle de vie.

Expression
des besoins
de scurit

DSIS : fournit cadre


mthodologique pour prise en
compte scurit au cours projet
dvpt. ( conception et ralisation)

EBIOS suit une dmarche naturelle et


applicable par le futur utilisateur qui
permet de:

tude des
risques

responsabiliser les acteurs


formaliser un raisonnement
analyser un systme existant

Objectifs
de scurit

EBIO : activits prise en compte scurit


de la phase de spc besoins  expression
objectifs scurit

rationaliser les objectifs de scurit au


sens des ITSEC ou des CC

Fiche d'Expression Rationnelle des Objectifs de Scurit (FEROS


FEROS) : formalisation objectifs de
scurit
Ralisation des Objectifs de Scurit par le ChOix des Fonctions (ROSCOF
ROSCOF) : guide concepteur dans choix
fonctions scurit rpondant aux objectifs. ( conception aprs expression objectifs)
31
Guides d'Aide la RDaction des fournitures pour l'Evaluation (GARDE
GARDE) : pour valuation ITSEC

32







EBIOS

35



































II.3 EBIOS : Les tapes















































33

Expression
besoins














































































"















































informations







 besoins de scurit

fonctions








 Etude des risques



vulnrabilits

faisabilit
probabilit

menaces



II.2 Dmarche EBIOS : vue globale


II.2 Dmarche EBIOS : vue globale

 objectifs de scurit

34

tude
contexte
Etude
Risques

Objectifs
scurit

mthode pour
lExpression des Besoins et
lIdentification des Objectifs de
Scurit

Les tapes
36

II.3 Etape I : Contexte

Plan

tude
contexte
Expression
besoins

Etude
Risques















!



&

&

$%

$%


#





"




prcisment











"

'







 Runir les informations ncessaires la planification de ltude


"

"

"1


1

1



"

"

"

"























(





II.3 Etape I : Contexte

38

"

37

"

!

!

0

0

"

3.4 Identification des objectifs de scurit
















3.2 Expression des besoins de scurit








3.1 tude du contexte

3.3 Analyse des risques

globalement

But :


3. La mthode EBIOS



Objectifs
scurit

Activit I.1 : tude de l'organisme


Donnes en Entre : Plan stratgique, bilan dactivit, charte scurit
Donnes Sortie : place systme dans organisation, liste contraintes
PRESENTATION ORGANISATION
Savoir faire : recueil lments stratgiques

missions (service/destinataire),

mtiers (techniques, savoir faire employ)

valeurs (principes, tique)

axes stratgiques (lignes directrices/volution  enjeux)

Trois activits
tude de lorganisme

ORGANISATION GENERALE

Structure (divisionnelle / fonctionnelle ou matricielle)

Organigramme (structure  liaison subordination, dpendances)

tude du systme cible


Dtermination de la
cible de ltude
39

CONTRAINTES
Stratgiques : volution possibles structures/orientations
Territoriales : dispersion des sites
Conjoncturelles : continuit service mme si grves/crises
Structurelle : e.g., structure internationale  concilier exigences propres chaque nation
obligations lgales et rglementaires
relatives au personnel : sensibilisation scurit, confid.
40
d'ordre calendaire : rorganisation service, nouvelle politique
d'ordre budgtaire : mesures scurit prconises ont cot qui peut tre important.

Activit I.2 : tude


du systme cible

Activit I.2 : tude Systme Cible


Donnes en Entre : relations entre domaines dactivit du SI, liens inter-domaines,
volution, priorits, valuation risques stratgiques

Dynamique

Donnes Sortie : Architecture conceptuelle du SI, relations fonctionnelles avec systmecible, Dfinition du "systme essentiel" du systme-cible, Slection enjeux
Savoir faire : fonctions, informations, enjeux
ELEMENTS

contribution du systme-cible aux missions du SI de l'organisme

description gnrale du systme-cible (fonctions, traitements, produits),

relations fonctionnelles avec le systme-cible

enjeux du systme-cible au sein du SI

Caractrisation architecture conceptuelle du SI


DCOUPAGE EN DOMAINES FONCTIONNELS
fonctions : oprationnelles, de support, de contrle
REPRSENTATION DES RELATIONS INTER-DOMAINES
interactions entre activits : objets supports de l'information, traitements, moyens
41

Activit I.2 : tude Systme Cible

42

1.Etude du contexte-> 1.2.Etude du systme cible


Dbut

Reprsentation du systme-cible dans le SI :


DESCRIPTION FONCTIONNELLE DU SYSTME-CIBLE
prciser pr fonction : rsultats attendus, activits raliser, entits manipule
CARACTRISATION PROCESSUS
contraintes informationnelles et organisationnelles : relations, interactions, flux, 9

Slection des enjeux du systme-cible


1- EVALUATION DES ENJEUX DE POLITIQUE GNRALE DU SI
scnarii d'volution du SI : cibles organisa.&physiques moyen&long terme,
amliorations, rentabilit,
2 - RECUEIL LMENTS DE POLITIQUE DE SCURIT DU SI
priorits, rsultats, consignes
3- IDENTIFICATION DES CONTRAINTES
d'antriorit, rglementaires, financires, temps, relatives aux mthodes, tech.
4- IDENTIFICATION DES EXIGENCES GNRALES
Exigences techniques :fichiers, architecture, progiciels, matriel, rseau, 9
Exigences organisationnelles ;
Exploitation : dlais, fourniture rsultat, services, suivi, plan secours
Gestion des dveloppements : outils, organisation mettre en place
43
9

Documentation
concernant le SI

Place du systme
dans l organisme

Caractrisation de
larchitecture
conceptuelle du SI

Dcrire larchitecture
conceptuelle du SI

Architecture conceptuelle
du systme cible dans le
SI

oui
Dcomposition
Non

Dcomposer

Dcomposition en
sous-systmes

A
Suite

44

Suite

Exemple

Reprsentation des fonctions


Reprsentation du
systme cible

Dfinir le systme cible

Fichier des emplois


Fichier des
rmunrations

Dfinition du
systme essentiel

Documents de
politique
informatique

Simulation

Slection des enjeux

Analyse des enjeux du


systme cible

Statistiques
Etudes
Analyse

Notes
Enqutes
Analyse

Projet de
statut
Liste des enjeux

Statut
Decrt
Arrt
45

Fin

46

Activit I.3 : Dtermination de la cible de l'tude

1.Etude du contexte-> 1.3.Dtermination de la cible de l tude








Documentation
concernant
l organisation des
moyens




































- fonction / entit
-information / entit







 



Construire les liens entre

Cration du tableau des relations


fonctions/entits et
informations/entits

()

"

&




&

(.

&

"

'

&

&
'

(.

&

"

-$

'

+

&

"

&
'

'

Dfinition
du systme
essentiel













Caractrisation des
moyens du systme cible

Liste des entits

 Caractrisation des moyens de la cible de l'tude









Identifier les entits


essentielles



















































 Quoi ?





Dbut

 But


47

Suite

Tableau des
liens

48

Activit I.3 : Dtermination de la cible de l'tude

Exemple




Dvs

Personnel
Ingnieurs

Admin.

...

X25

Ethernet

...

Logiciels
OS

...

Matriel
Station

Serveur

Information

Appli.








Entit

Rseaux










Relation entre informations sensibles et entits

 Cration tableau Fonctions / Entits et Informations / Entits





Messagerie
Edition de
plans
.
49

50

Plan

tude du Contexte : rcapitulatif

Objectifs

Prise de connaissance du domaine tudier


Prciser les enjeux du systme pour
lorganisme
Runir les informations ncessaires la
planification de ltude

3. La mthode EBIOS
3.1 tude du contexte

Rsultat

Actions

Contraintes et Cible de scurit connus

3.2 Expression des besoins de scurit


3.3 Analyse des risques

tude de lorganisme
tude du systme cible
Dtermination de la cible de ltude

3.4 Identification des objectifs de scurit

51

52

Etape 2 : Besoins

2. Expression des besoins de scurit (2/4)


 sensibilit fonctions et informations
 besoins de scurit
 associs aux objets sensibles et aux

Liste valide des besoins de scurit

Rsultat

 exprims par U fonctionnels en


termes de C D I
 quantifis par leurs impacts sur org.

Slection des fonctions et des informations essentielles


Expression des besoins scurit des fonctions et
informations sensibles
Synthse du besoin de scurit

Actions

53







)

-

&

,

&


#

'

'

"

'

AB

<

2>

<

<;

7;

29

26

G

EG

G

EG

HI

KL

&

'

"

'

Q
P

"#

&
'

'

"

'

%

'
P

'

"Q
P

'

&

26


Expression besoins scurit

KL

HIJ
HIJ

G




Slection info&fnct sensibles

G

23

A. Dtermination des lments sensibles


sensibilit

'

'

'

&

'

'

%#
0


/

'

)
'

&



"

'

-

,

$%


'

"

&

&



&





&


!










Trois activits



 DE :
 DS :
 responsable 
 User 

Activit II.1 : Slection lments sensibles

"#

Etape II : Besoins

54

Objectifs
scurit

fonctions essentielles de cible tude

tude
risques

Expression
besoins
scurit

Slectionner les fonctions essentielles et les


Objectifs informations sensibles
Faire exprimer les utilisateurs sur les besoins en D, I,
C, R

tude du
contexte















S




T





S



&
#

&

b_

`a
*

%

'

&

^_


#

'

&

56


-]

55












Y





X

S








Synthse besoins scurit





 B. Cration des fiches expression des besoins de scurit

Activit II.2 : Expression besoins scurit

Fonction/Informations essentiels

<

>

Classifies : secret dfense


Vitales : mission de l'organisme
ominatives : loi informatique et libert
Stratgiques : contrats/accords
Coteuses : dlai / cot

26

>

;

@6

@6

26

7


mission impossible suite dgradation fcnt


traitement secret

Fonction

26

26

@6

57

:C

1
2

2A

7>

25

=G

25

I@

<

A
<

1
C

1
2

<

:@

67

=G

C>

I@

:@

67

25

1
2

25

1
2

<

29

67

25

1
2

 Exemple Notation (C & I) dans domaine militaire







Divulg. Externe

1











#

'

"










"

*



#
+

"

*



"

&






$
)









&

$






60

<

1
4

<

<

67

<

<>

:@

:C

67












Divulg. Interne



1
2







Modif. Dlibre

 Exemple Notation pour une organisation



Modif. Accidentelle



Destruction



Inaccessibilit



Commentaires

Besoin de
scurit

,otation d'valuation d'impact


Pertes financires

Sinistres

I
m
p
a
c
t

Infraction aux lois

Fonction/Information
sensible

Image de marque

Exemple de la sensibilit des objets

58

C>

26

:
=

4
;
8

26

@6

2


<

2
2

<

<

2

<
4

2


<

<

;

@
?

4




=


>

@6

<

@6

2

@6

Information

26

26

<

4
9

26

4

<

>

@6

4

<

>

23

<

>

<

>

 Comment ?

Users
chaque information
chaque fonction
 Les besoins de scurit sont indpendants des risques encourus et
des moyens de scurit mis en oeuvre.

intrinsque

Activit II.3 : Synthse besoins scurit

Exemple dchelle dvaluation des sensibilits

- 0 la perte du critre est sans consquence pour lorganisme


- 1 La perte du critre entranerait des consquences
dfavorables aux intrts de lorganisme,
- 2 La perte du critre entranerait des consquences
dommageables aux intrts de lorganisme,
- 3 La perte du critre entranerait des consquences graves
aux intrts de lorganisme,
- 4 La perte du critre entranerait des consquences
exceptionnellement graves aux intrts de lorganisme

 But
 Affecter, pour chaque information et/ou sous-fonction, la
valeur finale de sensibilit qui rsulte de la synthse des
valeurs attribues par les utilisateurs.
L'auditeur reporte les valeurs de sensibilit dtermines par
les utilisateurs sur la fiche "synthse des besoins de scurit"
et dtermine la valeur considre comme la synthse.

61

62

63

64

3. Risques

Plan

tude du
contexte




3. La mthode EBIOS

Expression
des besoins
de scurit

3.1 tude du contexte

tude des
risques

Quelles sont les menaces ?


Quelles sont les risques qui peuvent
rellement affecter l'organisme ?
Activits de l'tape

3.2 Expression des besoins de scurit


Objectifs
de scurit

3.3 Analyse des risques


3.4 Identification des objectifs de scurit

65

tude des risques (3/4)

Objectifs

66

3.1 tude des menaces gnriques

Les menaces sont slectionnes partir d'une liste de menaces


gnriques relatives des thmes :

Dterminer les risques qui doivent tre couverts


par les objectifs de scurit de la cible de ltude





Rsultat

Liste valide des risques retenus





Actions

tude des menaces gnriques


tude des vulnrabilits spcifiques
Analyse des risques spcifiques
Confrontation des besoins de scurit aux risques
spcifiques
67






Accidents physiques
vnements naturels
Pertes des services essentiels
Perturbations dues aux rayonnements
Compromission des informations
Dfaillance technique
Agression physique
Fraude
Compromission des fonctions
Erreurs
68

3.1 Exemple de slection de menaces gnriques

3.1 tude de l'impact de la menace

III Pertes de Dfaillance de la climatisation


service
Perte d'alimentation lectrique
Perte de moyens de tlcom.

Terroriste

Stratgique

Avide

x
x

x
x
x

x
x

Pigeage de matriel

VIII Actions
illicites

Ludique

menace

Origine

Dlibre

Thme

Accidentelle

Cause

Pigeage de logiciel

x
x

Abus de droit
Usurpation de droit
Fraude

0:
1:
2:
3:
4:

la menace n'entrane aucune consquence


la menace implique une consquence faible
quivaut une perte moyenne
signifie une perte importante
correspond une perte complte.

70

3.2 Etude des Vulnrabilits spcifiques

3.1 Exemple de svrit des menaces pertinentes

Svrit

Une svrit s'exprime sur une chelle de 0 4 o :

x
x

Menace

valuer les impacts des menaces sur la cible de l'tude en


affectant une valeur en terme de svrit (gravit)

Commentaires

10.Dfaillance de la climatisation

11.Perte d'alimentation lectrique


12.Perte de moyens de tlcom.

Une vulnrabilit est une "caractristique" du


Dfinition systme qui peut tre exploite par une menace
Local ar
Groupe lectrogne disponible

Mission essentielle

30.Pigeage de matriel

Menace 33

- Possibilit de crer ou modifier des commandes systmes


- Possibilit d'implanter des programmes pirates
- Possibilit de modifier ou changer les applicatifs
- Possibilit d'existence de fonctions caches

Menace 18

- Matriel ayant des lments permettant l'coute passive (cblage,


prises de connexion...)

33.Pigeage de logiciel
39.Abus de droit
40.Usurpation de droit
42.Fraude
71

3.2 Caractrisation des vulnrabilits

3.2 Liste des vulnrabilits associe la menace 33

 Les vulnrabilits sont caractrises par leur faisabilit


ou leur probabilit.
 La faisabilit caractrise les vulnrabilits associes aux
menaces dlibres (intentionnelles)
 La probabilit caractrise les vulnrabilits associes aux
menaces accidentelles
Faisabilit (F)
0: menace infaisable
0.25: ncessit de moyens trs importants des connaissances pointues
0.5: ncessit d'un certain niveau
d'expertise ou matriel spcifique
0.75: ralisable avec moyens standards et connaissance de base
1: menace ralisable par tout public

Menace
n33

Pigeage
de
logiciel

Probabilit (P)
0: menace improbable
0.25: menace faiblement probable

Libell de la vulnrabilit

Mat
&
Log

Rseau
interne

Possibilit de modifier
les applicatifs

0.5

0.25

Possibilit d'implanter
des programmes pirates

0.75

0.5

0.5

0.25

Possibilit d'existence
de fonctions caches
introduite en phase de
conception
Personnel manipulable

Site

Facilit de pntrer
dans les locaux

Personnel Personnel Organisation


utilisateur dveloppeur

0.25

0.75

0.5

0.5: menace moyennement probable


0.75: menace fortement probable
1: la menace est certaine

Absence de consigne de
scurit

0.75

73

3.3 Analyse des risques spcifiques

3.3 Analyse des risques spcifiques

 Un risque est considr comme une menace associe un

 Exemple :

ensemble de vulnrabilits qui permettent sa ralisation.

 Infection par virus provoque par une disquette d'origine

 Il est caractris par son :

douteuse amen par le personnel.


 Pigeage logiciel fait par le personnel d'entretien en dehors

 impact direct en (D, I, C) issu de la menace et


 une faisabilit / probabilit issue des vulnrabilits retenues
 Chaque risque, ainsi caractris doit tre explicit clairement.
C'est l'objet de la fiche des risques spcifiques, qui synthtise,
pour le systme-cible, l'ensemble des risques spcifiques qui le

des heures ouvrables.


Les vulnrabilits exploites se trouvent dans la fiche des
vulnrabilits spcifiques.
Un risque est rfrenc par son numro de menace, et par un
numro d'ordre dans la menace si cela est ncessaire.

concernent.
75

76

3.2 Analyse des vulnrabilits spcifiques

3.2 Liste des vulnrabilits associe la menace 33


Menace
n33

R33
1

4
5

Libell du risque

Un informaticien dveloppeur a introduit une fonction cache dans les


applicatifs

0.5x0.75=0.375

Un informaticien dveloppeur a introduit une fonction cache dans les


logiciels rseau

0.25x0.75=0.187

0.25x0.5=0.125

Le personnel utilisateur modifie les applicatifs

Pigeage
de
logiciel

Libell de la vulnrabilit

Mat
&
Log

Rseau
interne

Possibilit de modifier
les applicatifs

0.5

0.25

Possibilit d'implanter
des programmes pirates

0.75

0.5

0.5

0.25

Possibilit d'existence
de fonctions caches
introduite en phase de
conception
Personnel manipulable

Site

Personnel Personnel Organisation


utilisateur dveloppeur

Un informaticien dveloppeur a
introduit une fonction cache
dans les applicatifs

0.25

0.75

0.75x0.75=0.562

Un membre du service implante des programmes pirates


Un intrus pntre dans le site pour implanter des programmes
pirates

Facilit de pntrer
dans les locaux

0.75x0.5x0.75=
0.281

0.5

Absence de consigne de
scurit

0.75

77

3.3 Analyse des risques spcifiques

3.2 Liste des vulnrabilits associe la menace 33


Menace
n33

Pigeage
de
logiciel

Libell de la vulnrabilit

Mat
&
Log

Rseau
interne

Possibilit de modifier
les applicatifs

0.5

0.25

Possibilit d'implanter
des programmes pirates

0.75

Possibilit d'existence
de fonctions caches
introduite en phase de
conception
Personnel manipulable
Facilit de pntrer
dans les locaux
Absence de consigne de
scurit

Site

78

Personnel Personnel Organisation


utilisateur dveloppeur

Synthtiser pour le systme cible l'ensemble des risques


spcifiques qui le concernent
Impact
F/P
menace

0.5

0.5

Un informaticien dveloppeur a
introduit une fonction cache
dans les logiciels rseau

0.25

0.25

N menace
10

22

0.75

0.5

0.75
79

N risque

Libell du risque

F/P

25%

Un utilisateur du CECP
diffuse une information
0
sensible par le rseau RTC

3 12.5%

la centrale de clim.
Tombe en panne

vulnrabilit

3.4 Confrontation des risques aux besoins

3.4 Confrontation des risques aux besoins

Le but de cette activit est de retenir les risques qui sont


vritablement susceptibles de porter une atteinte aux fonctions
ou aux informations sensibles.
La slection s'effectue par la mise en relation des risques
spcifiques avec les besoins de scurit, pour mettre en
vidence l'impact final de la ralisation d'un risque.

La synthse s'effectue par la rdaction de la liste des risques


retenus pour le systme cible, classs en catgories
reprsentatives de leur gravit.
Les besoins de scurit ont t exprims pour les fonctions et
les info. La confrontation des besoins aux risques consiste
dterminer les liens directs entre les menaces d'une part et les
fonctions et informations d'autre part.

Actions :
dtermination pour chaque fonction et info de la liste des
risques qui les concernent
confrontation des risques aux fonctions et informations.
rflexion qui est mene lors de cette activit sert
galement orienter la dcision de partage entre les
mesures techniques et non-techniques.

- Si une svrit est nulle, alors l'impact rel est nul


- Si une svrit est non nulle, alors l'impact rel est gal
la sensibilit

Sensibilit

3 2
Svrit

D I
Impact
(svrit)

Menaces
D

Impact final

Menace_ i

Plan

3.4 Exemple de confrontation des risques aux besoins

Fonction K

Besoin (sensibilit)

Fonction K

1. Gnralits
2. Rglementation et FEROS
3. La mthode EBIOS
3.1 tude du contexte
3.2 Expression des besoins de scurit
3.3 Analyse des risques
3.4 Identification des objectifs de scurit

Impact final

Menaces
D

Dfaillance de la clim

Un utilisateur du CECP
diffuse une .

84

4. Identification objectifs de scurit

tude du
contexte
Expression
des besoins
de scurit

tude des
risques

4.Identification des objectifs de scurit (4/4)

Que peut faire l'organisme pour que


son systme soit mieux scuris?

Activits de l'tape

Objectifs
DE

Rsultat

exprimer ce que doit raliser la cible de l'tude pour


que le systme-cible fonctionne de manire scuris.
Listes besoins scurit / risques /contraintes
Rdaction de la FEROS/Liste des objectifs de scurit
choix des fonctionnalits de base en fonction de la politique de

Objectifs
de scurit

scurit de l'information et du mode d'exploitation du systme,

Actions

slection des objectifs de scurit pour le systme comprenant


fonctionnalits
fonctionnalits techniques complmentaires
choix des contre-mesures non techniques,

85

Activits

prise en compte des contraintes/enjeux.


contraintes/enjeux

86

4.1 Choix du mode d'exploitation des informations

Le mode d'exploitation des informations consiste indiquer


comment le systme traite, transmet ou conserve des
informations de sensibilits diffrentes pour des utilisateurs de
catgories diffrentes.
Catgorie 1: Le mode d'exploitation exclusif
Tous U ont mme niveau + besoin commun d'en connatre

Catgorie 2: Le mode d'exploitation dominant


Tous U ont mme niveau + nont pas tous besoin commun d'en connatre

Catgorie 3: Le mode d'exploitation du systme multi-niveaux


U ne sont pas tous habilites + nont pas tous besoin commun d'en connatre

87

88

4.1 Choix du mode d'exploitation des informations

4.2 Expression des objectifs de scurit

choix du mode d'exploitation s'effectue aprs avoir dtermin si :

but : expression complte objectifs de scurit de la cible de l'tude.

les types de sensibilit des infos (CDI) correspondent des classifications et


si notions d'habilitation existent.

s'appuient sur les objectifs de scurit minimums et prennent en


compte les risques et les contraintes.
contraintes

Il convient ensuite de se reporter aux tableaux suivants pour trouver le type du mode
d'exploitation.

89

90

Cf. Tableaux page 54 (Techniques)


Classification
1
0 3
1 1

Niveau
d'habilitation
minimum des
utilisateurs

Niveau
d'habilitation
minimum des
utilisateurs

connatre

maximum
2
3
3
3
3
3

Classification
1
0 3
1 2

des informations
4
3
Sans besoin d'en
3

Classification
1
0 3
1 2

Niveau
d'habilitation
minimum des
utilisateurs

maximum
2
3
3
3
3
3

Si sensibilit d'une info


C=4 et si tous les users
doivent accder alors
habilitation =4

Habilitation

des informations
4
3
3

Avec besoin d'en


connatre
91

maximum
2
3
3
3
3
3

des informations
4
3
3

Sensibilit

D
Administrateur 4

I
4

C
2

D
Courrier lect. 4

I
2

C
2

Utilisateur

Compte rendu 2

Classe de fonctionnalit pour la C = F-B1, I=F-IN, D=F-Q2

Choix d'une classe de fonctionnalit pour la confidentialit

Choix d'une classe de fonctionnalit pour lintgrit

Mode
d'exploitation

Classification maximmum des


informations

1
2
3
1
2
3
1
2
3
1
2
3
1
2
3

Habilitation administrateur = 4
Sensibilit compte rendu = 3

F-C2

F-C2

F-B1

F-B3

Nant

F-C2

F-C2

F-C2

F-B1

F-B2

Nant

Nant

F-C2

F-C2

F-C2

F-C2

F-B1

F-B2

Nant

Nant

Nant

F-C2

F-C2

F-C2

F-C2

F-C2

F-B1

F-B2

Nant

Nant

Nant

F-C2

F-C2

F-C2

F-C2

F-C2

F-C2

F-C2

F-B1

F-B1

Habilitation minimum des personnels

Habilitation minimum des personnels

Mode
d'exploitation

Habilitation administrateur = 2
Sensibilit compte rendu = 3

1
2
3
1
2
3
1
2
3
1
2
3
1
2
3

Classification maximmum des


informations

F-IN

F-IN

F-IN

F-J3

Nant

F-IN

F-IN

F-IN

F-IN

F-J2

Nant

Nant

F-IN

F-IN

F-IN

F-IN

F-IN

F-J2

Nant

Nant

Nant

F-IN

F-IN

F-IN

F-IN

F-IN

F-IN

F-J2

Nant

Nant

Nant

F-IN

F-IN

F-IN

F-IN

F-IN

F-IN

F-IN

F-IN

F-J1

93

Synthse des classes de fonctionnalits F-IN et F-C2

Choix d'une classe de fonctionnalit pour la Disponibilit

Objectif

Habilitation minimum des personnels

Mode
d'exploitation

Habilitation administrateur = 4
Sensibilit compte rendu = 2

1
2
3
1
2
3
1
2
3
1
2
3
1
2
3

94

Il s'agit de la synthse des classes de fonctionnalits F-IN et F-C2, qui concerne les
systmes pour lesquels il y a des exigences leves d'intgrit pour les donnes et
les programmes et un besoin de contrle d'accs discrtionnaire, en rendant les
utilisateurs individuellement responsables de leurs actions travers des procdures
d'identification, l'audit des vnements relatifs la scurit et l'isolation des
ressources. [fusion de F-IN et F-C2]

Classification maximmum des


informations

Nant

Nant

F-P1

F-P3

Nant

F-Q2

F-Q2

F-Q2

F-P1

F-P2

Nant

Nant

F-Q2

F-Q2

F-Q2

F-Q2

F-P1

F-P2

Nant

Nant

Nant

F-Q2

F-Q2

F-Q2

F-Q2

F-Q2

F-P1

F-P2

Nant

Nant

Nant

F-Q2

F-Q2

F-Q2

F-Q2

F-Q2

F-Q2

F-Q2

F-P1

F-P1

Identification et authentification

Le systme doit identifier et authentifier de faon unique les utilisateurs. L'identification et l'authentification doivent avoir lieu avant toute autre interaction entre le
systme et l'utilisateur. D'autres interactions ne doivent tre possibles qu'aprs
une identification et une authentification russies.. [extrait de F-IN]
Contrle d'accs

Le systme doit pouvoir distinguer et administrer les droits d'accs des utilisateurs,
des rles et des processus aux objets dsigns explicitement (le terme rle dsigne
des utilisateurs qui ont des attributs spciaux). Il doit tre possible de restreindre
l'accs des utilisateurs ces objets d'une faon telle que cet accs ne soit possible
que par l'intermdiaire de processus tablis spcialement...
95

96

2.2.2 Politique de scurit des systmes dinformations

4.1 Choix du mode d'exploitation des informations

politique de scurit Repose sur :


Dfinir politique de droit daccs

termination des informations et des processus protger


termination des menaces et de leur impact.
termination d un niveau acceptable de risque.

Exemple

La politique de scurit dfinit


les mesures prendre, les structures et lorganisation
mettre en place.
Que devons nous protger?
Contre qui? Comment?

97

4.1 Choix du mode d'exploitation des informations

98

2.2 LTUDE EBIOS CONCRTEMENT

Dfinir politique de droit daccs


Exemple

99

La dure est trs variable, elle dpend de :


la matrise de la mthode
loutillage (logiciel)
la complexit du systme tudier
la disponibilit des diffrents acteurs
Le groupe de travail est compos de :
responsables
informaticiens
utilisateurs
Aprs ?
FEROS, spcifications dtailles et mise en uvre
Schma directeur en SSI
Politique de scurit des systmes dinformations
.

100

2.2.1 FEROS

2.2.1 FEROS

Fiche d'Expression Rationnelle des objectifs de scurit


 Elle est de la responsabilit du futur utilisateur
la FEROS est signe par une haute autorit

N150 SGDN/DISSI/SCSSI, 10 Fvrier 1991

 Elle permet une rflexion de scurit ds le stade


de la conception

http://www.ssi.gouv.fr/fr/confiance/methodes.html

Il faut l'avis des divers utilisateurs pour la remplir

101

2.2.1 Plan d'une FEROS

102

2.2.2 Comment laborer une PSSI en utilisant EBIOS ?


FEROS

EBIOS
-Etude de lorganisme
-Etude du systme cible
-Dtermination de la cible

-Slection des lments sensibles


-Dtermination des besoins par lment
-Synthse des besoins de scurit
-Etude des menaces gnriques
-Etude des vulnrabilits spcifiques
-Etude des risques spcifiques
-Confrontation des besoins aux risques

-Dtermination des objectifs de scurit


minimums
-Expresion des objectifs de scurit

Contexte gnral

Une solution efficace pour laborer une PSSI consiste :

Systme tudi
-Description du systme (missions,..)
-Contraintes :technique, organisation
-Cadre lgal et rglementaire

- Organiser le projet PSSI,

Besoin de scurit
-Critre de sensibilit
-Echelle de sensibilit
-Besoin de scurit
-Mode dexploitation de la scurit

objectifs de scurit, tude des menaces gnriques),

Menaces et risques
-Menaces
-Risques
Objectifs de scurit
-Objectifs de la scu sur lenvironment
-Objectifs de scu propre au systme
103
-Objectifs de scurit techniques

- Raliser une tude EBIOS globale,


-Extraire les donnes ncessaires de l'tude EBIOS (contexte, expression
- Raliser les dernires tches voques dans le guide PSSI :
-choix des principes de scurit,
- laboration des rgles de scurit,
- laboration des notes de synthse,
- finalisation et validation de la PSSI,
- laboration et validation du plan d'action.
104

2.2.2 Schma dillustration


EBIOS
-Etude de lorganisme
-Etude du systme cible
-Dtermination de la cible

-Slection des lments sensibles


-Dtermination des besoins par lment
-Synthse des besoins de scurit
-Etude des menaces gnriques
-Etude des vulnrabilits spcifiques
-Etude des risques spcifiques
-Confrontation des besoins aux risques

-Dtermination des objectifs de scurit


minimums
-Expresion des objectifs de scurit

2.2.3 Schma directeur en SSI


Politique de scurit
Elments stratgiques
-Primtres de la PSSI
-Enjeux et orientations stratgiques
-Aspects lgaux et rglementaires
-Echelle de sensibilit globale
-Besoin de scurit
-Menaces

-Etude de lorganisme
-Etude du systme cible
-Dtermination de la cible

-Slection des lments sensibles


-Dtermination des besoins par lment
-Synthse des besoins de scurit
-Etude des menaces gnriques
-Etude des vulnrabilits spcifiques
-Etude des risques spcifiques
-Confrontation des besoins aux risques

-Dtermination des objectifs de scurit


minimums
-Expression des objectifs de scurit

- Une vision des menaces et des vulnrabilits et donc du


risque.
- De mettre en vidence les lments du systme d information pour
agir moindre cot sur le niveau du risque global.
- Il faut avoir des objectifs pour laborer un modle
- Le modle est lexpression de l'ensemble des besoins de
scurit dans le cadre "d'un existant" et compte tenu de
contraintes (budget,postes, qualification du personnel,
rglementation, etc.).

Rgles de scurit
-Thme 1
-Thme 2
-.
-Thme N

105

2.2.3 Schma dillustration


EBIOS

- Le Schma directeur est un modle. Il permet :

Schma directeur SSI


Champ dapplication
-Services centraux et dconcentrs
-Echange dinfo avec dautres organi.
-Action de collaboration programmes
-Echange de donnes informatiss

Volet stratgique
-Objectif assign la SSI
-Impacts attendus de la SSI/services
-Description du SI et de la SSI
-Politique de mise en uvre
Volet oprationnel
-Rfrentiel et mesures SSI
-Plan daction
-Description de suivi et dvaluation
-Synthse conomique
107

106