EBIOS : Expression des besoins et identification des objectifs de

sécurité

Schéma synthétique de la méthode

La méthode EBIOS est une méthode d'évaluation des risques en informatique, développée en
1995 par la Direction centrale de la sécurité des systèmes d'information (DCSSI) et maintenue
par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) qui lui a succédé en
2009. Elle a connu une évolution en 20101puis a été renommée en EBIOS Risk Manager2.
1. Usages
La méthode EBIOS permet d'apprécier les risques Sécurité des systèmes d'information (entités
et vulnérabilités, méthodes d’attaques et éléments menaçants, éléments essentiels et besoins de
sécurité...), de contribuer à leur traitement en spécifiant les exigences de sécurité à mettre en
place, de préparer l'ensemble du dossier de sécurité nécessaire à l'acceptation des risques et de
fournir les éléments utiles à la communication relative aux risques. Elle est compatible avec les
normes ISO 15408 (critères communs), ISO/CEI 27005 (évaluation des risques du système
d'information) et ISO 31000 (management des risques d'entreprise).
2. Utilisateurs
EBIOS est largement utilisée dans le secteur public (l'ensemble des ministères et des
organismes sous tutelle), dans le secteur privé (cabinets de conseil, petites et grandes
entreprises), en France et à l'étranger (Union européenne, Québec, Belgique, Tunisie,
Luxembourg…), par de nombreux organismes en tant qu'utilisateurs ou bénéficiaires d'analyses
de risques SSI.
3. Étapes de la démarche
EBIOS fournit une méthode permettant de construire une politique de sécurité en fonction d'une
analyse des risques qui repose sur le contexte de l'entreprise et des vulnérabilités liées à son SI.
La démarche est donc commune à tous, mais les résultats de chaque étape sont personnalisés.
  Étude du contexte
Cette étape essentielle a pour objectif d'identifier globalement le système-cible et de le situer
dans son environnement. Elle permet notamment de préciser pour le système les enjeux, le
contexte de son utilisation, les missions ou services qu'il doit rendre et les moyens utilisés.
L'étape se divise en trois activités :
 Étude de l'organisme : cette activité consiste à définir le cadre de l'étude. Il faut collecter
les données concernant l’organisme et son système d’information ;
 Étude du Système Cible : cette activité a pour but de préciser le contexte d'utilisation du
système à concevoir ou existant ;
 Détermination de la cible de l'étude de sécurité : cette activité a pour but de déterminer
les entités (bien support) sur lesquelles vont reposer les éléments essentiels (bien
essentiel) du système-cible.
 Étude des événements redoutés
Cette étape contribue à l'estimation des risques et à la définition des critères de risques. Elle
permet aux utilisateurs du système d'exprimer leurs besoins en matière de sécurité pour les
fonctions et informations qu'ils manipulent. Ces besoins de sécurité s'expriment selon différents
critères de sécurité tels que la disponibilité, l'intégrité et la confidentialité. L’expression des
besoins repose sur l'élaboration et l'utilisation d'une échelle de besoins et la mise en évidence
des impacts inacceptables pour l'organisme.
L'étape se divise en deux activités :
 Réalisation des fiches de besoins : cette activité a pour but de créer les tableaux
nécessaires à l'expression des besoins de sécurité par les utilisateurs ;
 Synthèse des besoins de sécurité : cette activité a pour but d'attribuer à chaque élément
essentiel des besoins de sécurité.
 Étude des scénarios de menaces
Cette étape consiste en un recensement des scénarios pouvant porter atteinte aux composants
du SI. Une menace peut être caractérisée selon son type (naturel, humain ou environnemental)
et/ou selon sa cause (accidentelle ou délibérée).
Ces menaces sont formalisées en identifiant leurs composants : les méthodes d'attaque
auxquelles l'organisme est exposé, les éléments menaçants qui peuvent les employer, les
vulnérabilités exploitables sur les entités du système et leur niveau.
 Étude des origines des menaces : cette activité correspond à l'identification des sources
dans le processus de gestion des risques ;
 Étude des vulnérabilités : cette activité a pour objet la détermination des vulnérabilités
spécifiques du système-cible ;
 Formalisation des menaces : à l'issue de cette activité, il sera possible de disposer d'une
vision objective des menaces pesant sur le système-cible.
  Étude des risques
Un élément menaçant peut affecter des éléments essentiels en exploitant les vulnérabilités des
entités sur lesquelles ils reposent avec une méthode d’attaque particulière. Les objectifs de
sécurité consistent à couvrir les vulnérabilités.
 Confrontation des menaces aux besoins de sécurité : cette confrontation permet de
retenir et hiérarchiser les risques qui sont véritablement susceptibles de porter atteinte
aux éléments essentiels ;
 Formalisation des objectifs de sécurité : cette activité a pour but de déterminer les
objectifs de sécurité permettant de couvrir les risques ;
 Détermination des niveaux de sécurité : cette activité sert à déterminer le niveau de
résistance adéquat pour les objectifs de sécurité. Elle permet également de choisir le
niveau des exigences de sécurité d'assurance.
 Étude des mesures de sécurité
L’équipe de mise en œuvre de la démarche doit spécifier les fonctionnalités de sécurité
attendues. L’équipe chargée de la mise en œuvre de la démarche doit alors démontrer la parfaite
couverture des objectifs de sécurité par les exigences fonctionnelles et les exigences
d’assurance.
4. Avantages
 Une méthode claire : elle définit clairement les acteurs, leurs rôles et les interactions.
 Une approche exhaustive : contrairement aux approches d'analyse des risques par
scénarios, la démarche structurée de la méthode EBIOS permet d'identifier les éléments
constitutifs des risques.
 Une démarche adaptative : la méthode EBIOS peut être adaptée au contexte de chacun
et ajustée à ses outils et habitudes méthodologiques grâce à une certaine flexibilité.
5. Inconvénients
 La méthode EBIOS ne fournit pas de recommandations ni de solutions immédiates aux
problèmes de sécurité.
 Il n'y a pas d’audit et d'évaluation de la méthode.