Académique Documents
Professionnel Documents
Culture Documents
Version 1.2
1
EBIOS
Plan
• Introduction et définitions, notions fondamentales
• La méthode EBIOS
• Annexe ISO 27001
• Avantages et inconvénients EBIOS
• Ce qu’il faut retenir…
2
EBIOS
3
EBIOS
Définition
EBIOS:
▪ Expression des Besoins et Identification des Objectifs de Sécurité.
▪ Il s’agit non seulement d’une méthode d’appréciation du risque de
sécurité de l’information, mais aussi d’un outil d’assistance à la gestion
du risque.
▪ Elle est reconnue par les administrations, référence dans le secteur
privé
▪ Méthode créée et supportée par l’ANSSI (Agence Nationale pour la
Sécurité des Systèmes d’Information), Service à compétence nationale
▪ l’ANSSI est rattachée au secrétaire général de la défense et de la
sécurité nationale. Le SGDSN assiste le Premier ministre dans l’exercice
de ses responsabilités en matière de défense et de sécurité nationale.
4
EBIOS
Définition
EBIOS est une méthode qui permet de :
▪ disposer d'éléments de langage communs ;
▪ disposer d'une démarche claire et structurée à respecter ;
▪ se baser sur un référentiel validé par l'expérience ;
▪ s'assurer d'une exhaustivité des actions à entreprendre ;
▪ réutiliser la même approche en amélioration continue et sur
d'autres périmètres…
5
EBIOS
Définition
EBIOS est une boite à outil modulable en fonction:
▪ Du périmètre étudié :
▪ application
▪ processus métier
▪ organisation entière… Enjeux :
▪ De l’état de la cible de l’étude : Atteindre ses
▪ systèmes existants
▪ systèmes en cours d'élaboration
objectifs métiers et
▪ Du but de l’étude : stratégiques sur la
▪ Elaborer un plan d’action base de décisions
▪ Elaborer une politique de sécurité rationnelles.
▪ Etablir un cahier de charges
6
EBIOS
Les acteurs de l’analyse
- Les acteurs: qui sont-ils?
• Les acteurs
✓Aident à l’identification des situations craintes par l’organisme
• Les opérationnels
✓Connaissent les menaces et aident à l’identification des
vulnérabilités et des mesures de sécurité correspondantes
• La direction, le commanditaire
✓Il élabore la stratégie de traitement des risques
7
EBIOS
Définitions
8
EBIOS
Qu’est-ce qu’un risque
• ISO/IEC 27005
• Possibilité qu’une menace donnée exploite les vulnérabilités d’un
bien ou d’un groupe de biens et nuise donc à l’organisation
• EBIOS
• Scénario, avec un niveau donné, combinant un événement
redouté et un ou plusieurs scénarios de menaces
• MEHARI
• Situation à risque peut être caractérisée par:
✓Des facteurs structurels qui dépendent du métier de l’entreprise,
de son environnement, de son contexte
✓Des facteurs de réduction de risques qui sont directement
fonction des mesures de sécurité mises en place
9
EBIOS
Qu’est-ce qu’un risque
• Un risque c’est donc:
• La combinaison d’un évènement ayant une probabilité P
et de ses conséquences G (gravité). Cette combinaison
s’appelle Criticité.
10
EBIOS
Risque – Notions: Niveau de risque
• Criticité = Probabilité X Impact
• Probabilité
✓On parle aussi de vraisemblance
✓Estimation de la possibilité qu’un scénario de menace
se produise. Elle représente sa force d’occurrence.
• Impact
✓On parle de gravité
✓Estimation de la hauteur des effets d’un événement
redouté. Elle représente ses conséquences.
11
EBIOS
Risque – Notions: Niveau de risque
Le niveau de risque correspond à l’estimation de sa gravité et de sa vraisemblance
▪ On parle de gravité
✓Estimation de la hauteur des effets d’un événement
redouté. Elle représente ses conséquences. 13
EBIOS
Principes fondamentaux de la
sécurité de l’information
14
EBIOS
Information et actif
❑ Information : Données significatives
❑ Actif: tout ce qui a une valeur pour l’organisme
• L’information;
• Le logiciel comme un programme d’ordinateur;
• Les équipements et les locaux;
• Les services;
• Les personnes et leurs qualifications, aptitudes et expérience
• Intangibles comme la réputation et l’image
❑ Système d’information: Ensemble des moyens matériels, logiciels
et organisationnels qui permettent de recevoir, de conserver et de
traiter l’information
15
EBIOS
Sécurité de l’Information
ISO 27000, Clause 2.89
• Faiblesse
• Faille
• Insuffisance
• Manquement
17
EBIOS
Sécurité de l’Information
ISO 27000, Clause 2.89
18
EBIOS
Sécurité de l’Information
ISO 27005, Annexe C
• Action
• Situation
• Evènement
19
EBIOS
Sécurité de l’Information
Relation entre vulnérabilité et menace
• Faiblesse • Action
• Faille • Situation
• Insuffisance • Evènement
• Manquement
20
EBIOS
Sécurité de l’Information
Impact
• Pertes
• Dégâts
• Conséquences
21
EBIOS
Sécurité de l’Information
Risque et sécurité de l’information
22
EBIOS
Sécurité de l’Information
Risque et sécurité de l’information
23
EBIOS
Sécurité de l’Information
Qu’est-ce qu’un scénario de menace?
24
EBIOS
Principes fondamentaux de la sécurité
Relations entre les concepts de la sécurité de l’information
25
EBIOS
Notions fondamentales
Les 4 critères
27
EBIOS
Risque – Exemple 2
Une attaque sur le site Internet de ma société
28
EBIOS
Risque – Que retenir de ces exemples?
Un évènement redouté
✓Bien essentiel: les résultats scolaires
✓Besoin et niveau de sécurité: intégrité - forte
✓Source de menace: élève malveillant
✓Impacts: Atteinte à l’image de marque, perte de
crédibilité, etc.
33
EBIOS
Scénario de menace
• Définition d’EBIOS
• « Qui peut nuire à mes biens? Comment? »
• Représente les menaces envisageables et plausibles
• « Scénario, avec un niveau donné, décrivant des modes
opératoires ».
36
EBIOS
Définitions importantes
• Bien essentiel: Information ou processus jugé comme important pour
l’organisme. On appréciera ses besoins de sécurité mais pas ses
vulnérabilités
• Bien support: bien sur lequel reposent des biens essentiels. On distingue
notamment les systèmes informatiques, les organisations et les locaux. On
appréciera ses vulnérabilités mais pas ses besoins de sécurité
• Critère de sécurité: Caractéristique d’un bien essentiel permettant
d’apprécier ses différents besoins de sécurité
• Besoin de sécurité: Définition précise et non ambiguë du niveau
d’exigences opérationnelles relatives à un bien essentiel pour un critère de
sécurité donné (disponibilité, confidentialité, intégrité)
• Source de menace: Chose ou personne à l’origine de menaces. Elle peut
être caractérisée par son type (humain ou environnemental), par sa cause
(accidentelle ou délibérée) et selon le cas par ses ressources disponibles,
son expertise, sa motivation…
37
EBIOS
Autres définitions importantes
• Menace: Moyen type utilisé par une source de menace
• Vulnérabilité: caractéristique d’un bien support qui peut
constituer une faiblesse ou une faille au regard de la
sécurité des systèmes d’information
• Impact: Conséquence directe ou indirecte de
l’insatisfaction des besoins de sécurité sur l’organisme et/ou
sur son environnement
• Gravité: Estimation de la hauteur des effets d’un
évènement redouté ou d’un risque
38
EBIOS
Processus de management du
risque
39
EBIOS
Processus du management du risque
Modèle général de la norme ISO 27005
Établissement du
▪ Deux activités séquentielles et itératives : contexte
Communication
• à l’entreprise entière Évaluation du risque
• à un SI Appréciation du
risque satisfaisante ?
non
Acceptation du risque
• trop grosse elle va la rendre inefficace
40
EBIOS
Processus de management du risque
Etapes de la norme ISO 27005
1. Établissement du contexte
Processus de définition de l’objectif, du périmètre, des contraintes et
du cadre méthodologique
2. Identification du risque
Processus utilisé pour trouver, lister et caractériser les
éléments à risques
3. Estimation du risque
Processus utilisé pour affecter des valeurs à la probabilité et
aux conséquences d’un risque
4. Évaluation du risque
Processus utilisé pour prioriser les risques évalués en tenant
compte du niveau d’acceptabilité de l’entreprise
41
EBIOS
Processus de management du risque
Etapes de la norme ISO 27005
5. Traitement du risque
Processus utilisé pour identifier et évaluer les options de
traitement du risque
6. Acceptation du risque
Processus de décision sur l’acceptation de la méthode de
traitement, afin que le risque résiduel soit tolérable
7. Communication du risque
Échange et partage de l’information concernant un risque entre le
décideur et les autres parties prenantes
8. Surveillance et réexamen du risque
Processus utilisé pour garantir une pérennité de l’analyse de
risque, via des contrôles et un réexamen réguliers
42
EBIOS
Structure de la méthode
EBIOS
43
EBIOS
Structure de la méthode
44
EBIOS
Rôles et responsabilités
Les fonctions génériques, qui peuvent endosser ces
responsabilités, sont les suivantes :
Exemple :
Les étapes du
processus et
les rôles
54
EBIOS
Module 1: Etude du contexte
Exemple :
Les sources de
menace
55
EBIOS
Module 1: Etude du contexte
Activité 1.2- Les métriques à préparer
▪ Critères de sécurité et échelles (DICT)
57
EBIOS
Module 1: Contexte
Activité 1.2- Les métriques à préparer
58
EBIOS
Module 1: Contexte
Activité 1.2- Les métriques à préparer
Les critères de sécurité constituent des facteurs permettant de relativiser
l’importance des différents biens essentiels selon les besoins métiers, et serviront
ainsi à décrire les conditions dans lesquelles le métier s’exerce convenablement.
Trois critères de sécurité sont incontournables:
• La disponibilité: elle reflète le besoin que des biens essentiels soient accessibles:
elle peut correspondre à la durée nécessaire pour avoir accès au bien essentiel (ex.:
1 heure, 1 journée, 1 semaine…) et/ou à un taux (ex.: 99%); on peut même séparer
ces deux notions en deux critères de sécurité distincts;
• L’intégrité: elle reflète le besoin que des biens essentiels ne soient pas altérés; elle
correspond autant à leur niveau de conformité qu’à leur stabilité, leur exactitude,
leur complétude…;
• La confidentialité: elle reflète le besoin que des biens essentiels ne soient pas
compromis ni divulgués: elle correspond au nombre ou catégories de personnes
autorisées à y accéder. 59
EBIOS
Module 1: Contexte
Activité 1.2- Les métriques à préparer
60
EBIOS
Echelle en termes d’intégrité
61
EBIOS
62
EBIOS
Module 1: Contexte
Niveaux de
Description détaillée de l'échelle
l'échelle
1. Négligeable L’entreprise surmontera les impacts sans aucune difficulté.
2. Limitée L’entreprise surmontera les impacts malgré quelques difficultés
3. Importante L’entreprise surmontera les impacts avec de sérieuses difficultés.
4. Critique L’entreprise ne surmontera pas les impacts (sa survie est menacée).
Exemples d’impacts :
Financiers, Image et réputation, Juridiques et réglementaires,
Organisationnels et sociaux 64
EBIOS
Module 1: Contexte
65
EBIOS
Critères de sécurité
66
EBIOS
Module 1: Contexte
67
EBIOS
Module 1: Contexte
Action Critère de gestion des risques (règle choisie pour réaliser l'action)
Estimation des événements Les événements redoutés sont estimés en termes de gravité à l'aide de
redoutés (module 2) l'échelle définie à cet effet.
Évaluation des Les événements redoutés sont classés par ordre décroissant de
Événements redoutés vraisemblance.
(module 2)
Estimation des risques - La gravité d'un risque est égale à celle de l'événement redouté considéré.
(module 4) - La vraisemblance d'un risque est égale à la vraisemblance maximale de tous les
scénarios de menaces liés à l'événement redouté considéré.
Évaluation des risques - Les risques dont la gravité est critique, et ceux dont la gravité est importante et
(module 4) la vraisemblance forte ou maximale, sont jugés comme intolérables.
- Les risques dont la gravité est importante et la vraisemblance significative, et
ceux dont la gravité est limitée et la vraisemblance forte ou maximale, sont jugés
comme significatifs.
- Les autres risques sont jugés comme négligeables.
69
EBIOS
Module 1: Contexte
Risques intolérables
Risques significatifs
Risques négligeables
70
EBIOS
Module 1: Contexte
Activité 1.3- Identifier les biens
▪ Identification des biens essentiels
✓ Ce sont les « actifs » du périmètre étudié: fonctions ou informations
essentielles aux métiers de l’organisation
✓ La granularité dépend du but de l’étude
✓ Sur la base de documents fonctionnels et d’entretiens avec les
métiers
▪ Identification des biens supports
✓ Composants du SI, techniques et non techniques qui supportent les
éléments essentiels identifiés.
✓ Affinage au cours de l’analyse indispensable
▪ Liens entre biens essentiels et biens supports
▪ Mesures de sécurité existantes 71
EBIOS
Module 1: Contexte
▪ Exemple d’identification des biens essentiels
Processus essentiels Informations essentielles concernées Dépositaires
Établir les devis (estimation du • Cahier des charges Service commercial
coût global d'un projet, • Catalogues techniques
négociations avec les clients…) • Contrat (demande de réalisation)
• Devis
Créer des plans et calculer les • Dossier technique d'un projet Bureau d'études
Structures • Paramètres techniques (pour les calculs de structure)
• Plan technique
• Résultat de calcul de structure
Créer des visualisations • Dossier technique d'un projet Bureau d'études
• Visualisation 3D
Gérer le contenu du site Internet • Informations société (contacts, présentation…) Directeur adjoint
• Exemple de devis
• Exemple de visualisation 3D
• Page Web 72
EBIOS
Module 1: Contexte
Types de biens supports
73
EBIOS
Module 1: Contexte
▪ Exemple d’identification des biens supports
74
EBIOS
Module 1: Contexte
▪ Exemple d’identification des biens supports
75
EBIOS
Module 1: Contexte
Liens entre
biens
essentiels
et biens
supports
76
EBIOS
Module 1: Contexte
Liens entre
biens
essentiels et
biens
supports
77
EBIOS
Module 1: Contexte
▪ Exemple de
mesures de
sécurité
existantes
78
EBIOS
Module 2: Evènements redoutés
Une seule activité:
79
EBIOS
Module 2: Evènements redoutés
Une seule activité:
Sur la base des éléments essentiels identifiés: décliner et
évaluer les évènements que l’organisation redoute;
▪ Quels sont les besoins de sécurité de chaque bien essentiel ?
✓Au max: 4 évènements par bien essentiel
▪ Quelles sources de menaces peuvent les affecter ?
▪ Quels seraient les impacts si l’évènement se produisait ?
▪ Quelle serait la gravité d’un tel événement?
✓Utiliser l’échelle pour pondérer la gravité
80
EBIOS
Module 2: Evènements redoutés
82
EBIOS
Module 2: Evènements redoutés
Exemple de
tableau
d’évènements
redoutés
83
EBIOS
Module 2: Evènements redoutés
Exemple de
tableau
d’évènements
redoutés
84
EBIOS
Module 2: Evènements redoutés
Classifier les
événements
redoutés
85
EBIOS
Module 3: Scénarios de menace
Une seule activité:
86
EBIOS
Module 3: Scénarios de menaces
A garder en tête:
• Les biens supports « supportent » les biens essentiels
• Les menaces sur les biens supports impactent donc les biens
essentiels
But du module: analyser tous les scénarios de menaces
• Quelles menaces peuvent s’exercer sur chaque bien support?
✓Modification, divulgation, etc.
• Quelles sources de menaces peuvent en être à l’origine?
✓Concurrent? Administrateur? Virus? Tornade?
• Quelles sont les vulnérabilités potentiellement utilisables?
• Y a-t-il des prérequis pour que la menace se réalise?
✓Connaissance du progiciel? Connaissance du bâtiment?
• Quelle est la vraisemblance des scénarios? 87
EBIOS
Module 3: Scénarios de menaces
88
EBIOS
Module 3: Scénarios de menaces
Exemple:
• Bien support: Serveur Web Apache de l’Intranet (LOG)
• Menace: LOG-DEP: Dépassement des limites d’un logiciel
• Vulnérabilités: Absence de contrôle d’innocuité (« Permet
de saisir n’importe quelles données » « Permet de saisir
n’importe quel volume de données »
• Prérequis: Accès logique au logiciel
• Source de menace: personnel interne malveillant, virus
• Vraisemblance: faible
89
EBIOS
Module 3: Scénarios de menaces
Avantage: Menaces/Scénario/Vulnérabilités sur un tableau
• La menace est générique: « Menace impactant la disponibilité »
• Les vulnérabilités pouvant conduire à une indisponibilité sont énumérées
90
EBIOS
Module 3: Scénarios de menaces
91
EBIOS
Module 3: Scénarios de menaces
92
EBIOS
Module 3: Scénarios de menaces
Classifier des
scénarios de
menaces
93
EBIOS
Récapitulatif Entretiens Acteurs
Direction / Commanditaire
• Identifier les enjeux, contraintes, paramètres à prendre en compte et
les sources de menace
• Identifier les impacts
Métiers
• Identification des biens essentiels et expression des besoins de sécurité
• Identification des évènements redoutés
Opérationnels / Techniques
• Identification des biens supports
• Identification des mesures de sécurité existantes
• Identification des menaces et vulnérabilités
94
EBIOS
Module 4: Etude des risques
Deux activités:
95
EBIOS
Module 4: Etude des risques
Activité 4.1: Apprécier les risques
96
EBIOS
Module 4: Etude des risques
Données
Données
97
EBIOS
Module 4: Etude des risques
Serveur
indisponible
Ordinateur
indisponible
Risque Données
d’indisponibilité
des données
firewall
Routeur indisponible
Internet
indisponible
indisponible
98
EBIOS
Module 4: Etude des risques
Menace sur le
Serveur
Menace sur causant une
l’Ordinateur indisponibilité
causant une
indisponibilité
Risque Données
d’indisponibilité
des données
Menace sur le
Plusieurs Menace sur le firewall
causant une Menace sur
scénarios de routeur
indisponibilité Internet
menace pour un causant une
causant une
même risque indisponibilité
indisponibilité
99
EBIOS
Module 4: Etude des risques
Activité 4.1: Apprécier les risques
• Confrontation les évènements redoutés aux scénarios de menaces
✓ ER:
100
EBIOS
Module 4: Etude des risques
Activité 4.1: Apprécier les risques
• Confrontation les évènements redoutés aux scénarios de menaces
✓ SM:
101
EBIOS
Module 4: Etude des risques
Activité 4.1: Apprécier les risques
• Identifier les mesures de sécurités existantes
✓ SM:
102
EBIOS
Module 4: Etude des risques
Activité 4.1: Apprécier les risques
• Définir le niveau de risque (Gravité x Impact)
Déterminer la criticité
de chaque risque après
les mesures de
sécurités existantes
Risque net =
Risque brut en prenant en compte
les mesures existantes
104
EBIOS
Module 4: Etude des risques
Activité 4.2: Identifier les objectifs de sécurité
• Les choix de traitement des risques:
• Choix 1: La réduction du risque
✓ Démarche classique: « Je traite le risque »
✓ Les mesures standards:
o Mesures de prévention -> réduction de la vraisemblance (probabilité
d’occurrence)
o Mesures de protection-> réduction de l’impact (conséquences)
✓ Le niveau de risque doit être géré en introduisant, supprimant ou en modifiant des
contrôles afin que le risque résiduel puisse être réapprécié à un niveau acceptable.
Des contrôles de sécurité appropriés et justifiés devraient être choisis pour répondre
aux besoins identifiés par l’évaluation et le traitement du risque.
✓ La sélection des mesures de sécurité devrait tenir compte des critères d’acceptation
des risques, ainsi que des exigences juridiques, réglementaires. 105
EBIOS
Module 4: Etude des risques
Activité 4.2: Identifier les objectifs de sécurité
• Les choix de traitement des risques:
• Choix 2: Prévention par « évitement »
106
EBIOS
Module 4: Etude des risques
Activité 4.2: Identifier les objectifs de sécurité
• Les choix de traitement des risques:
▪ Choix 2: Prévention par « évitement »: Exemples
✓ En arrêtant certaines activités (arrêter d’utiliser internet dans un
centre de recherche, interdire les transactions par carte bancaire)
✓ En enlevant les actifs d’une zone à risque (ne pas stocker des
documents sensibles dans l’intranet de l’organisme ou déménager
les serveurs au 4ème étage afin d’éviter un risque d’inondation)
✓ En décidant de ne pas échanger certaines informations sensibles
(avec des tierces parties) si une protection suffisante n’est pas
garantie
107
EBIOS
Module 4: Etude des risques
Activité 4.2: Identifier les objectifs de sécurité
• Les choix de traitement des risques:
• Choix 3: Le transfert (ou partage du risque)
Il existe deux grandes méthodes de transfert de risque:
• Externalisation de l’activité à risque (outsourcing): Transfert de
tout ou partie d’une fonction d’une entreprise vers un partenaire
externe. Par exemple, une organisation externalise la surveillance de
son réseau à un fournisseur externe qui peut assurer un service
24h/7j, ce qui ne peut pas être réalisé par son personnel.
• Assurance ou garantie financière: Toute autre forme de couverture
de risque contractée par une organisation en échange du paiement en
ligne. Si le risque se matérialise, l’organisme sera compensé par
l’assurance en fonction des modalités convenues entre les parties. 108
EBIOS
Module 4: Etude des risques
Activité 4.2: Identifier les objectifs de sécurité
• Les choix de traitement des risques:
• Choix 3: Le transfert (ou partage du risque)
✓ Le transfert de risque requiert la décision de partager certains
risques avec des parties externes (le cas le plus courant étant la
souscription d’un contrat d’assurance)
✓ Le transfert de risques peut créer de nouveaux risques ou modifier
des risques existants et identifiés. Par conséquent, le traitement de
nouveaux risques découlant de l’opération de transfert, peut être
nécessaire
✓ Le transfert de risque est par ailleurs une élimination « non
absolue » du risque (exemple: utilisation de tiers pour le transport,
la manutention, etc.). 109
EBIOS
Module 4: Etude des risques
Activité 4.2: Identifier les objectifs de sécurité
• Les choix de traitement des risques:
• Choix 4: L’acceptation du risque-> Acceptation du
risque en toute connaissance de cause
✓Il existera certains risques pour lesquels l’organisme ne
pourra pas identifier de contrôles de sécurité ou pour
lesquels les coûts de mise en œuvre de contrôles de sécurité
seront supérieurs à la perte potentielle entraînée par la
réalisation du risque.
✓Dans ce cas, la décision peut être prise d’accepter le risque
et de vivre avec les conséquences de celui-ci s’il se réalise.
110
EBIOS
Module 4: Etude des risques
Choix 4: L’acceptation du risque-> Acceptation du risque
en toute connaissance de cause
112
EBIOS
Module 4: Etude des risques
Activité 4.2.1 : Options des traitement
113
EBIOS
Module 4: Etude des risques
Activité 4.2.1 : Options des traitement
• Quels risques
vais-je traiter?
• Plusieurs issues:
✓Evitement
✓Réduction
✓Transfert
✓Acceptation
114
EBIOS
Module 4: Etude des risques: Risque résiduel
• Risque résiduel: C’est le risque subsistant après le
traitement du risque.
• La notion de risque résiduel peut être définie comme étant le
risque qui subsiste après la mise en place des mesures de
sécurité visant à atténuer le risque inhérent, et peut être
résumée comme suit:
• Risque résiduel =
✓Risque net – risque traité par les mesures de sécurité
✓Risque après la mise en œuvre des mesures de sécurité
• En toute circonstance, le risque résiduel doit être compris,
accepté et approuvé par la direction. 115
EBIOS
Module 4: Etude des risques: Risque résiduel
Activité 4.2.2 : Risque résiduel
116
EBIOS
Module 5: Etude des mesures de sécurité
Deux activités:
117
EBIOS
Module 5: Etude des mesures de sécurité
Activité 5.1.1: Déterminer les mesures de sécurité
• En réponse à la stratégie de traitement retenue (objectifs de
sécurité), déterminer les moyens d’atteindre les objectifs de
sécurité;
• Tenir compte des contraintes budgétaires et techniques,
• Deux types de mesures de réduction
✓Mesure agissant sur la vraisemblance
✓Mesure agissant sur la gravité
• Prévoir une matrice de couverture « Risques par mesure de
sécurité »
118
EBIOS
Module 5: Etude des mesures de sécurité
Activité 5.1.1: Déterminer les mesures de sécurité
120
EBIOS
Module 5: Etude des mesures de sécurité
Activité 5.1.2: Analyser les risques résiduels
122
EBIOS
Module 5: Etude des mesures de sécurité
Activité 5.1.3: Rédiger une déclaration d’applicabilité
• Exemple:
✓Paramètre à prendre en compte: « L’application manipule
des données à caractère nominatif, ces données doivent
donc être protégées conformément aux dispositions de la
CNIL »
✓Justifier la couverture de ce paramètre par les mesures
identifiées 123
EBIOS
Module 5: Etude des mesures de sécurité
Activité 5.1.3: Rédiger une déclaration d’applicabilité
124
EBIOS
Module 5: Etude des mesures de sécurité
Elaborer le plan d’actions et suivre la réalisation des mesures de
sécurité
• Pour chaque mesure de sécurité précédemment formalisée, il
convient d’indiquer, par exemple:
1.Son libellé
2.Sa priorité
3.Le responsable de la mise en œuvre
4.Si besoin, le détail des actions à mener
5.Le coût prévisionnel de mise en œuvre
6.L’état d’avancement
7.Les moyens de contrôler la mise en œuvre
8.Les éventuels risques, résiduels ou induits, mis en évidence au fur et à
mesure de l’avancement du plan d’action 125
EBIOS
Module 5: Etude des mesures de sécurité
Elaborer le plan d’actions et suivre la réalisation des mesures
de sécurité
127
EBIOS
128
EBIOS
Annexe A de l’EBIOS
• La norme ISO 27002 fournit une liste d’objectifs et des
mesures de sécurité généralement pratiqués qui doivent
être utilisés comme lignes directrices de mise en œuvre
lors du choix et de la mise en œuvre des mesures pour
réaliser la sécurité de l’information.
• Elle fournit des lignes directrices en matière de mesures de
la sécurité de l’information
• Les clauses 5 à 18, en particulier, fournissent des conseils
spécifiques ainsi qu’un guide de mise en œuvre relatifs aux
meilleures pratiques, venant à l’appui des mesures
spécifiées à l’annexe A de l’ISO 27001 (clause A.5 à A.18).
129
EBIOS
Annexe A de l’EBIOS
Chapitre 8 : Gestion des actifs (classification) Chapitre 15 : Relations avec les fournisseurs
130
EBIOS
Norme ISO 27002
Chapitre 5 – Politique de Sécurité
132
EBIOS
Norme ISO 27002
Chapitre 6 – Organisation de la Sécurité
• 6.1 Organisation interne
• 6.1.1 - Fonctions et responsabilités liées à la sécurité de l’information
• 6.1.2 - Séparation des tâches
• 6.1.3 - Relations avec les autorités
• 6.1.4 - Relations avec des groupes de travail spécialisés
• 6.1.5 - La sécurité de l’information dans la gestion de projet
• Points clefs
• Se focalise sur l’implication de la direction au sein du cycle PDCA
• Décrit toute l’organisation permettant la gestion de la sécurité
• Introduit les relations avec des experts externes à l’organisation
• 6.2 - Appareils mobiles et télétravail
• 6.2.1 - Politique en matière d’appareils mobiles
• 6.2.2 - Télétravail
133
EBIOS
Norme ISO 27002
Chapitre 7 – Sécurité liée aux RH
• 7.1 - Avant L'embauche
• 7.1.1 - Sélection des candidats
• 7.1.2 - Termes et conditions d’embauche
• 7.2 - Pendant la durée du contrat
• 7.2.1 - Responsabilités de la direction
• 7.2.2 - Sensibilisation, apprentissage et formation à la sécurité de l’information
• 7.2.3 - Processus disciplinaire
• 7.3 - Rupture, terme ou modification du contrat de travail
• 7.3.1 - Achèvement ou modification des responsabilités associées au contrat de travail
• Points clefs
• Mentionne les responsabilités en matière de sécurité avant, pendant et après l’embauche
134
EBIOS
Norme ISO 27002
Chapitre 8 – Gestion des actifs
• 8.1.1 - Inventaire des actifs
• 8.1.2 - Propriété des actifs
• 8.1.3 - Utilisation correcte des actifs
• 8.1.4 - Restitution des actifs
• 8.2 - Classification de l'information
• 8.2.1 - Classification des informations
• 8.2.2 - Marquage des informations
• 8.2.3 - Manipulation des actifs
• 8.3 - Manipulation des supports
• 8.3.1 - Gestion des supports amovibles
• 8.3.2 - Mise au rebut des supports
• 8.3.3 - Transfert physique des supports
135
EBIOS
Norme ISO 27002
Chapitre 8 – Classification des actifs
• Quels actifs sont à classifier ?
• Les applications et services SI
• Importance de l’attribution d’un propriétaire métier
• Selon les 4 critères de sécurité : Disponibilité, Intégrité, Confidentialité,
Preuve
• Définition de la notion d’applications critiques/sensibles :
• Moyenne de 15 à 20% d’applications critiques en nombre :
classification correcte
• Ajout de critères de classification supplémentaires : RTO/RPO
(DIMA/PDMA)
• Les actifs de support
• Héritage de la classification des applications et services SI qu’ils
supportent 136
EBIOS
Norme ISO 27002
Chapitre 8 – Classification des actifs
• Et vous ?
• Sauriez-vous dire quelles sont les 10 applications les plus critiques
de votre organisation ?
138
EBIOS
Norme ISO 27002
Chapitre 9 – Contrôle des accès
• 9.1 - Exigences métiers en matière de contrôle d’accès
• 9.1.1 - Politique de contrôle d’accès
• 9.1.2- Accès aux réseaux et aux services réseau
• 9.2 - Gestion de l'accès utilisateur
• 9.2.1 - Enregistrement et désinscription des utilisateurs
• 9.2.2 - Distribution des accès aux utilisateurs
• 9.2.3 - Gestion des droits d’accès à privilèges
• 9.2.4 - Gestion des informations secrètes d’authentification des utilisateurs
• 9.2.5 - Revue des droits d'accès utilisateurs
• 9.2.6 - Suppression ou adaptation des droits d’accès
• 9.3 - Responsabilités des utilisateurs
• 9.3.1 - Utilisation d’informations secrètes d’authentification
• Points clefs
• Focus sur la formalisation des procédures d’habilitation
• Protection de l’accès des utilisateurs mis en avant 139
EBIOS
Norme ISO 27002
Chapitre 9 – Contrôle des accès
140
EBIOS
Norme ISO 27002
Chapitre 10 – Cryptographie
• Points clefs
• Gestion de la PKI et des clefs de chiffrement
• Importance de la cryptographie pour les données/transactions les plus sensibles
141
EBIOS
Norme ISO 27002
Chapitre 11 – Sécurité physique et environnementale
142
EBIOS
Norme ISO 27002
Chapitre 11 – Sécurité physique et environnementale
• 11.2 - Matériels
• 11.2.1 - Emplacement et protection des matériels
• 11.2.2 - Services généraux
• 11.2.3 - Sécurité du câblage
• 11.2.4 - Maintenance des matériels
• 11.2.5 - Sortie des actifs
• 11.2.6 - Sécurité des matériels et des actifs hors des locaux
• 11.2.7 - Mise au rebut ou recyclage sécurisé(e) des matériels
• 11.2.8 - Matériels utilisateur laissés sans surveillance
• 11.2.9 - Politique de bureau propre et de l'écran verrouillé
• Points clefs
• La protection physique du matériel est nécessaire pour réduire les risques d’accès non
autorisé à l’information et se prémunir contre la perte et les dommages
• Cela inclut la fin de vie des matériels et les sorties de matériels (pour maintenance par
exemple)
143
EBIOS
Norme ISO 27002
Chapitre 12 – Sécurité de l’exploitation
144
EBIOS
Norme ISO 27002
Chapitre 12 – Sécurité de l’exploitation
• 12.2 - Protection contre les logiciels malveillants
• 12.2.1 - Mesures contre les logiciels malveillants
• 12.3 - Sauvegarde
• 12.3.1 - Sauvegarde des informations
• 12.4 - Journalisation et surveillance
• 12.4.1 - Journalisation des événements
• 12.4.2 - Protection de l’information journalisée
• 12.4.3 - Journaux administrateur et opérateur
• 12.4.4 - Synchronisation des horloges
• 12.5 - Maîtrise des logiciels en exploitation
• Points clefs
• Disponibilité et fiabilité des matériels et des systèmes sont à prendre en compte
• Importance de la sauvegarde et de la protection antivirale
145
EBIOS
Norme ISO 27002
Chapitre 12 – Sécurité de l’exploitation
• 12.6 - Gestion des vulnérabilités techniques
• 12.6.1 - Gestion des vulnérabilités techniques
• 12.6.2 - Restrictions liées à l’installation de logiciels
• 12.7 - Considérations sur l’audit des systèmes d’information
• 12.7.1 - Mesures relatives à l’audit des systèmes d’information
• Points clefs
• Contrôle du système d’information par la mise en place de contrôle et d’un suivi des
audits
146
EBIOS
Norme ISO 27002
Chapitre 13– Sécurité des communications
• 13.1 - Gestion de la sécurité des réseaux
• 13.1.1 - Contrôle des réseaux
• 13.1.2 - Sécurité des services de réseau
• 13.1.3 - Cloisonnement des réseaux
• 13.2 - Transfert de l’information
• 13.2.1 - Politiques et procédures de transfert de l’information
• 13.2.2 - Accords en matière de transfert d’information
• 13.2.3 - Messagerie électronique
• 23.2.4 - Engagements de confidentialité ou de non-divulgation
• Points clefs
• Sécurisation des accès externes et interne du SI.
• Contrôle des échanges de l’information.
147
EBIOS
Norme ISO 27002
Chapitre 14 – Acquisition, Développement et Maintenance des SI
• 14.1 - Exigences de sécurité applicables aux systèmes d’information
• 14.1.1 - Analyse et spécification des exigences de sécurité de l’information
• 14.1.2 - Sécurisation des services d’application sur les réseaux publics
• 14.1.3 - Protection des transactions liées aux services d’application
• 14.2 - Sécurité en matière de développement et d'assistance technique
• 14.2.1 - Politique de développement sécurisé
• 14.2.2 - Procédures de contrôle des changements de système
• 14.2.3 - Revue technique des applications après changement apporté à la plateforme d’exploitation
• 14.2.4 - Restrictions relatives aux changements apportés aux progiciels
• 14.2.5 - Principes d’ingénierie de la sécurité des systèmes
• 14.2.6 - Environnement de développement sécurisé
• 14.2.7 - Développement externalisé
• 14.2.8 - Test de la sécurité du système
• 14.2.9 - Test de conformité du système
• 14.3 - Données de test
• 14.3.1 - Protection des données de test
148
EBIOS
Norme ISO 27002
Chapitre 15 – Relations avec les fournisseurs
• 15.1 - Sécurité dans les relations avec les fournisseurs
• 15.1.1 - Politique de sécurité de l’information dans les relations avec les fournisseurs
• 15.1.2 - La sécurité dans les accords conclus avec les fournisseurs
• 15.1.3 - Chaîne d’approvisionnement des produits et des services informatiques
• A15.2 - Gestion de la prestation du service
• 15.2.1 - Surveillance et revue des services des fournisseurs
• 15.2.2 - Gestion des changements apportés dans les services des fournisseurs
• Points clefs
• Gestion des tiers au niveau des contrats, du suivi et du contrôle
149
EBIOS
Norme ISO 27002
Chapitre 16 – Gestion des incidents liés à la sécurité de l’information
• 16.1 - Gestion des incidents liés à la sécurité de l’information et améliorations
• 16.1.1 - Responsabilités et procédures
• 16.1.2 - Signalement des événements liés à la sécurité de l’information
• 16.1.3 - Signalement des failles liées à la sécurité de l’information
• 16.1.4 - Appréciation des événements liés à la sécurité de l’information et prise de
décision
• 16.1.5 - Réponse aux incidents liés à la sécurité de l’information
• 16.1.6 - Tirer des enseignements des incidents liés à la sécurité de l’information
• 16.1.7 - Collecte de preuves
• Points clefs
• On prend en compte uniquement les incidents de sécurité ➔ Une bonne définition de ce
qu’est un incident de sécurité est à réaliser !
150
EBIOS
Norme ISO 27002
Chapitre 16 – Gestion des incidents lie à la sécurité de l’information
• Se base généralement sur le processus existant de gestion des incidents IT
• S’intègre dans les processus ITIL
Traitement
Traitement Traitement
Niveau 3 /
Niveau 1 Niveau 2
Gestion de Crise
152
EBIOS
Norme ISO 27002
Chapitre 17 – Sécurité de l’information dans la gestion de la Continuité d’Activités
• 17.1 - Continuité de la sécurité de l'information
• 17.1.2 - Organisation de la continuité de la sécurité de l’information
• 17.1.2 - Mise en œuvre de la continuité de la sécurité de l’information
• 17.1.3 - Vérifier, revoir et évaluer la continuité de la sécurité de l’information
• 17.2 - Redondance
• 17.2.1 - Disponibilité des moyens de traitement de l’information
• Points clefs
• La norme traite de la continuité de la sécurité de l’information et non de la continuité
business (ISO 22301)
• Mise en œuvre de la redondance des composants
153
EBIOS
Norme ISO 27002
Chapitre 18 – Conformité
• 18.1 - Conformité aux obligations légales et réglementaires
• 18.1.1 - Identification de la législation et des exigences contractuelles applicables
• 18.1.2 - Droits de propriété intellectuelle
• 18.1.3 - Protection des enregistrements
• 18.1.4 - Protection de la vie privée et protection des données à caractère personnel
• 18.1.5 - Réglementation relative aux mesures cryptographiques
• 18.2 - Revue de la sécurité de l’information
• 18.2.1 - Revue indépendante de la sécurité de l’information
• 18.2.2 - Conformité avec les politiques et les normes de sécurité
• 18.2.3 - Vérification de la conformité technique
• Points clefs
• Correspondant CNIL & Prise en compte de la législation
• Contrôle permanent
154
EBIOS
Avantages et inconvénients
d’EBIOS
155
EBIOS
Avantages d’EBIOS
• Une méthode claire: elle définit clairement les acteurs, leurs rôles et
les interactions
• Une approche exhaustive: contrairement aux approches d’analyse
des risques par scénarios, la démarche structurée de la méthode EBIOS
permet d’identifier les éléments constitutifs des risques
• Une démarche adaptative: la méthode EBIOS peut être adaptée au
contexte de chacun et ajustée à ses outils et habitudes
méthodologiques grâce à une certaine flexibilité
156
EBIOS
Inconvénients d’EBIOS
• La méthode EBIOS ne fournit pas de
recommandations ni de solutions immédiates aux
problèmes de sécurité.
157
EBIOS
158
EBIOS
Pourquoi gérer les risques
Pour savoir ce qu’il faut protéger…
• Identifier les biens essentiels (« Assets »)
✓ Notion d’évènements redoutés / classification d’actifs
De qui/quoi?
• Identifier les menaces et vulnérabilités
160