EBIOS

Expression des besoins et

identification des objectifs de
sécurité
 INTRODUCTION
• Chaque système d’information gère une grande quantité de
données dont certaines peuvent être confidentielles et
réservée a un usage restreint.
• Ceci implique de trouver un moyen fiable afin de sécuriser ces
données.
• Chaque système obéit a des objectifs et des exigences
spécifiques.
 C’EST QUOI UN RISQUE ?
• C’est un scénario qui combine un événement redouté (la
combinaison des sources de menaces, bien essentiel, critère
de sécurité, besoin de sécurité, impacts potentiels) et un ou
plusieurs scénarios de menaces (la combinaison des sources
de menaces, bien support, critère de sécurité, menaces,
vulnérabilités).
• On estime son niveau par sa gravité (hauteur des impacts) et
sa vraisemblance (possibilité qu'il se réalise).
 COMMENT GÉRER LES RISQUES ?
• La gestion du risque en informatique consiste à analyser les
dangers potentiels qui pèsent sur un système d’information
afin de pouvoir les prévenir ou les traiter rapidement si
besoin. Il s’agit d’envisager tous les risques afin de prendre en
compte les mesures nécessaires, améliorer la sécurité
générale du système et de l’optimiser.
 C’EST QUOI L’EBIOS?
• EBIOS (Expression des Besoins et Identification des Objectifs
de Sécurité) est une méthode française de gestion des risques
conçue en 1995 par l’ANSSI :
– Agence nationale de la sécurité des systèmes d’information.
• Il s’agit d’une méthode de gestion des risques liés à la sécurité
des systèmes d’information.
 C’EST QUOI L’EBIOS?
• Elle s’appuie sur des normes internationales telles que l’ISO
27001, l’ISO 27002, et aussi sur les lignes directrices de l’OCDE
(Organisation de Coopération et de Développement
Économiques).
• Elle consiste à formaliser les besoins de sécurité et les
menaces, et permet de déterminer les risques pesant sur les
périmètres à auditer.
LES ÉTAPES D’EBIOS
 ÉTUDE DU CONTEXTE
Les objectifs de cette étude sont:
• D’identifier d’une façon globale le système-cible et de le
situer dans son environnement .
• Préciser pour le système les enjeux, le contexte de son
utilisation, les missions ou services qu'il doit rendre et les
moyens utilisés.
• Réunir les informations nécessaires à la planification de
l’étude.
 ÉTUDE DU CONTEXTE
À l'issue de cette étape:
• Le champ d'investigation de l'étude est donc clairement
décrit, ainsi que l'ensemble des paramètres à prendre en
compte dans les autres étapes.
L’étape se divise en 3 principales activités:
 ÉTUDE DU CONTEXTE
Activité 1 : Définir le cadre de la gestion des risques :
Objectif:
• Savoir ce qui est dans le champ de l’étude et ce qui ne l’est pas.
• Disposer des éléments contextuels susceptibles d’orienter les
décisions.
 ÉTUDE DU CONTEXTE
Activité 2: Préparer les métriques :
Objectif:
• Fixer les critères et les échelles de mesure
• Fixer les règles de gestion qui devront être appliquées
 ÉTUDE DU CONTEXTE
Activité 3: Identifier les biens :
Objectif:
• Obtenir la liste des biens essentiels (immatériels)
• Obtenir la liste des biens supports (physiques)
• Obtenir la liste des mesures existantes
ÉTUDE DU CONTEXTE
 ÉTUDES DES ÉVÉNEMENTS REDOUTÉS
L’objectif de cette étape est :
• Obtenir une liste hiérarchisée de ce que craint l’organisme

• À la fin de cette étude, les événements redoutés sont identifiés,

explicités et positionnés les uns par rapport aux autres, en
termes de gravité et de vraisemblance.

Elle comprend une seule activité

 ÉTUDES DES ÉVÉNEMENTS REDOUTÉS
Activité 1:Appréciation des événements redoutés:
Objectif :
• Faire émerger et caractériser les événements liés à la sécurité de
l'information que l'organisme redoute sans étudier la manière
dont ceux-ci peuvent arriver.
 ÉTUDE DES SCÉNARIOS DE MENACES
L’objectif de cette étape est :
• Obtenir une liste hiérarchisée de tous les scénarios possibles.

• Et comme résultat, les scénarios de menaces seront identifiés,

explicités et positionnés les uns par rapport aux autres en
termes de vraisemblance.

Elle a une seule activité

 ÉTUDE DES SCÉNARIOS DE MENACES
Activité 1: Appréciation des scénarios de menaces:
Objectif :
• Identifier les différentes possibilités d'actions sur les biens
supports, afin de disposer d'une liste complète de scénarios de
menaces.
 ÉTUDE DES RISQUES
L’objectif de cette étude est:
• Déterminer les risques qui doivent être couverts par les objectifs
de sécurités de la cible de l’étude et choisir les options de
traitement adéquates.

• À la fin de cette étude, les risques sont appréciés et évalués, et

les choix de traitement effectués.

Elle se divise en 2 activités

 ÉTUDE DES RISQUES
Activité 1: Apprécier les risques :
Objectif:
• Elle a pour but de mettre en évidence et de caractériser les
risques réels pesant sur le périmètre de l'étude.
 ÉTUDE DES RISQUES
Activité 2: Identifier les objectifs de sécurité :
Objectif:
• Son objectif est de choisir la manière dont chaque risque devra
être traité au regard de son évaluation.
 ÉTUDE DES MESURES DE SÉCURITÉS
L’objectif de cette étude est:
• Déterminer les moyens de traiter les risques et de suivre leur
mise en œuvre, en cohérence avec le contexte de l'étude.

Elle se divise en 2 activités :

 ÉTUDE DES MESURES DE SÉCURITÉS
Activité 1: les mesures de sécurité à mettre en œuvre :
Objectif:
• Obtenir la liste des mesures de sécurité destinées à traiter les
risques conformément aux objectifs de sécurité .
• Obtenir la liste des risques résiduels.
 ÉTUDE DES MESURES DE SÉCURITÉS
Activité 2: Mettre en œuvre les mesures de sécurité :
Objectif:
• Disposer d’un plan d’action
• Pouvoir décider de valider la manière dont les risques ont été
gérés
 EXEMPLE
• Un adolescent de 15 ans « pirate » le système informatique de
son collège pour améliorer ses notes.
• Un adolescent de quinze ans a en effet été interpellé pour s'être
introduit dans le système informatique de son collège dans le
but de modifier ses résultats scolaires. Dépité de n'avoir pu
atteindre ce but, le collégien a saturé le système informatique en
expédiant plus de 40 000 courriels, manœuvre qui a provoqué
une indisponibilité pendant quatre jours.
EXEMPLE
 AVANTAGES ET INCONVÉNIENTS
Les avantages :
• Une démarche adaptative : la méthode EBIOS peut être adaptée
au contexte de chacun et ajustée à ses outils et habitudes
méthodologiques grâce à une certaine flexibilité.
• Une approche exhaustive : contrairement aux approches
d'analyse des risques par catalogue de scénarios prédéfinis , la
démarche structurée de la méthode EBIOS permet d'identifier et
de combiner les éléments constitutifs des risques.
• Une méthode optimisée : la durée d'une étude EBIOS est
optimisée, car elle permet d'obtenir les éléments nécessaires et
suffisants selon le résultat attendu.
 AVANTAGES ET INCONVÉNIENTS
Inconvénients d’EBIOS
• Pas de recommandations sécuritaires
• Pas de méthode d’audit/évaluation
• Validation interne
– Oublis potentiels
– Risque d’évaluation incorrecte des risques
• Pistes complémentaires
– Possibilité de faire appel à un prestataire
– Utilisation avec des recommandations externes
• ISO 27002
• OWASP…
• Audit externe par société de sécurité
• Permet de garantir la fiabilité des résultats
 Conclusion
• EBIOS est la méthode de gestion des risques de l'ANSSI.
Opérationnelle, modulaire et alignée avec les normes.
• EBIOS est une boîte à outils à usage variable.
• EBIOS est une application souple.
• EBIOS contient les re-bouclages nécessaires.
• EBIOS ne protège pas des risques, elle permet d’en faire prendre
conscience aux décideurs.