identification des objectifs de sécurité INTRODUCTION • Chaque système d’information gère une grande quantité de données dont certaines peuvent être confidentielles et réservée a un usage restreint. • Ceci implique de trouver un moyen fiable afin de sécuriser ces données. • Chaque système obéit a des objectifs et des exigences spécifiques. C’EST QUOI UN RISQUE ? • C’est un scénario qui combine un événement redouté (la combinaison des sources de menaces, bien essentiel, critère de sécurité, besoin de sécurité, impacts potentiels) et un ou plusieurs scénarios de menaces (la combinaison des sources de menaces, bien support, critère de sécurité, menaces, vulnérabilités). • On estime son niveau par sa gravité (hauteur des impacts) et sa vraisemblance (possibilité qu'il se réalise). COMMENT GÉRER LES RISQUES ? • La gestion du risque en informatique consiste à analyser les dangers potentiels qui pèsent sur un système d’information afin de pouvoir les prévenir ou les traiter rapidement si besoin. Il s’agit d’envisager tous les risques afin de prendre en compte les mesures nécessaires, améliorer la sécurité générale du système et de l’optimiser. C’EST QUOI L’EBIOS? • EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode française de gestion des risques conçue en 1995 par l’ANSSI : – Agence nationale de la sécurité des systèmes d’information. • Il s’agit d’une méthode de gestion des risques liés à la sécurité des systèmes d’information. C’EST QUOI L’EBIOS? • Elle s’appuie sur des normes internationales telles que l’ISO 27001, l’ISO 27002, et aussi sur les lignes directrices de l’OCDE (Organisation de Coopération et de Développement Économiques). • Elle consiste à formaliser les besoins de sécurité et les menaces, et permet de déterminer les risques pesant sur les périmètres à auditer. LES ÉTAPES D’EBIOS ÉTUDE DU CONTEXTE Les objectifs de cette étude sont: • D’identifier d’une façon globale le système-cible et de le situer dans son environnement . • Préciser pour le système les enjeux, le contexte de son utilisation, les missions ou services qu'il doit rendre et les moyens utilisés. • Réunir les informations nécessaires à la planification de l’étude. ÉTUDE DU CONTEXTE À l'issue de cette étape: • Le champ d'investigation de l'étude est donc clairement décrit, ainsi que l'ensemble des paramètres à prendre en compte dans les autres étapes. L’étape se divise en 3 principales activités: ÉTUDE DU CONTEXTE Activité 1 : Définir le cadre de la gestion des risques : Objectif: • Savoir ce qui est dans le champ de l’étude et ce qui ne l’est pas. • Disposer des éléments contextuels susceptibles d’orienter les décisions. ÉTUDE DU CONTEXTE Activité 2: Préparer les métriques : Objectif: • Fixer les critères et les échelles de mesure • Fixer les règles de gestion qui devront être appliquées ÉTUDE DU CONTEXTE Activité 3: Identifier les biens : Objectif: • Obtenir la liste des biens essentiels (immatériels) • Obtenir la liste des biens supports (physiques) • Obtenir la liste des mesures existantes ÉTUDE DU CONTEXTE ÉTUDES DES ÉVÉNEMENTS REDOUTÉS L’objectif de cette étape est : • Obtenir une liste hiérarchisée de ce que craint l’organisme
• À la fin de cette étude, les événements redoutés sont identifiés,
explicités et positionnés les uns par rapport aux autres, en termes de gravité et de vraisemblance.
Elle comprend une seule activité
ÉTUDES DES ÉVÉNEMENTS REDOUTÉS Activité 1:Appréciation des événements redoutés: Objectif : • Faire émerger et caractériser les événements liés à la sécurité de l'information que l'organisme redoute sans étudier la manière dont ceux-ci peuvent arriver. ÉTUDE DES SCÉNARIOS DE MENACES L’objectif de cette étape est : • Obtenir une liste hiérarchisée de tous les scénarios possibles.
• Et comme résultat, les scénarios de menaces seront identifiés,
explicités et positionnés les uns par rapport aux autres en termes de vraisemblance.
Elle a une seule activité
ÉTUDE DES SCÉNARIOS DE MENACES Activité 1: Appréciation des scénarios de menaces: Objectif : • Identifier les différentes possibilités d'actions sur les biens supports, afin de disposer d'une liste complète de scénarios de menaces. ÉTUDE DES RISQUES L’objectif de cette étude est: • Déterminer les risques qui doivent être couverts par les objectifs de sécurités de la cible de l’étude et choisir les options de traitement adéquates.
• À la fin de cette étude, les risques sont appréciés et évalués, et
les choix de traitement effectués.
Elle se divise en 2 activités
ÉTUDE DES RISQUES Activité 1: Apprécier les risques : Objectif: • Elle a pour but de mettre en évidence et de caractériser les risques réels pesant sur le périmètre de l'étude. ÉTUDE DES RISQUES Activité 2: Identifier les objectifs de sécurité : Objectif: • Son objectif est de choisir la manière dont chaque risque devra être traité au regard de son évaluation. ÉTUDE DES MESURES DE SÉCURITÉS L’objectif de cette étude est: • Déterminer les moyens de traiter les risques et de suivre leur mise en œuvre, en cohérence avec le contexte de l'étude.
Elle se divise en 2 activités :
ÉTUDE DES MESURES DE SÉCURITÉS Activité 1: les mesures de sécurité à mettre en œuvre : Objectif: • Obtenir la liste des mesures de sécurité destinées à traiter les risques conformément aux objectifs de sécurité . • Obtenir la liste des risques résiduels. ÉTUDE DES MESURES DE SÉCURITÉS Activité 2: Mettre en œuvre les mesures de sécurité : Objectif: • Disposer d’un plan d’action • Pouvoir décider de valider la manière dont les risques ont été gérés EXEMPLE • Un adolescent de 15 ans « pirate » le système informatique de son collège pour améliorer ses notes. • Un adolescent de quinze ans a en effet été interpellé pour s'être introduit dans le système informatique de son collège dans le but de modifier ses résultats scolaires. Dépité de n'avoir pu atteindre ce but, le collégien a saturé le système informatique en expédiant plus de 40 000 courriels, manœuvre qui a provoqué une indisponibilité pendant quatre jours. EXEMPLE AVANTAGES ET INCONVÉNIENTS Les avantages : • Une démarche adaptative : la méthode EBIOS peut être adaptée au contexte de chacun et ajustée à ses outils et habitudes méthodologiques grâce à une certaine flexibilité. • Une approche exhaustive : contrairement aux approches d'analyse des risques par catalogue de scénarios prédéfinis , la démarche structurée de la méthode EBIOS permet d'identifier et de combiner les éléments constitutifs des risques. • Une méthode optimisée : la durée d'une étude EBIOS est optimisée, car elle permet d'obtenir les éléments nécessaires et suffisants selon le résultat attendu. AVANTAGES ET INCONVÉNIENTS Inconvénients d’EBIOS • Pas de recommandations sécuritaires • Pas de méthode d’audit/évaluation • Validation interne – Oublis potentiels – Risque d’évaluation incorrecte des risques • Pistes complémentaires – Possibilité de faire appel à un prestataire – Utilisation avec des recommandations externes • ISO 27002 • OWASP… • Audit externe par société de sécurité • Permet de garantir la fiabilité des résultats Conclusion • EBIOS est la méthode de gestion des risques de l'ANSSI. Opérationnelle, modulaire et alignée avec les normes. • EBIOS est une boîte à outils à usage variable. • EBIOS est une application souple. • EBIOS contient les re-bouclages nécessaires. • EBIOS ne protège pas des risques, elle permet d’en faire prendre conscience aux décideurs.
Metasploit pour débutant : le guide du débutant pour bypasser les antivirus, contourner les pare-feu et exploiter des machines avec le puissant framework Metasploit.