Expression des besoins et identification des objectifs de sécurité 1

Expression des besoins et identification des

objectifs de sécurité
Cet article est une ébauche concernant la sécurité informatique.
Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

La méthode EBIOS est une méthode d'évaluation des risques en

informatique, développée par l'Agence nationale de la sécurité des
systèmes d'information (ANSSI).
Elle permet d'apprécier les risques Sécurité des systèmes d'information
(entités et vulnérabilités, méthodes d’attaques et éléments menaçants,
éléments essentiels et besoins de sécurité...), de contribuer à leur
traitement en spécifiant les exigences de sécurité à mettre en place, de
préparer l'ensemble du dossier de sécurité nécessaire à l'acceptation des
risques et de fournir les éléments utiles à la communication relative
aux risques. Elle est compatible avec les normes ISO 13335 (GMITS),
ISO 15408 (critères communs) et ISO 17799.

Schéma synthétique de la méthode

Utilisateurs
EBIOS est largement utilisée dans le secteur public (l'ensemble des ministères et des organismes sous tutelle), dans
le secteur privé (cabinets de conseil, petites et grandes entreprises), en France et à l'étranger (Union européenne,
Québec, Belgique, Tunisie, Luxembourg…), par de nombreux organismes en tant qu'utilisateurs ou bénéficiaires
d'analyses de risques SSI.

Étapes de la démarche
EBIOS fournit une méthode permettant de construire une politique de sécurité en fonction d'une analyse des risques
qui repose sur le contexte de l'entreprise et des vulnérabilités liées à son SI. La démarche est donc commune à tous,
mais les résultats de chaque étape sont personnalisés.

Étude du contexte
Cette étape essentielle a pour objectif d'identifier globalement le système-cible et de le situer dans son
environnement. Elle permet notamment de préciser pour le système les enjeux, le contexte de son utilisation, les
missions ou services qu'il doit rendre et les moyens utilisés.
L'étape se divise en trois activités:
• Étude de l'organisme : cette activité consiste à définir le cadre de l'étude. Il faut collecter les données concernant
l’organisme et son système d’information.
• Étude du Système Cible : cette activité a pour but de préciser le contexte d'utilisation du système à concevoir ou
existant
• Détermination de la cible de l'étude de sécurité : cette activité a pour but de déterminer les entités sur lesquelles
vont reposer les éléments essentiels du système-cible.
Expression des besoins et identification des objectifs de sécurité 2

Expression des besoins

Cette étape contribue à l'estimation des risques et à la définition des critères de risques. Elle permet aux utilisateurs
du système d'exprimer leurs besoins en matière de sécurité pour les fonctions et informations qu'ils manipulent. Ces
besoins de sécurité s'expriment selon différents critères de sécurité tels que la disponibilité, l'intégrité et la
confidentialité. L’expression des besoins repose sur l'élaboration et l'utilisation d'une échelle de besoins et la mise en
évidence des impacts inacceptables pour l'organisme.
L'étape se divise en deux activités :
• Réalisation des fiches de besoins : cette activité a pour but de créer les tableaux nécessaires à l'expression des
besoins de sécurité par les utilisateurs
• Synthèse des besoins de sécurité : Cette activité a pour but d'attribuer à chaque élément essentiel des besoins de
sécurité.

Étude des menaces

Cette étape consiste en un recensement des scénarios pouvant porter atteinte aux composants du SI. Une menace
peut être caractérisée selon son type (naturel, humain ou environnemental) et/ou selon sa cause (accidentelle ou
délibérée).
Ces menaces sont formalisées en identifiant leurs composants : les méthodes d'attaque auxquelles l'organisme est
exposé, les éléments menaçants qui peuvent les employer, les vulnérabilités exploitables sur les entités du système et
leur niveau.
• Étude des origines des menaces : Cette activité correspond à l'identification des sources dans le processus de
gestion des risques
• Étude des vulnérabilités : Cette activité a pour objet la détermination des vulnérabilités spécifiques du
système-cible.
• Formalisation des menaces : À l'issue de cette activité, il sera possible de disposer d'une vision objective des
menaces pesant sur le système-cible

Identification des objectifs de sécurité

Un élément menaçant peut affecter des éléments essentiels en exploitant les vulnérabilités des entités sur lesquelles
ils reposent avec une méthode d’attaque particulière. Les objectifs de sécurité consistent à couvrir les vulnérabilités.
• Confrontation des menaces aux besoins de sécurité : cette confrontation permet de retenir et hiérarchiser les
risques qui sont véritablement susceptibles de porter atteinte aux éléments essentiels
• Formalisation des objectifs de sécurité : Cette activité a pour but de déterminer les objectifs de sécurité permettant
de couvrir les risques
• Détermination des niveaux de sécurité : Cette activité sert à déterminer le niveau de résistance adéquat pour les
objectifs de sécurité. Elle permet également de choisir le niveau des exigences de sécurité d'assurance.
Expression des besoins et identification des objectifs de sécurité 3

Détermination des exigences de sécurité

L’équipe de mise en œuvre de la démarche doit spécifier les fonctionnalités de sécurité attendues. L’équipe chargée
de la mise en œuvre de la démarche doit alors démontrer la parfaite couverture des objectifs de sécurité par les
exigences fonctionnelles et les exigences d’assurance.

Outils

Le logiciel libre
Il permet de consigner l'ensemble des résultats d'une étude et de produire les documents de synthèse nécessaires. Il
est gratuit et disponible sur demande ou en téléchargement

La formation
Le CFSSI (centre de formation de l'ANSSI) organise des stages de formation à la méthode EBIOS pour le secteur
public français. La formation en ligne sur la gestion des risques est en cours de réalisation.
L'ANSSI propose également une formation de formateurs afin de transférer les connaissances et d'éviter les
éventuelles dérives dans la diffusion et l’emploi de la méthode.

Le Club EBIOS
Le club des grands utilisateurs de la méthode EBIOS a été créé en 2003 afin de réunir une communauté d'experts, de
partager des expériences et d'améliorer la méthode et ses outils.

Avantages et Inconvénients

Avantages
• Une méthode claire : elle définit clairement les acteurs,leurs rôles et les interactions.
• Une approche exhaustive : contrairement aux approches d'analyse des risques par scénarios, la démarche
structurée de la méthode EBIOS permet d'identifier les éléments constitutifs des risques.
• Une démarche adaptative : la méthode EBIOS peut être adaptée au contexte de chacun et ajustée à ses outils et
habitudes méthodologiques grâce à une certaine flexibilité.

Inconvénients
• La méthode EBIOS ne fournit pas de recommandations ni de solutions immédiates aux problèmes de sécurité.
• Il n'y a pas d’audit et d'évaluation de la méthode.

Liens externes
• Méthode EBIOS sur le site officiel de l'ANSSI [1]
• ANSSI - La plaquette de la méthode EBIOS [2]
• Sécurité info EBIOS [3]

• Portail de la sécurité informatique

• Portail de la sécurité de l’information
Expression des besoins et identification des objectifs de sécurité 4

Références
[1] http:/ / www. ssi. gouv. fr/ site_article45. html
[2] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ ebiosv2-methode-plaquette-2003-09-01. pdf
[3] http:/ / www. securiteinfo. com/ conseils/ ebios. shtml
Sources et contributeurs de l’article 5

Sources et contributeurs de l’article

Expression des besoins et identification des objectifs de sécurité Source: http://fr.wikipedia.org/w/index.php?oldid=98219201 Contributeurs: Askywhale, Badmood, CCAMone, EBIOS,
FrancoisT, Hercule, JLM, JeanBono, Laurent-cyril.vedel, Lomita, Mesrine, Pautard, Savril, Sylvainm86, T, Tieno, Tucsouffle, 8 modifications anonymes

Source des images, licences et contributeurs

Image: Nuvola apps kgpg.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Nuvola_apps_kgpg.png Licence: inconnu Contributeurs: AVRS, Alphax, Bobarino, CyberSkull,
Erri4a, It Is Me Here, Rjd0060, Rocket000, Toothy7465
File:Schema methode EBIOS.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Schema_methode_EBIOS.jpg Licence: Creative Commons Attribution-Share Alike Contributeurs:
fr:Utilisateur:Tieno
Fichier:Nuvola apps kgpg.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Nuvola_apps_kgpg.png Licence: inconnu Contributeurs: AVRS, Alphax, Bobarino, CyberSkull,
Erri4a, It Is Me Here, Rjd0060, Rocket000, Toothy7465
Fichier:Logo securite informatique.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Logo_securite_informatique.png Licence: Public Domain Contributeurs: Romainhk

Licence
Creative Commons Attribution-Share Alike 3.0
//creativecommons.org/licenses/by-sa/3.0/