6pages sécu47-int 2/12/03 9:19 Page 1

S É C U R I T É I N F O R M AT I Q U E
numéro 47 décembre 2003
T I O N
S D ’ I N F O R M A
D E S S Y S T È M E
S É C U R I T É

Vers une culture raisonnée EBIOS,

de la sécurité
Loïc Bournon
Chef du bureau Conseil de la DCSSI
La sécurité des systèmes d’infor-
mation (SI) est en pleine muta-
tion. Le besoin n’est plus simple-
ment de défendre, mais davantage
d’offrir de nouveaux services.
Passant du statut de coût à celui
de valeur ajoutée, la sécurité doit
devenir une facilité.
Pour autant, le métier n’est pas plus
facile à exercer ! Porter un projet
de sécurisation, d’un système d’in-
éd i t o r i a l formation ou de services, est
aujourd’hui un véritable défi. Cela
demande à la fois une expertise technique des outils, un goût pour la dynamique
de groupe ainsi que pour la conduite du changement et de plus en plus une sen-
sibilité aux contraintes des modèles économiques. Le projet terminé, l’acceptation
de ses nouveaux services sécurisés par les usagers n’est pas pour autant acquise.
L’Organisation de Coopération et de Développement Économiques (OCDE)
a édité en 1992 un texte, révisé en 2002, qui dessine une culture de la sécurité
des systèmes. Sa portée vise les laboratoires de recherche, les administrations
comme les entreprises, dans un contexte de réseaux interconnectés, de déve-
loppement rapide des technologies et d’évolution des données en termes de
type, de volume ou de sensibilité. Neuf principes complémentaires sont à rete-
nir et à considérer comme un tout : les valeurs démocratiques, l’éthique, la sen-
sibilisation, la responsabilité, l’évaluation des risques, la proportionnalité des
mesures, la gestion et la réévaluation des risques et la réaction.
Les valeurs des sociétés démocratiques s’appliquent aux SI, et doivent viser à
préserver un espace de liberté dans des réseaux ouverts interconnectés. Elles
protègent, notamment, la liberté d’échanger des pensées et des idées, la libre
circulation de l’information, la confidentialité de l’information et des commu-
nications, la protection adéquate des informations à caractère personnel.
L’éthique invite les acteurs à adopter des pratiques exemplaires et à promou-
voir des comportements qui tiennent compte des impératifs de sécurité tout en
respectant les intérêts légitimes des parties prenantes aux systèmes d’informa-
tion pour mieux en gérer les risques.
La sensibilisation doit éveiller les esprits aux enjeux et menaces. Cette approche
a toutefois montré ses limites et, pour gagner l’adhésion des usagers, il convient
de systématiquement l’associer à une présentation des nouvelles capacités
offertes par les services sécurisés.
La préservation de ces principes confère une dimension supérieure à l’étude de
la sécurité des SI et la replace dans un contexte plus global d’enjeux de socié-
tés. L’approche « ebiossienne» proposée par la DCSSI est une méthode qui
guide les acteurs dans leur appropriation au quotidien de l’ensemble de ces
principes appliqués aux SI.
La confiance ne peut pas se limiter à des effets d’annonce ou à des campagnes
marketing. Elle se construit, se démontre et se gagne, suite page 6
une méthode
de gestion des risques
Créée en 1995 et maintenue par la DCSSI, la
méthode EBIOS (Expression des Besoins et
Identification des Objectifs de Sécurité) repose sur
une expérience éprouvée en matière de conseil en
sécurité des SI et d’assistance à maîtrise d’ouvrage.
Elle participe à la notoriété des outils méthodolo-
giques de la DCSSI et contribue à la reconnaissance
internationale des travaux de sécurité en assurant la
compatibilité avec les normes internationales telles
que l’ISO 13335, l’ISO 15408 (Critères Communs) et
l’ISO 17799. EBIOS est largement utilisée dans le sec-
teur public (l’ensemble des ministères et des orga-
nismes sous tutelle), dans le secteur privé (cabinets
de conseil, petites et grandes entreprises), en France
et à l’étranger (Union européenne, Québec, Belgique,
Tunisie, Luxembourg…). Sa diffusion est gratuite sur
le site web de la DCSSI (http://www.ssi.gouv.fr).
Matthieu Grall et Alain Gallet, de la DCSSI ont bien
voulu répondre à nos questions.
Robert Longeon: M. Matthieu Grall, vous travaillez au bureau
Conseil de la DCSSI qui, entre autres, aide les administrations
à mieux appréhender la sécurité de leur système d’informa-
tion. Pourquoi ont-elles besoin d’une aide, l’essentiel n’est-il
pas d’appliquer quelques règles simples, de sensibiliser les
utilisateurs et de configurer correctement ses machines ?
Matthieu Grall: Cela serait vrai si nous avions tous les mêmes infor-
mations à protéger avec le même niveau de sécurité, dans le
même environnement et avec les mêmes contraintes. Cela n’est
évidemment pas le cas: la sécurité dont nous avons besoin n’est
ni celle de notre voisin, ni encore une hypothétique sécurité abso-
lue qui demanderait des ressources disproportionnées. C’est donc
parce que nous avons tous des besoins spécifiques de sécurité
qu’il nous faut faire une étude pour les mettre en évidence. Bien
sûr, appliquer des règles, sensibiliser les utilisateurs, savoir configurer
ses machines, est déjà un bon début. En cas d’incident de sécu-
rité, quels plans d’alerte, de maintien de l’activité ou de reprise,
avez-vous prévu ? L’approche méthodique de la sécurité, c’est
réfléchir raisonnablement, « à froid», à toutes ces questions afin de
savoir les gérer en situation de crise, pour établir la confiance
nécessaire aux relations et au commerce ou pour avoir une « cer-
taine assurance » de la qualité de votre système d’information.
Aussi, à la DCSSI, nous avons élaboré la méthode EBIOS, acronyme
pour « Expression des Besoins et suite page 2

CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
6pages sécu47-int 2/12/03 9:19 Page 2

sécurité informatique décembre 2003 - n° 47

suite de la page 1

Identification des Objectifs de Sécurité », qui
est une méthode de gestion des risques de
sécurité des systèmes d’information.
R.L. : La SSI c’est donc d’abord la gestion
des risques qui pèsent sur le système d’in-
formation : quel effort suis-je prêt à
consentir pour me protéger d’un incident
de sécurité (la perte d’un disque dur, une
intrusion dans ma base de données, la
corruption de mon fichier d’interlocu-
teurs, de clients, etc.) compte tenu de la
potentialité et de l’impact de la
menace ? Mais une étude des risques
n’est-elle pas aussi l’occasion de sensibili-
ser les acteurs, le personnel, la hiérarchie
– jusqu’au plus haut niveau – en déga-
geant des points forts, en mettant en évi-
dence les menaces, des vulnérabilités, en
produisant des documents faisant le
point sur l’existant, etc. ?
M. G. : La méthode EBIOS permet en effet
d’apprécier les risques SSI avec une
approche par construction de ceux-ci, de
faciliter leur traitement et d’en consigner les
résultats, et de contribuer à la communication
relative aux risques par une mise en œuvre
participative.
En fournissant les justifications nécessaires à la
prise de décision (descriptions précises, enjeux
stratégiques, risques détaillés avec leur impact
sur l’organisme, objectifs et exigences de
sécurité explicites), EBIOS est un véritable
outil de négociation et d’arbitrage. EBIOS
permet de sensibiliser les parties prenantes
d’un projet (direction générale, financière, juri-
dique ou des ressources humaines, maîtrise
d’ouvrage, maîtrise d’œuvre, utilisateurs),
d’impliquer les acteurs du système d’informa-
tion (SI) et de partager le vocabulaire.
R. L.: Quels sont donc les domaines d’ap-
plication d’EBIOS ?
M. G. : EBIOS peut être utilisée pour de nom-
breuses démarches de sécurité, telles que
l’élaboration de schémas directeurs, de poli-
tiques de sécurité, de tableaux de bord SSI
ou des spécifications de sécurité pour un SI
comme des fiches d’expressions rationnelles
des objectifs de sécurité (FEROS), des profils
de protections ou des cibles de sécurité (au
sens de l’ISO 15408) et des plans d’actions. La
méthode peut être utilisée autant pour étudier
des systèmes à concevoir que des systèmes
existants. Dans le premier cas, elle permet de
déterminer progressivement les spécifications
de sécurité en s’intégrant à la gestion de pro-
jets. Dans le second cas, elle prend en compte
les mesures de sécurité existantes et intègre la
sécurité à des systèmes en exploitation.
R. L. : La critique généralement faite aux
méthodes d’étude des systèmes d’infor-
mation est qu’elles sont lourdes, longues,
ésotériques et nécessitent une spécialisa-
tion… qui ne sert qu’une seule fois.
M. G. : Dans le cas concret présenté dans ce
numéro, on voit qu’une analyse des risques
peut être conduite en un mois. Pour cela, il est
avant tout nécessaire d’obtenir l’adhésion de
tous à l’étude. La méthode EBIOS permet la
participation de tous les acteurs au processus.
De plus, la durée de réalisation d’une étude
EBIOS est adaptée au résultat attendu car elle
se limite aux éléments nécessaires et suffisants.
Conduire une analyse de risques demande un
minimum de formation et de compréhension
des concepts. Comme suite page 3

La démarche de la méthode EBIOS se décompose en cinq étapes

1. Étude du contexte. À l’issue de la première étape, l’environnement, le but
et le fonctionnement du SI sont connus, les éléments essentiels (informa-
tions, fonctions ou processus) et les entités (matériels, logiciels, réseaux,
sites, personnels et organisations) sur lesquelles ils reposent sont identifiés.
2. Expression des besoins. La seconde étape permet de formaliser les impacts
et les besoins de sécurité des éléments essentiels en termes de disponibilité,
d’intégrité, de confidentialité…
3. Étude des menaces. La troisième étape consiste à recenser et décrire les
menaces pesant sur le système. Pour ce faire, on étudie les méthodes d’at-
taque et les éléments menaçants susceptibles de les utiliser, les vulnérabilités
exploitables et leurs opportunités.
4. Identification des objectifs de sécurité. La quatrième étape permet de for-
maliser les risques réels pesant sur le SI en confrontant les menaces (événe-
ments négatifs) aux besoins de sécurité (conséquences). Ils sont couverts par
des objectifs de sécurité, qui constituent le cahier des charges de sécurité.
5. Détermination des exigences de sécurité. La cinquième et dernière étape
spécifie les exigences fonctionnelles permettant de réaliser les objectifs de
sécurité et les exigences d’assurance permettant d’augmenter la confiance
envers leur réalisation.
Synoptique général de la démarche EBIOS
Etude du contexte
Expression des Etude des
besoins de sécurité menaces
Identification des
objectifs de sécurité
Détermination
des exigences
de sécurité
EBIOS dispose d’un ensemble d’outils et de services aidant à sa mise en œuvre.
Le logiciel libre d’assistance à l’utilisation de la méthode est disponible sur
simple demande auprès de la DCSSI (ebios.dcssi@sgdn.pm.gouv.fr).
● Les bases de connaissances d’EBIOS présentent et décrivent des types d’en-
tités, des méthodes d’attaques, des vulnérabilités, des objectifs de sécurité et
des exigences de sécurité. Elles sont directement applicables à la plupart des
secteurs, mais chacun peut aisément se les approprier et les adapter à son
contexte particulier.
● Les formations à la méthode EBIOS, ainsi que les formations de forma-
teurs, dispensées régulièrement au centre de formation de la DCSSI.
● Les meilleures pratiques EBIOS décrivent comment exploiter les résultats
de l’étude du système d’information dans le cadre de différentes approches de
la sécurité :
– élaboration de schémas directeurs SSI,
– élaboration de politiques SSI,
– élaboration de politiques de certification,
– rédaction de FEROS (Fiches d’Expression Rationnelle des Objectifs de
Sécurité),
– rédaction de profils de protection,
– rédaction de cibles de sécurité,
– rédaction de SSRS (System-specific Security Requirement Statement,
OTAN),
– comparaison entre l’étude de systèmes à concevoir et l’étude de systèmes
existants…
● Le club EBIOS permet de réunir régulièrement une communauté d’utilisa-
teurs soucieux de contribuer au développement de la méthode et de disposer
des dernières informations à son sujet.
Tous ces avantages font de la méthode EBIOS un outil opérationnel pour
gérer les risques SSI selon une approche globale et structurée. ■

2
6pages sécu47-int 2/12/03 9:19 Page 3
sécurité informatique
suite de la page 2
toute méthode elle demande un effort et des
ressources mais les résultats obtenus sont bien
entendu réutilisables ; ils constituent en
quelque sorte une base de connaissances
dédiée à la sécurité de l’organisme.
La démarche structurée de la méthode EBIOS
permet d’identifier les éléments constitutifs
des risques (vulnérabilités, méthodes d’at-
taques et éléments menaçants, besoins de
sécurité…). Cette construction méthodique
garantit l’exhaustivité de l’analyse des
risques. EBIOS favorise la pérennité des ana-
lyses de risques et la cohérence globale de la
SSI. En effet, l’étude spécifique d’un système
repose sur l’étude globale de l’organisme ;
une étude peut être régulièrement remise à
jour afin de gérer les risques de manière conti-
nue ; l’étude d’un système comparable peut
aussi être utilisée comme une référence.
La méthode EBIOS peut être adaptée au
contexte de chacun et ajustée à ses outils et
habitudes méthodologiques, tout en respec-
tant la philosophie générale de la démarche.
Sa flexibilité en fait une véritable boîte à
outils pour les acteurs de la SSI. Ainsi, EBIOS
permet de réaliser une étude globale du sys-
tème d’information complet d’un organisme,
mais également de réaliser une étude
détaillée d’un système particulier (site web,
messagerie, gestion des concours…). Il est
aussi possible de n’employer que certaines
parties de la démarche lorsqu’on réalise, par
exemple, une analyse de vulnérabilités ou un
recueil d’éléments stratégiques.
R. L.: Une méthode doit évoluer en fonction
de son environnement ; quelles actions
avez-vous conduites dans ce sens ?
M. G. : Depuis trois ans, alors qu’EBIOS est en
plein essor, une veille permanente et une
étude comparative des méthodes d’analyse
des risques SSI nous ont permis de révéler les
points d’améliorations possibles. Ainsi, la
seconde version de la méthode en cours de
finalisation converge vers les normes interna-
tionales (ISO/IEC 13335, ISO/IEC 15408…) et
devient une véritable méthode de gestion
des risques SSI.
R. L. : EBIOS n’était-elle pas un outil destiné
aux organismes liés à la défense ?
M. G.: À l’origine, EBIOS fut en effet créée dans
le but de rédiger des Fiches d’Expression
Rationnelle des Objectifs de Sécurité (FEROS),
documents couramment utilisés dans certains
ministères comme celui de la Défense. Ces der-
nières années,la pratique a néanmoins démon-
tré qu’EBIOS permet de réaliser bien d’autres
formes de spécifications SSI ou de documents
cadres, comme par exemple des schémas
directeurs et des politiques de sécurité.
décembre 2003 - n° 47
R. L. : Pourriez-vous me donner des
exemples d’utilisation d’EBIOS ?
M. G.: Mais bien entendu ! Il me vient à l’esprit
le Conseil de l’Union Européenne qui a
conduit des analyses de risques avec EBIOS
dans le but de sécuriser ses réseaux, ou
encore la sphère santé en France pour de
nombreux projets. Plus proche de l’actualité,
les radars automatiques installés dernièrement
sur les routes de France ont bénéficié d’une
analyse des risques avec EBIOS avant d’être
déployés. Dans un autre registre, les bracelets
électroniques permettant à certains détenus
d’être placés à leur domicile ont fait l’objet
d’une analyse EBIOS pour les aspects SSI.
R. L. : Quels sont les services offerts par la
DCSSI concernant EBIOS ?
M. G.: Le bureau conseil de la DCSSI a un rôle
d’assistance à maîtrise d’ouvrage au profit
des administrations. Selon les cas, il peut
accompagner vos équipes, suivre les travaux
d’un prestataire externe ou réaliser les études
EBIOS quand les autres solutions ne sont pas
envisageables. Cette assistance s’inscrit dans
un cadre plus général, en lien avec les autres
bureaux de la DCSSI, comme le bureau audit,
le CERTA ou encore le Laboratoire de crypto-
logie.
On note aussi que, depuis trois ans, 600 cédé-
roms du logiciel d’assistance à la méthode
EBIOS ont été demandés et livrés, près de 200
personnels des administrations ont été formés
à cette méthode au Centre de formation de
la sécurité des systèmes d’information (CFSSI)
de la DCSSI. Depuis cette année, le Club EBIOS
réunit tous les deux mois 20 experts contri-
buant au développement de la méthode, et
la formation de formateurs est lancée.
∞ risques a montré, du fait du nombre important
Robert Longeon : Monsieur Alain Gallet,
vous travaillez aussi au Bureau Conseil de
la DCSSI. Pouvez-vous nous présenter par
un cas concret montrant comment s’ins-
crit une démarche d’analyse des risques
dans un projet global d’organisme ?
Alain Gallet : Je vais prendre l’exemple d’un
organisme qui avait à réaliser des études sta-
tistiques sur des dossiers médicaux en prove-
nance d’un grand nombre de partenaires.
Pour préserver le secret médical et la vie pri-
vée des patients concernés par l’étude, l’ano-
nymisation de ces dossiers était nécessaire.
D’autre part, la nécessité de pouvoir faire évo-
luer dans les temps les dossiers médicaux
interdisait une anonymisation totale et impli-
quait donc la mise en place de fonctions à
sens unique (de type fonction de hachage). À
partir de cet unique aspect fonctionnel et
technique, un outil informatique avait été
développé.
3
R. L. : Qu’est-ce qui a motivé la mise en
œuvre d’une analyse des risques ?
A. G.: L’utilisation de cet outil a mis à jour des
vulnérabilités sur son fonctionnement (dans les
aspects organisationnels et techniques: il était
possible de retrouver une clé secrète, d’effec-
tuer des attaques par dictionnaire…). C’est
pour cela qu’il fut alors décidé d’analyser plus
profondément les risques pesant sur ce sys-
tème d’information.
La réalisation d’une analyse des risques liés au
système fit rapidement apparaître que le pro-
blème ne devait pas être appréhendé uni-
quement du point de vue technique mais que
l’ensemble des acteurs de l’organisme
étaient impliqués dans ce processus.
R. L. : …Et quelles sont les personnes qui
ont été associées à ce processus ?
A. G.: Cette analyse des risques, menée en uti-
lisant la méthode EBIOS, a impliqué toutes les
composantes de l’organisme : chercheurs,
ingénieurs, personnels techniques et adminis-
tratifs, direction. Il était très important d’asso-
cier à la fois les personnels qui ont sur le sys-
tème un regard technique (Comment
construire cet outil ? Comment l’admi-
nistrer ?) et les utilisateurs ayant un regard
pratique (Comment utiliser cet outil ? Quelles
sont les informations sensibles ?).
R. L.: Quels ont été les premiers enseigne-
ments de cette étude ?
A. G.: Il est apparu que gérer les risques liés à
l’application n’était pas suffisant et qu’il
convenait d’augmenter la maturité de l’orga-
nisme pour qu’il soit à même de gérer des
données sensibles.
Du strict point de vue technique, l’analyse des
d’acteurs extérieurs impliqués dans le proces-
sus, qu’il était nécessaire de remanier l’archi-
tecture du processus de protection des don-
nées et d’évaluer, par le biais d’une cotation
cryptographique, le code préalablement à sa
mise en service. Au niveau de l’environne-
ment du système, de nombreux objectifs de
sécurité ont été exprimés comme la définition
de zones plus sécurisées au sein de l’orga-
nisme, une réorganisation de l’architecture de
son SI, mais également une meilleure organi-
sation du circuit courrier et la création d’un
poste d’administrateur de la sécurité.
R. L.: Une fois l’étude réalisée, quelles sont
les étapes suivantes ?
A. G.: Les résultats ont été repris dans le cadre
d’une politique de sécurité. Celle-ci a rapide-
ment été distribuée à tout l’organisme. Les dif-
férentes étapes de l’analyse des risques et la
politique de sécurité ont suite page 4
6pages sécu47-int 2/12/03 9:19 Page 4

sécurité informatique décembre 2003 - n° 47

suite de la page 3

été exposées lors de comité d’homologation
aux partenaires de l’organisme ainsi qu’au
milieu associatif, sans oublier la CNIL. Cette
clarté sur les objectifs de l’organisme a permis
de désamorcer une situation qui avait été ten-
due en de maintes occasions antérieurement
à l’analyse des risques entre l’organisme et cer-
taines associations.
R. L. : Ce travail a-t-il été « gourmand » en
termes de ressources humaines ?
A. G.: Jugez vous-même : l’analyse des risques
a duré un mois, et de même pour la rédaction
de la politique de sécurité et la spécification
technique de la sécurité de la chaîne logi-
cielle.
R. L. : En conclusion, pouvez citer un point
particulier qui a permis la réussite de ce
projet ?
A. G. : Le chef de projet a pu dès le début
associer sa direction aux études menées (la
direction a été impliquée au même titre que
les autres acteurs, à la définition des risques
pesant sur le système). Cela a permis une vali-
dation rapide de la politique de sécurité (infé-
rieure à un mois) et d’obtenir le budget pour
la création d’un poste d’administrateur de la
sécurité ainsi que pour l’achat de développe-
ments et de matériels.
R. L. : Ainsi, EBIOS donne les moyens de
faire comprendre aux directions géné-
rales qu’il peut exister un retour sur inves-
tissement de la sécurité.
Tout le monde convient qu’une approche
méthodologique est nécessaire en SSI car
c’est la seule manière d’appréhender globa-
lement son système d’information. Ceci per-
met d’analyser correctement où, pourquoi et
comment renforcer la sécurité.
Pourtant, certains hésitent encore devant
l’obstacle que représente l’apprentissage
d’une méthode. Vous nous dites que cette
charge n’est pas démesurée avec EBIOS. En
effet, deux jours de formation à la méthode
au centre de formation de la DCSSI permet-
tent déjà de conduire une vraie étude, même
si l’on ne devient pas encore un expert. De
plus, EBIOS est soutenue par la DCSSI (c’est
l’assurance qu’elle sera pérenne et qu’elle
saura évoluer en fonction des normes interna-
tionales). On peut aussi prendre en main faci-
lement le référentiel EBIOS (guides méthodo-
logiques, meilleures pratiques, logiciel
d’assistance, mémento, plaquettes…) car il
est intégralement disponible en télécharge-
ment sur le site web de la DCSSI. Enfin, le Club
EBIOS contribue grandement à l’amélioration
continue de la méthode et de ses outils.
Matthieu Grall et Alain Gallet
appartiennent au SGDN/DCSSI Bureau Conseil
Courriel : conseil.dcssi@sgdn.pm.gouv.fr

La gestion des risques de sécurité des systèmes d’information

Le principe de l’OCDE relatif à l’évaluation des risques rappelle qu’il convient
de « déterminer un niveau acceptable de risques et des mesures de sécurité
appropriées». Le risque de sécurité des systèmes d’information (SSI) est la
combinaison de l’opportunité d’un élément menaçant exploitant les vulnérabi-
lités du système d’information (SI) par le biais d’une méthode d’attaque don-
née et de son impact sur l’organisme.
Les éléments menaçants peuvent aussi bien être des pirates, des membres du
personnel ou d’autres organismes que l’environnement extérieur. Ils peuvent
avoir une cause accidentelle ou délibérée. Leurs motivations et ressources dis-
ponibles diffèrent selon les cas.
Les vulnérabilités sont des caractéristiques du SI dans sa globalité (logiciels,
matériels, réseaux, personnels, sites, organisations) qui constituent des failles
vis-à-vis de la sécurité.
Les méthodes d’attaque représentent le moyen utilisé pour porter atteinte à la
SSI. Il peut s’agir de sinistres physiques, d’événements naturels, de pertes de
services essentiels, de compromission des informations, de défaillances tech-
niques, d’actions illicites…
L’impact sur l’organisme est composé des conséquences de la réalisation d’un
risque. Dans un premier temps, les informations et fonctions essentielles peuvent
être divulguées, faussées ou rendues indisponibles. À plus ou moins long terme,
ceci peut engendrer par exemple des pertes financières, une atteinte à l’image de
marque, des infractions aux lois ou encore une perte d’avance technique.
La gestion des risques SSI est un processus continu. En effet, pour être effi-
cace, ce processus est régulièrement repris afin de prendre en compte l’évolu-
tion du SI et de son environnement.
Il consiste tout d’abord à apprécier les risques. Cela signifie qu’il convient de
les analyser (exprimer les besoins de sécurité et les menaces pesant sur le SI) et
de les évaluer pour apprécier leur importance.
Ceci permettra de traiter les risques, c’est-à-dire de les réduire à l’aide de mesures
de sécurité, de les transférer (par exemple en sous-traitant des activités) ou de les
accepter consciemment. Cette opération est effectuée en faisant le rapport entre
l’impact sur l’organisme et les moyens à mettre en œuvre pour se protéger.
Enfin, une communication relative aux risques envers les décideurs, les
membres du personnel et les partenaires permet de sensibiliser, d’informer et de
rendre compte.
Le processus continu de gestion des risques SSI
Appréciation du risque
● Analyse du risque
expression des besoins
évaluation de la menace
● Evaluation du risque: apprécier son importance
Traitement du risque Réitération
● Réduction du risque: minimiser le risque du processus
● Transfert du risque: partage des pertes
● Prise de risque: accepter le risque résiduel
Communication relative au risque
● Sensibiliser, informer, rendre compte…
La gestion des risques SSI est applicable non seulement au niveau de l’organisme
dans sa globalité, mais aussi plus finement au sein d’une unité ou d’un laboratoire.
On peut ainsi gérer des risques SSI de manière cohérente aux niveaux de la stratégie
(grandes orientations sur les processus), du pilotage (réflexion plus fine) et des opé-
rations (réflexion détaillée sur les SI et les informations et fonctions manipulées).
Gérer les risques SSI offre de nombreux avantages. Cela permet notamment
d’obtenir une vision objective de sa posture de sécurité, de construire un argu-
mentaire utile à l’arbitrage des dépenses, d’améliorer la SSI de manière adaptée
et de sensibiliser les acteurs du SI (décideurs, maîtrise d’ouvrage, maîtrise
d’œuvre, utilisateurs, partenaires…).
Il existe de nombreux outils contribuant à la gestion des risques SSI. Il n’est pas
nécessaire d’en utiliser, bien qu’il soit préférable de suivre une démarche struc-
turée reposant sur une expérience éprouvée.
C’est essentiellement lors de l’appréciation des risques qu’il est souhaitable de
disposer d’une approche méthodique. Il convient en effet d’élaborer l’argu-
mentaire sur lequel se basera le décideur et donc de fournir les éléments néces-
saires à la prise de décision.
Deux types d’approches se distinguent: par scénarios de risques ou par construc-
tion des risques. Les premières proposent des scénarios types, elles ne sont donc
pas exhaustives mais représentatives. Les secondes permettent de définir les
risques de manière exhaustive et parfaitement adaptée au contexte étudié.
À l’heure actuelle, une des seules méthodes de gestion des risques par construc-
tion des risques est la méthode d’Expression des Besoins et d’Identification des
Objectifs de Sécurité (EBIOS). ■

4
6pages sécu47-int 2/12/03 9:19 Page 5
Élaboration d’une politique
de sécurité des systèmes d’information
L
A Politique de Sécurité des Systèmes d’Information (PSSI) Résumé de la démarche d’élaboration de PSSI
reflète la vision stratégique de la direction de l’organisme
(Administration, laboratoire, PME, PMI, industrie…) en matière
de sécurité des systèmes d’information (SSI).Elle décrit en effet les
éléments stratégiques (enjeux, référentiel, principaux besoins de
sécurité et menaces) et les règles de sécurité applicables à la
protection du système d’information (SI) de l’organisme. Elle doit
être validée par la direction et vise à informer la maîtrise d’ou-
vrage et la maîtrise d’œuvre des enjeux tout en les éclairant sur
les choix en terme de gestion des risques et à susciter la
confiance des utilisateurs et partenaires envers le SI.
Une PSSI globale peut être déclinée en PSSI techniques pour les
départements scientifiques et les laboratoires, en procédures à
mettre en œuvre et en chartes de sécurité. Elle servira aussi de
base à la réalisation des études de sécurité afin de garantir une
cohérence globale.
La PSSI doit être communiquée à l’ensemble des acteurs du SI,
qu’ils soient utilisateurs internes, sous-traitants, prestataires ou stagiaires. Elle 4. La phase 3 permet de finaliser et de valider la PSSI ainsi que son plan
constitue alors un véritable outil de sensibilisation aux risques SSI, à l’organi-
sation SSI et aux moyens disponibles pour s’en prémunir. Par ailleurs, elle aide
l’ensemble des acteurs à prendre conscience de leurs responsabilités.
La PSSI doit être régulièrement révisée afin de prendre en compte les évo-
lutions du contexte (modifications des processus, du SI, des personnels, de
l’organisation) et des risques (réévaluation de la menace, variation des
besoins de sécurité, des contraintes et des enjeux).
Afin de maintenir la cohérence avec la nouvelle version des « lignes direc-
trices régissant la sécurité des systèmes et réseaux d’information – vers une
culture de la sécurité » de l’OCDE, la DCSSI a mis à jour le guide PSI de 1994,
qui est devenu le guide d’élaboration de Politiques de Sécurité des
Systèmes d’Information (PSSI) en 2003.
Le nouveau guide PSSI précise que l’élaboration d’une PSSI requiert une
approche globale, considérant non seulement les domaines techniques
mais aussi les domaines non techniques. Les règles de sécurité seront alors
réalistes et cohérentes pour un périmètre généralement large et un champ
d’application étendu.
Il prévoit la réalisation préalable d’une analyse des risques SSI. Elle permet
de déterminer les éléments stratégiques, de sélectionner les principes de
sécurité à développer (orientations de sécurité nécessaires) et de guider
leur déclinaison en règles de sécurité tout en assurant la cohérence avec
les objectifs de sécurité identifiés.
Le guide propose en outre un plan type pour les PSSI, ce qui améliore l’ho-
mogénéité des PSSI en interne (PSSI globale et PSSI spécifiques) et en
externe (comparaisons avec d’autres organismes).
La démarche du nouveau guide d’élaboration de PSSI est découpée en
quatre phases successives:
1. La phase 0 consiste à organiser le projet PSSI et à constituer le référentiel
(du SI, de la SSI, des aspects juridiques, déontologiques et contractuels).
2. La phase 1 permet de recueillir l’ensemble des éléments stratégiques
(enjeux et orientations stratégiques en matière de SSI, prise en compte des
aspects légaux et réglementaires, échelle de besoins, expression des
besoins de sécurité généraux, éléments menaçants et méthodes d’at-
taque).
3. La phase 2 consiste à choisir les principes de sécurité à prendre en
compte dans le catalogue fourni en annexe et à les décliner en règles
de sécurité sur la base des éléments stratégiques.
sécurité informatique décembre 2003 - n° 47
d’action.
La réalisation préalable d’une analyse des risques SSI à l’aide de la
méthode EBIOS offre plusieurs avantages:
● l’élaboration de la PSSI est facilitée par une démarche structurée qui per-
met d’obtenir l’ensemble des éléments stratégiques et d’élaborer les
règles de sécurité ;
● les différents acteurs (décideurs, responsables SSI, maîtrise d’œuvre, maî-
trise d’ouvrage, acteurs financiers, utilisateurs…) sont sensibilisés à la SSI et
au fait que la sécurité organisationnelle constitue une part importante de
la sécurité globale.
Le recueil d’éléments stratégiques, base de la PSSI, constitue en quelque
sorte une synthèse de l’étude de risques. Il demande une connaissance
approfondie de l’organisme de son environnement, des enjeux, des besoins
et de la menace. Tous ces éléments vont apparaître lors de l’étude EBIOS,
en particulier dans la partie contexte qui traduit l’environnement de
l’étude. L’étude menée permet de saisir la dimension humaine et organisa-
tionnelle de l’organisme, en mettant en évidence les besoins des utilisateurs
et, indépendamment de ces derniers, les méthodes d’attaque propres au
système d’information.
Le choix des principes de sécurité puis leur déclinaison en règles et procé-
dures, étape particulièrement délicate, peuvent être grandement facilités
par l’exploitation des objectifs de sécurité issus d’EBIOS. En effet, le choix des
principes correspond à l’application des objectifs. L’utilisation des objectifs
de sécurité issus d’EBIOS permet d’aider le responsable sécurité dans le
choix des principes à retenir ou à éliminer. Il devient ensuite possible d’ar-
gumenter sur la légitimité des règles et procédures imposées dans la PSSI.
Plus encore, l’abandon d’un principe, pour des raisons financières, organi-
sationnelles ou techniques, permet de mettre en évidence un objectif de
sécurité non atteint ou partiellement atteint. Dans ce cas précis, la
démarche structurée proposée par EBIOS permettra également de déter-
miner le bien visé, les enjeux pour les utilisateurs et leurs besoins quand ils
seront touchés par ce choix.
La première annexe du guide décrit plus de 150 principes de sécurité cou-
vrant les normes internationales (ISO 13335, ISO 15408, ISO 17799) organisés
en 16 domaines :
● principes organisationnels (politique de sécurité, suite page 6
5
6pages sécu47-int 2/12/03 9:19 Page 6

sécurité informatique décembre 2003 - n° 47

suite de la page 5

organisation de la sécurité, gestion des risques SSI, sécurité et cycle de vie,
assurance et certification),
● principes de mise en œuvre (aspects humains, plan de continuité, ges-
tiondes incidents, sensibilisation et formation, exploitation, aspects phy-
siques et environnementaux),
● réglementation nationale et internationale (atteinte aux personnes,
atteinte aux biens, atteinte aux intérêts fondamentaux de la nation, terro-
risme et atteinte à la confiance publique, atteintes à la propriété intellec-
tuelle, cryptologie, signature électronique…),
● lignes directrices de l’OCDE (SSI, cryptographie…),

● principes techniques (identification/authentification, contrôle d’accès ● codes d’éthique,

logique, journalisation, infrastructures de gestion des clés cryptogra- ● critères communs d’évaluation (ISO 15408),

phiques, signaux compromettants). ● guides méthodologiques.

La seconde annexe du guide d’élaboration de PSSI permet de disposer Le nouveau guide PSSI sera bientôt disponible gratuitement sur le site web
d’axes de réflexion et de ne rien omettre quant aux évolutions récentes de de la DCSSI (http://www.ssi.gouv.fr).
la réglementation et des normes : Alain Gallet

Le schéma directeur de sécurité suite de l’éditorial

des systèmes d’information tout au long du projet des principes jusqu’aux

règles et architectures.
Le point de départ de ce cheminement est l’ex-

L
’OBJET d’un Schéma Directeur de Sécurité des
Systèmes d’Information (SDSSI) est de renfor-
cer la sécurité des systèmes d’information
(SSI) d’un organisme à un niveau global (pour
une administration on se situe au niveau du minis-
tère ou de la direction générale) en la position-
nant comme élément de stratégie à part entière.
C’est le document cadre de la SSI qui servira de
socle fondateur à l’ensemble des actions de
SSI de l’organisme, qu’il s’agisse par exemple
de l’élaboration de politiques SSI (PSSI) globales,
génériques et sectorielles.
Le SDSSI doit donc exprimer la stratégie de votre
Établissement Public, votre département ministé-
riel,ou votre entreprise en matière de sécurisation
de vos SI, d’utilisation de produits de sécurité,
pour construire et mettre en œuvre des SI perfor-
mants, à la sécurité maîtrisée, afin de répondre à
vos missions, à vos objectifs, notamment par la
pouvoir être actualisé en tant que de besoin. Ce
document et sa mise à jour sont pris en compte
pour l’examen annuel des demandes budgé-
taires relatives à la SSI. Pour le CNRS, le SDSSI est
établi sous la responsabilité du Directeur Général.
Eu égard à l’importance des enjeux de sécurité
décrits dans ce SDSSI, vous aurez tout avantage
à instituer, en fonction de l’organisation de votre
organisme, un « comité d’homologation ». Ce
comité sera responsable, sous votre autorité, de
l’élaboration, de l’actualisation et de l’évalua-
tion du SDSSI. Le travail au sein de ce comité sera
facilité par l’analyse des risques, en particulier
dans les phases de négociation et d’arbitrage.
Le SDSSI est généralement découpé en trois par-
ties : le champ d’application, le volet stratégique
et le volet opérationnel.
Son champ d’application englobe les
échanges entre les services de l’organisme ou
pression des enjeux de sécurité et des valeurs stra-
tégiques de l’organisme dans un document fon-
dateur de la culture en sécurité, par exemple un
schéma directeur ou une politique générique de
sécurité. A partir de cette vision au long terme, un
référentiel de règles, de politiques et de meilleures
pratiques sera établi pour répondre aux besoins
exprimés par les directions, les maîtrises d’ou-
vrage et d’œuvre sans oublier de satisfaire les
attentes des utilisateurs et des partenaires.
Ce numéro de Sécurité Informatique est centré sur
la construction d’un schéma directeur et d’une
politique de la sécurité, à laquelle il conviendrait
sans nul doute d’associer un plan de formation,
une mesure de la performance de la sécurité, des
préceptes de défense en profondeur, une planifi-
cation de la continuité, etc. C’est ainsi que le sys-
tème d’information pourra atteindre un niveau de

mise en œuvre des conditions de confiance
avec les usagers. Il définit ainsi les orientations
stratégiques pour la maîtrise d’ouvrage.
Il doit vous permettre de mesurer l’effort d’inté-
gration et de normalisation des éléments de SSI
et d’en favoriser l’exploitation optimale,tant pour
la gestion de ses applications propres que pour
l’établissement d’un dialogue normalisé avec
l’extérieur.
Le SDSSI est avant tout un instrument de diagnos-
tic et de dialogue,un instrument pragmatique de
planification, un instrument de suivi de l’évolution
de la sécurité du SI ainsi qu’un instrument d’ar-
gumentation budgétaire. Précisément, la
méthode EBIOS peut fournir des informations per-
mettant d’établir une planification et une hiérar-
chisation des actions. L’analyse des risques per-
mettra d’assurer la traçabilité entre des choix
organisationnels ou techniques et les éléments
stratégiques concernés.
Par exemple, pour un département ministériel, le
SDSSI est établi sous la responsabilité du ministre
pour une durée de trois ans généralement et doit
Conseil et coordination: CNRS - DIST - Jacqueline Leclère • Conception et réalisation : La Souris 0145210961
vers l’extérieur, les actions de collaboration, les maturité adapté aux besoins de l’organisme.
programmes ou les réseaux liés, et les échanges
de données informatisées. L. B.
Auditeur de la 56e IHEDN
Le volet stratégique décrit votre stratégie de conseil.dcssi@sgdn.pm.gouv.fr
gestion des risques attachés aux SI, c’est-à-dire
les objectifs et les enjeux associés, mais aussi les
règles d’organisation pour les atteindre et les S É C U R I T É I N F O R M AT I Q U E
numéro 47 décembre 2003
T I O N
contraintes à respecter. Il permet d’identifier et D E S S Y S T È M E S
D ’ I N F O R M A
S É C U R I T É
de comprendre les différents aspects de votre
politique de sécurité. L’identification de vos Sujets traités : tout ce qui concerne
besoins de sécurité et une analyse des risques la sécurité informatique. Gratuit.
Périodicité : 5 numéros par an.
vous permettront de faciliter la définition de votre Lectorat : toutes les formations CNRS.
stratégie. Responsable de la publication :
Le volet opérationnel décrit la mise en œuvre ROBERT LONGEON
Centre national de la recherche scientifique
de la stratégie SSI exprimée dans le volet straté- Service du Fonctionnaire de Défense
gique et le passage de l’état actuel à l’état c/o IDRIS - BP 167. 91403 Orsay Cedex
Tél. 01 69 35 84 87
ciblé. Il doit non seulement permettre de planifier Courriel : robert.longeon@cnrs-dir.fr
et d’organiser les actions de sécurité, mais aussi http://www.cnrs.fr/Infosecu
prévoir les modalités de suivi de sa mise en ISSN 1257-8819
Commission paritaire n° 3105 ADEP
œuvre et les budgets associés. La reproduction totale ou partielle
des articles est autorisée sous réserve
Stanislas De Maupeou de mention d’origine
SGDN/DCSSI Bureau Conseil
conseil.dcssi@sgdn.pm.gouv.fr