EBIOS : la mthode de gestion des risques SSI Un outil simple et puissant

La gestion des risques est largement dcrite et prconise dans la presse, les normes, la rglementation EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) est la mthode de gestion des risques de l'ANSSI. Oprationnelle, modulaire et aligne avec les normes, c'est la bote outils indispensable pour toute rflexion de scurit des systmes d'information (SSI). Voici comment EBIOS peut vous tre utile.

Le risque SSI dans EBIOS : un exemple clairant

Dfinition du risque : cest un scnario qui combine un vnement redout (sources de menaces, bien essentiel, critre de scurit, besoin de scurit, impacts) et un ou plusieurs scnarios de menaces (sources de menaces, bien support, critre de scurit, menaces, vulnrabilits). On estime son niveau par sa gravit (hauteur des impacts) et sa vraisemblance (possibilit qu'il se ralise).

Un adolescent de 15 ans pirate le systme informatique de son collge pour amliorer ses notes. Un adolescent de quinze ans a en effet t interpell pour s'tre introduit dans le systme informatique de son collge dans le but de modifier ses rsultats scolaires. Dpit de n'avoir pu atteindre ce but, le collgien a satur le systme informatique en expdiant plus de 40 000 courriels, manuvre qui a provoqu une indisponibilit pendant quatre jours.
[Sources Internet : Le Point.fr et ZDNet]

partir de ce fait divers et de la dfinition du risque dEBIOS, nous pouvons mettre deux risques en vidence :

vnements redouts

Biens essentiels

Rsultats (besoin d'intgrit trs fort) Services (besoin d'accs sous 24h)

Risque 1 Altration des rsultats Un adolescent agissant par cupidit sintroduit dans le systme du collge et modifie ses rsultats, qui doivent rester parfaitement intgres, ce qui ternit limage du collge.

Impacts

Image du collge Paralysie des activits

Sources de Adolescent agissant par cupidit menaces Adolescent agissant par vengeance Scnarios de menaces

Risque 2 Indisponibilit des services Par vengeance, un adolescent sature la messagerie par un envoi massif de courriels, ce qui bloque les services du collge et paralyse ses activits.

Menace

Modification aprs intrusion (intgrit) Envoi massif de courriels (disponibilit)

Biens supports

Systme du collge (modifiable) Messagerie du collge (dtournable)

Une tude EBIOS applique au systme du collge aurait permis, simplement et rapidement : didentifier ces deux risques, ainsi que tous les autres qui psent sur le systme dinformation du collge ; d'estimer leur niveau (gravit, vraisemblance), les cartographier et prendre des dcisions en consquence ; de choisir les mesures ncessaires et suffisantes en termes de prvention, de protection et de rcupration.

EBIOS est le "tout terrain" pour grer les risques

Management

Projets

Doctrine / Gouvernance Stratgie Politique Tableau de bord Plan d'action

Cadrage Cahier des charges FEROS Cible de scurit Procdures d'exploitation

Produits

Profil de protection Cible de scurit Comparaison de solutions tude de vulnrabilits

Implication, sensibilisation, adhsion, responsabilisation

Les 10 questions essentielles pour grer les risques

Contexte

Contexte

Pourquoi et comment va-t-on grer les risques ? Quel est le sujet de l'tude ? Quels sont tous les vnements craints ? Quels seraient les plus graves ? Quels sont tous les scnarios possibles ? Quels sont les plus vraisemblables ? Quelle est la cartographie des risques ? Comment choisit-on de les traiter ? Quelles mesures devrait-on appliquer ? Les risques rsiduels sont-ils acceptables ?

vnements redouts

Scnarios de menaces

Evnements redouts Scnarios de menaces

Risques

Risques

Mesures de scurit

Mesures de scurit

Grands principes appliquer

Pour russir une tude et son application, il convient de respecter 4 grands principes de mise en uvre : employer EBIOS comme une bote outils pour une efficacit maximale ; utiliser la mthode avec souplesse pour adhrer au langage et aux pratiques de lorganisme ; amliorer progressivement ltude, en temps rel, pour rester cohrent avec la ralit ; rechercher une adhsion des acteurs du systme dinformation pour laborer des solutions de protection.

Une mise en uvre facilite

La mthode dispose de bases de connaissances riches et enrichissables, d'un logiciel libre et gratuit, de formations et d'une documentation varie. La communaut des experts et utilisateurs de gestion des risques (industriels, administrations, prestataires, universitaires) se runit rgulirement au Club EBIOS pour changer des expriences et enrichir le rfrentiel.

EBIOS ne vous protge pas des risques, elle vous permet den faire prendre conscience aux dcideurs.
_____________________________________ Informations : http://www.ssi.gouv.fr/ebios Contact : ebios@ssi.gouv.fr