PREMIER MINISTRE Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes dinformation Sous-direction des oprations

Bureau conseil

Expression des Besoins et Identification des Objectifs de Scurit EBIOS

MMENTO

Version du 4 fvrier 2004

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 15 - Fax 01 71 75 84 00

Document dit par le bureau conseil de la DCSSI

Pourquoi EBIOS a-t-elle tant de succs ?

Une mthode de rfrence en matire d'analyse des risques SSI
La dmarche mthodologique propose par EBIOS apporte une vision globale et cohrente de la scurit des systmes d'information (SSI). Ainsi, elle fournit un vocabulaire et des concepts communs, permet d'tre exhaustif et de dterminer des objectifs et des exigences de scurit adapts. La mthode prend en compte toutes les entits techniques (logiciels, matriels, rseaux) et non techniques (organisation, aspects humains, scurit physique). Elle permet dimpliquer lensemble des acteurs du SI dans la problmatique de scurit et propose par ailleurs une dmarche dynamique qui favorise les interactions entre les diffrents mtiers et fonctions de l'organisation en tudiant l'ensemble du cycle de vie du systme (conception, ralisation, mise en uvre, maintenance). Promue par la DCSSI et reconnue par les administrations franaises, EBIOS est aussi une rfrence dans le secteur priv et l'tranger. Dans ce contexte, sa traduction en anglais et la convergence vers les normes internationales lui ouvrent des perspectives nouvelles. En 2002, des comparaisons internationales placent EBIOS dans les trois meilleures mthodes d'analyse des risques SSI. De nombreux organismes du secteur public et priv utilisent la mthode pour faire ou pour raliser eux-mmes des analyses de risques SSI : les administrations (employe de manire systmatique dans certaines, encourage dans les autres), le Centre national d'tudes spatiales (CNES), le Commissariat l'nergie atomique (CEA), la Caisse nationale d'assurance maladie (CNAM), le Groupement des Cartes Bancaires "CB", ALCATEL CIT, des agences sanitaires, les Aroports de Paris (ADP), le Conseil de l'Union europenne Par ailleurs, plusieurs socits de conseil ont adopt la dmarche EBIOS dans leur rle d'assistance aux matrises d'ouvrage. Rappelons enfin qu'un ministre ou un industriel doit rdiger une Fiche d'Expression Rationnelle des Objectifs de Scurit (FEROS) ds lors quun systme traite des informations classifies de dfense. EBIOS est l'outil idal pour ce travail puisque ses rsultats s'intgrent directement dans une FEROS.

Une dmarche simple et des rsultats adapts

EBIOS est une mthode facile comprendre et appliquer. En effet, sa philosophie gnrale est simple et intuitive, et son droulement naturel. Elle consiste formaliser les besoins de scurit et les menaces, et dterminer les risques pesant sur l'organisme. Chacun peut s'approprier la mthode et adapter son approche selon les sujets tudis. EBIOS a t applique aussi bien sur des systmes simples (serveur web) que sur des systmes complexes (systme de gestion des concours et du personnel impliquant diffrentes interconnexions), sur des systmes concevoir que sur des systmes existants, ou encore sur des systmes d'information entiers que sur des sous-systmes. Page 2 sur 6

Document dit par le bureau conseil de la DCSSI

Un seul et mme outil permet de raliser diffrentes dmarches scuritaires lies la gestion des risques SSI. EBIOS est en effet utilise pour contribuer l'laboration d'un schma directeur SSI, pour raliser les premires tapes d'une politique SSI et d'un tableau de bord SSI, pour contribuer la rdaction d'un Profil de Protection (PP), pour rdiger une FEROS ou encore pour tout autre cahier des charges SSI. EBIOS contribue l'laboration des tches que la matrise d'ouvrage doit raliser. Elle permet en effet de dterminer le primtre de l'tude tout en gardant une vision globale du systme tudi dans son contexte, d'exprimer des besoins (lis aux biens protger), d'identifier des menaces et de dfinir un plan de projets et des responsabilits. La mthode EBIOS est un outil de choix et d'apprciation de la matrise d'uvre pour adhrer aux objectifs exprims par la matrise d'ouvrage, pour rpondre aux questions relatives la faisabilit, aux cots et aux dlais induits, et enfin pour choisir des solutions. C'est aussi un outil de mesure d'impact et de ngociation entre la matrise d'ouvrage et la direction (du projet, de l'organisme) offrant celle-ci la possibilit de contrler l'adquation des SI et de centraliser les tudes et la SSI. La compatibilit avec d'autres outils mthodologiques SSI permet de garder une parfaite cohrence dans le processus de gestion des risques SSI. Par exemple, l'ISO/IEC 15408 et l'ISO/IEC 17799 peuvent tre utiliss pour dterminer les objectifs et exigences de scurit.

Un logiciel d'assistance sous licence libre

Le logiciel est gratuit et disponible sur simple demande auprs de la DCSSI (conseil.dcssi@sgdn.pm.gouv.fr). D'une prise en main facile, il facilite de manire significative la ralisation des analyses de risques et donne la possibilit de prparer diffrents documents de synthse (ensemble des donnes, FEROS, synthse de FEROS, PP, recueil d'lments stratgiques, politique de scurit). En outre, il permet de rutiliser des bases de connaissances et des tudes. Livr avec ses sources et sa documentation de conception, il peut tre amlior par tous les utilisateurs. Le logiciel est dit sous une licence libre, conu en UML et ralis en Java et XML.

Une forte demande de formation

La formation EBIOS facilite la comprhension de la mthode et de son application. Elle permet aux stagiaires de connatre les bonnes pratiques de mise en uvre et de dialoguer avec des utilisateurs de la mthode. Cette formation de deux jours est dispense au CFSSI (http://www.ssi.gouv.fr/formation/index.html). Elle est illustre par une tude de cas, qui concrtise la dmarche et fournit des exemples auxquels il est possible de se rfrer lors des premires utilisations de la mthode. Par ailleurs, une session pour formateurs la mthode EBIOS a galement t mise en place dans le but de crer des relais au sein mme des administrations.

La cration du club EBIOS

Afin de partager les expriences et d'amliorer la mthode et son outillage, la DCSSI a cr un club EBIOS en 2003. Il permet de runir rgulirement une communaut d'utilisateurs soucieux de contribuer au dveloppement de la mthode et de disposer des dernires informations son sujet. Page 3 sur 6

Document dit par le bureau conseil de la DCSSI

Les principes de la mthode EBIOS

L'tude du contexte
E nt it E nt it ss l m ts l m eenn ts

Un systme d'information repose sur des lments essentiels, fonctions et informations, qui constituent la valeur ajoute du systme d'information pour l'organisme. Par exemple, un systme de contrle de trajectoire pour le lancement d'une fuse repose sur diverses informations telles que des paramtres ou des rsultats de calculs et sur diverses fonctions permettant de raliser ces calculs. Les lments essentiels sont lis un ensemble d'entits de diffrents types : matriels, logiciels, rseaux, organisations, personnels et sites. Prenons l'exemple d'un paramtre de calcul de trajectoire pour le lancement d'une fuse. Il est li aux ordinateurs de contrle, aux logiciels de traitement, aux oprateurs, la fuse, aux rglementations du domaine

L'expression des besoins de scurit

E tit s E nntit s

l m ts l m eennts

m p ts IIm p aaccts

Chaque lment essentiel a un besoin de scurit pour que le mtier fonctionne correctement. Ce besoin de scurit s'exprime selon diffrents critres de scurit tels que la disponibilit, l'intgrit et la confidentialit. Si ce besoin n'est pas respect, l'organisme en sera impact. Cet impact peut revtir diffrentes formes : pertes financires, atteinte au bon droulement des activits, atteinte l'image de marque, atteinte la scurit des personnels, pollution Reprenons l'exemple du paramtre de calcul de trajectoire pour le lancement d'une fuse. Il s'agit d'une information qui devrait avoir un fort besoin de disponibilit et d'intgrit pour viter l'atteinte la scurit du personnel.

L'tude des menaces

Par ailleurs, chaque organisme est expos divers lments menaants, de par son environnement naturel, sa culture, son image, son domaine
Origines Origines desattaques des attaques Vulnrabilits Vulnrabilits Entits Entits lments lments Impacts Impacts

Un lment menaant peut tre caractris selon son type (naturel, humain ou environnemental) et selon sa cause (accidentelle ou dlibre). Il peut employer diverses mthodes d'attaque qu'il convient alors d'identifier. Une mthode d'attaque est caractrise par les critres de scurit (disponibilit, intgrit, confidentialit) qu'elle peut affecter et par les lments menaants susceptibles de l'utiliser.

Page 4 sur 6

Document dit par le bureau conseil de la DCSSI

Poursuivons notre exemple. Un organisme qui lance des fuses doit prendre en comptent un grand nombre de mthodes d'attaque et d'lments menaants : o les accidents physiques (ex : incendie), o les vnements naturels (ex : phnomne sismique), o les pertes de services essentiels (ex : perte d'alimentation lectrique), o la compromissions des informations (ex : pigeage du logiciel), o les dfaillance techniques (ex : dysfonctionnement du matriel), o les agressions physiques (ex : sabotage), o les erreurs (ex : erreur d'interprtation) Chaque entit possde des vulnrabilits qui pourront tre exploites par les lments menaants selon chaque mthode d'attaque. Ainsi, on pourra mettre en vidence plusieurs vulnrabilits lies aux entits de l'organisme qui lance des fuses : o la possibilit d'existence de fonctions caches introduites en phase de conception ou de dveloppement (logiciels), o l'utilisation de matriels non valus (matriels), o la possibilit de crer ou modifier des commandes systmes (rseaux), o le rseau permet d'agir sur les logiciels des ressources du systme (rseaux), o la facilit de pntrer sur le site par des accs indirects (locaux), o le non respect des consignes de la part de certains oprateurs (personnels), o l'absence de mesures de scurit dans les phases de conception, installation et exploitation (organisation)

L'expression des objectifs de scurit

Il ne reste plus qu' dterminer comment les lments essentiels peuvent tre affects par les lments menaants et par leurs mthodes d'attaque : il s'agit du risque.
Risques Origines Origines desattaques des attaques Vulnrabilits Vulnrabilits Entits Entits lments lments Impacts Impacts

Objectifs de scurit Objectifs de scurit

Le risque reprsente un sinistre possible. C'est le fait qu'un lment menaant puisse affecter des lments essentiels en exploitant les vulnrabilits des entits sur lesquelles ils reposent avec une mthode d'attaque particulire. Dans notre exemple, un risque consiste en la compromission d'informations sensibles par pigeage du logiciel du fait de la possibilit de crer ou modifier des commandes systmes lies au rseau, ce qui pourrait avoir un impact sur la scurit des personnels et sur l'image de marque. Les objectifs de scurit consistent principalement couvrir les vulnrabilits des entits qui composent l'ensemble des risques retenus. En effet, il est inutile de protger ce qui n'est pas expos. On note aussi que plus le potentiel d'attaque est important et plus le niveau des objectifs de scurit sera important. Ces objectifs constituent ainsi un cahier des charges parfaitement adapt. L'un des objectifs de scurit pour l'organisme qui lance des fuses est de scuriser la cration et la modification des commandes systmes lies au rseau. Page 5 sur 6

Document dit par le bureau conseil de la DCSSI

La dtermination des exigences de scurit

L'quipe en charge de la mise en uvre de la dmarche doit ensuite spcifier de manire prcise les fonctionnalits attendues en matire de scurit. Elle doit alors dmontrer la parfaite couverture des objectifs de scurit par ces exigences fonctionnelles.
Risques Origines Origines des attaques des attaques Vulnrabilits Vulnrabilits Entits Entits lments lments Impacts Impacts

Objectifs de scurit Objectifs de scurit

Exigences fonctionnelles Exigences fonctionnelles

Exigences dassurance Exigences dassurance

Dans notre exemple, l'une des exigences fonctionnelles couvrant la scurisation de la cration et de la modification des commandes systmes lies au rseau est la suivante : le systme doit excuter une suite d'autotests de faon priodique pendant le fonctionnement normal pour dmontrer son fonctionnement correct. L'quipe en charge doit enfin spcifier les exigences d'assurance qui permettent d'obtenir le niveau de confiance requis, pour ensuite le dmontrer. L'une des exigences d'assurance est la suivante : le dveloppeur doit effectuer une analyse de la rsistance des fonctions de scurit du systme selon le niveau de rsistance requis.

En rsum
EBIOS formalise une dmarche d'apprciation et de traitement des risques dans le domaine de la scurit des systmes d'information. Son approche simple et modulaire permet de s'adapter tous les contextes et diffrentes actions de scurit. En outre, EBIOS s'avre tre un excellent outil de ngociation, d'arbitrage et de sensibilisation. La convergence vers les normes internationales, son logiciel libre, la formation et le club des utilisateurs font d'EBIOS une mthode riche et maintenue au plus haut niveau par les experts du domaine de la scurit des systmes d'information. Pour de plus amples informations : - le site web de la DCSSI - la bote aux lettres EBIOS - la bote aux lettres du Bureau Conseil

http://www.ssi.gouv.fr ebios.dcssi@sgdn.pm.gouv.fr conseil.dcssi@sgdn.pm.gouv.fr

Page 6 sur 6