Portail officiel de la sécurité informatique - ANSSI - République française

• Je suis...
  • Particulier
  • Entreprise
  •  
• Je cherche...
  • Autoformation
  • Fiche technique
  • Guide de configuration
  • Mémento
  • Question/Réponse
  • Une solution pour me protéger
  • Passeport de conseils aux voyageurs
  • Lien
  •  
• Actualités
  • Alertes
  • Faits marquants
  • Technique
  •  

Fiches techniques

Expression des besoins et identification des objectifs de sécurité (EBIOS®)

À quoi sert EBIOS® ?

Un outil de gestion des risques SSI

La méthode EBIOS® (expression des besoins et identification des objectifs de sécurité) permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI).

Elle permet aussi de communiquer à leur sujet au sein de l’organisme et vis-à-vis de ses partenaires afin de contribuer au processus de gestion des risques SSI.

Un outil de négociation et d’arbitrage

En fournissant les justifications nécessaires à la prise de décision (descriptions précises, enjeux stratégiques, risques détaillés avec leur impact sur l’organisme, objectifs et exigences de sécurité explicites), EBIOS® est un véritable outil de négociation et d’arbitrage.

Un outil de sensibilisation

EBIOS® permet de sensibiliser les parties prenantes d’un projet (direction générale, financière, juridique ou des ressources humaines, maîtrise d’ouvrage, maîtrise d’œuvre, utilisateurs), d’impliquer les acteurs du système d’information et d’uniformiser le vocabulaire.

Une méthode reconnue

Un outil compatible avec les normes internationales

Depuis 1995, EBIOS® est entretenue conjointement par l’ANSSI et le « club EBIOS® » (communauté active d’utilisateurs de la méthode) avec pour principale volonté d’assurer la compatibilité de la méthode avec les normes internationales telles que la norme ISO 13335 (GMITS), la norme ISO 15408 (critères communs) et la série des normes ISO 2700x (27005 plus particulièrement).

De nombreux utilisateurs

La méthode EBIOS® est largement utilisée dans le secteur public (l’ensemble des ministères et des organismes sous tutelle), dans le secteur privé (cabinets de conseil, petites et grandes entreprises), en France et à l’étranger (Union européenne, Québec, Belgique, Tunisie, Luxembourg…), par de nombreux organismes en tant qu’utilisateurs ou bénéficiaires d’analyses de risques SSI.

Les avantages d’EBIOS®

Une méthode rapide

La durée de réalisation d’une étude EBIOS® est optimisée car elle permet d’obtenir les éléments nécessaires et suffisants selon le résultat attendu.

Une approche exhaustive

Le risque SSI est la combinaison d’une menace et des pertes qu’elle peut engendrer.

La démarche structurée de la méthode EBIOS® permet d’identifier chaque élément du risque à travers cinq étapes clés :

 Étude du contexte Vision globale et explicite du système étudié, des enjeux, des contraintes et référentiels applicables
 Expression des besoins Positionnement des éléments à protéger (patrimoine informationnel) en terme de disponibilité, intégrité, confidentialité… et mise en évidence des impacts en cas de sinistre
 Étude des menaces Recensement des scénarios pouvant porter atteinte aux composants (techniques ou non) du SI
 Identification des objectifs de sécurité Mise en évidence des risques réels et expression de la volonté de les traiter en cohérence avec le contexte particulier de l’organisme
 Détermination des exigences de sécurité Spécification des mesures concrètes à mettre en œuvre pour traiter les risques sur la base d’une négociation argumentée

Cette construction méthodique garantit l’exhaustivité de l’analyse des risques.

Des livrables multiples

EBIOS® peut être utilisée pour de nombreuses finalités et démarches sécuritaires, telles que l’élaboration de schémas directeurs, de politiques, de tableaux de bord SSI ou différents types de spécifications comme des fiches d’expressions rationnelles des objectifs de sécurité (FEROS), des profils de protections ou des cibles de sécurité (au sens de la norme ISO 15408), des plans d’action ou toute autre forme de cahier des charges SSI. Elle garantit ainsi la cohérence globale des outils méthodologiques SSI.

Une utilisation pour des systèmes à concevoir et des systèmes existants

EBIOS® peut être utilisée autant pour étudier des systèmes à concevoir que des systèmes existants. Dans le premier cas, elle permet de déterminer progressivement les spécifications sécuritaires en s’intégrant à la gestion de projets. Dans le second cas, elle prend en compte les mesures de sécurité existantes et intègre la sécurité à des systèmes en exploitation.

Un outil réutilisable

EBIOS® favorise la pérennité des analyses de risques et la cohérence globale de la SSI.

En effet, l’étude spécifique d’un système peut être basée sur l’étude globale de l’organisme ; une étude peut être régulièrement mise à jour afin de gérer les risques de manière continue ; l’étude d’un système comparable peut aussi être utilisée comme référence.

Une démarche adaptative

La méthode EBIOS® peut être adaptée au contexte de chacun et ajustée à ses outils et habitudes méthodologiques, tout en respectant la philosophie générale de la démarche.

Sa flexibilité en fait une véritable boîte à outils pour les acteurs de la SSI. Ainsi, il est autant possible de réaliser une étude globale du système d’information complet d’un organisme que de réaliser une étude détaillée d’un système particulier (site internet, messagerie, gestion des concours…).

Il est aussi possible de n’employer que des parties de la démarche lorsqu’on réalise, par exemple, une analyse de vulnérabilités (étude des menaces seulement) ou un recueil d’éléments stratégiques (étude du contexte, expression des besoins non détaillée, étude des menaces non détaillée).

Le référentiel EBIOS®

Les guides méthodologiques

la méthode EBIOS® est découpée en 5 sections :

 l’introduction,
 la démarche,
 les techniques,
 l’outillage pour l’appréciation des risques,
 l’outillage pour le traitement des risques.

Ces documents sont accessibles gratuitement sur le site de l’ANSSI (www.ssi.gouv.fr/ebios)

Ses bases de connaissances

Les bases de connaissances d’EBIOS® présentent et décrivent des types d’entités, des méthodes d’attaques, des vulnérabilités, des objectifs de sécurité et des exigences de sécurité. Elles sont directement applicables à la plupart des secteurs, mais chacun peut aisément se les approprier et les adapter à son contexte particulier.

Sa formation

Le centre de formation de l’ANSSI dispense régulièrement des formations à la méthode EBIOS®, ainsi que des formations de formateurs.

Son logiciel

Le logiciel libre (sous licence CeCILL v2) d’assistance à l’utilisation de la méthode est téléchargeable gratuitement sur le site de l’ANSSI (http://www.ssi.gouv.fr/ebios).

Ses meilleures pratiques

Les meilleures pratiques EBIOS® décrivent comment exploiter ses résultats dans le cadre de différentes approches sécuritaires :

 élaboration de schémas directeurs SSI,
 élaboration de politiques SSI,
 élaboration de politiques de certification,
 rédaction de FEROS,
 rédaction de profils de protection,
 rédaction de cibles de sécurité,
 rédaction de SSRS (System-specific Security Requirement Statement, OTAN),
 comparaison entre l’étude de systèmes à concevoir et l’étude de systèmes existants…

Sa communauté d’utilisateurs

Le club des utilisateurs de la méthode EBIOS® est une association (loi 1901) qui permet de réunir régulièrement une communauté d’utilisateurs soucieux de contribuer au développement de la méthode et de disposer des dernières informations à son sujet.