Portail officiel de la sécurité informatique - ANSSI - République française
Mémentos > Expression des besoins et identification des objectifs de sécurité (EBIOS®)Qu’est ce qu’EBIOS® ?Un outil de gestion des risques SSILa méthode EBIOS® (expression des besoins et identification des objectifs de sécurité) permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI). Elle permet aussi de communiquer à leur sujet au sein de l’organisme et vis-à-vis de ses partenaires afin de contribuer au processus de gestion des risques SSI En fournissant les justifications nécessaires à la prise de décision (descriptions précises, enjeux stratégiques, risques détaillés avec leur impact sur l’organisme, objectifs et exigences de sécurité explicites), EBIOS® est un véritable outil de négociation et d’arbitrage. EBIOS® permet de sensibiliser les parties prenantes d’un projet (direction générale, financière, juridique ou des ressources humaines, maîtrise d’ouvrage, maîtrise d’œuvre, utilisateurs), d’impliquer les acteurs du système d’information et d’uniformiser le vocabulaire. Une méthode d’analyse des risques SSI reconnueLa démarche méthodologique proposée par EBIOS® apporte une vision globale et cohérente de la sécurité des systèmes d’information (SSI). Ainsi, elle fournit un vocabulaire et des concepts communs, permet d’être exhaustif et de déterminer des objectifs et des exigences de sécurité adaptés. La méthode prend en compte toutes les entités techniques (logiciels, matériels, réseaux) et non techniques (organisation, aspects humains, sécurité physique). Elle permet d’impliquer l’ensemble des acteurs du SI dans la problématique de sécurité et propose par ailleurs une démarche dynamique qui favorise les interactions entre les différents métiers et fonctions de l’organisation en étudiant l’ensemble du cycle de vie du système (conception, réalisation, mise en œuvre, maintenance…). Elle est reconnue par les administrations françaises et constitue une référence dans le secteur privé et à l’étranger. Dans ce contexte, EBIOS® a été traduit en plusieurs langues (anglais, allemand et espagnol) et converge vers les normes internationales. Un référentiel completLes guides méthodologiques la méthode EBIOS® est découpée en 5 sections : l’introduction, la démarche, les techniques, l’outillage pour l’appréciation des risques, l’outillage pour le traitement des risques. Ces documents sont accessibles gratuitement sur le site de l’ANSSI (www.ssi.gouv.fr/ebios) Ses bases de connaissances Les bases de connaissances d’EBIOS® présentent et décrivent des types d’entités, des méthodes d’attaques, des vulnérabilités, des objectifs de sécurité et des exigences de sécurité. Elles sont directement applicables à la plupart des secteurs, mais chacun peut aisément se les approprier et les adapter à son contexte particulier. Sa formation Le centre de formation de l’ANSSI dispense régulièrement des formations à la méthode EBIOS®, ainsi que des formations de formateurs. Son logiciel Le logiciel libre (sous licence CeCILL v2) d’assistance à l’utilisation de la méthode est téléchargeable gratuitement sur le site de l’ANSSI (www.ssi.gouv.fr/ebios). Ses meilleures pratiques Les meilleures pratiques EBIOS® décrivent comment exploiter ses résultats dans le cadre de différentes approches sécuritaires :
Sa communauté d’utilisateurs Le club des utilisateurs de la méthode EBIOS® est une association (loi 1901) qui permet de réunir régulièrement une communauté d’utilisateurs soucieux de contribuer au développement de la méthode et de disposer des dernières informations à son sujet. Lire la suite |
élaboration de schémas directeurs SSI,