Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Gestion des risques SSI avec la méthode EBIOS® Direction centrale de la sécurit

Gestion des risques SSI avec la méthode EBIOS® Direction centrale de la sécurité des systèmes d’information Sous-direction des opérations Bureau Conseil conseil.dcssi@sgdn.pm.gouv.fr Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 2 Gestion des risques SSI avec la méthode EBIOS Plan de la présentation  Risque et gestion du risque SSI  La méthode EBIOS  Déroulement de la démarche Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 3 Risque et gestion du risque SSI Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 4 Définition du risque [Guide ISO/IEC 73] Combinaison de la probabilité d’un événement et de ses conséquences Proposition de définition du risque SSI [EBIOS] Combinaison : d'une menace et des pertes qu'elle peut engendrer c’est-à-dire : de l'opportunité de l'exploitation • de vulnérabilités portées par des entités • par un élément menaçant employant une méthode d'attaque et de l'impact sur les éléments essentiels (atteinte des besoins de sécurité) et sur l'organisme Qu’est-ce que le risque SSI ? Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 5 Du risque au risque SSI 2 – BESOINS Impacts 2 – BESOINS Besoins de sécurité Pertes Conséquences 1 – CONTEXTE Éléments essentiels 3 – MENACES Méthode d’attaque 3 – MENACES Éléments menaçants 1 – CONTEXTE Entités (ISO 15408) Événement 3 – MENACES Vulnérabilités Menace 3 – MENACES Opportunité Probabilité Étapes EBIOS Risque SSI affiné (EBIOS) Risque SSI (EBIOS) Risque (ISO 73) Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 6 Exemples de risques SSI Réseau WiFi Tour de bureaux Entité Possibilité d’administrer le réseau à distance Faible structure des bâtiments… Vulnérabilité Élevé Moyenne Opportunité Informations et fonctions présentes sur le réseau Ensemble du patrimoine informationnel Éléments essentiels Exemple de risque 2 Exemple de risque 1 Perte de vies humaines Arrêt de fonctionnement Disponibilité des éléments essentiels Sinistre majeur (chute de l’avion) Un avion de ligne Perturbation du fonctionnement Perte d’avantage concurrentiel Impacts (sur l’organisme) Confidentialité et intégrité des éléments essentiels Besoins de sécurité Piégeage du logiciel (introduction d’un ver) Méthode d’attaque Un pirate expérimenté engagé par un concurrent Élément menaçant Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 7 Pourquoi gérer les risques SSI ? Lignes directrices de l’OCDE – Vers une culture de la sécurité Principe d’évaluation des risques Principe de gestion de la sécurité Principe de réévaluation Réglementation pour le classifié de défense L’instruction générale interministérielle N°1300 rend la réalisation d’une analyse des risques obligatoire pour tout système traitant des informations classifiées de défense. Maîtriser les coûts Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en prémunir) Maîtriser la sécurité de ses systèmes d’information Visibilité, cohérence et prévention Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 8 Le processus continu de gestion du risque SSI EBIOS Communication relative au risque Réitération du processus Appréciation du risque Analyse du risque : expression des besoins évaluation de la menace Évaluation du risque : apprécier son importance Traitement du risque Refus du risque : se retirer d’une situation à risque Optimisation du risque : réduire le risque Transfert du risque : partager les pertes Prise de risque : dégager le risque résiduel Acceptation du risque Homologation Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 9 EBIOS Des risques aux mesures de sécurité avec EBIOS Risques SSI Objectifs de sécurité (cahier des charges « ouvert ») Exigences de sécurité (cahier des charges « fermé ») Risques transférés Mesures de sécurité Risques résiduels Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 10 Appréciation et traitement des risques SSI ANALYSE DU RISQUE Les biens (cible) Entités Éléments essentiels Besoins de sécurité Impacts sur l’organisme Les éléments menaçants (typologie des attaquants) Type naturel, humain ou environnemental Cause accidentelle ou délibérée L’attaque (vecteur) Méthode d’attaque Vulnérabilités Opportunité ÉVALUATION ET TRAITEMENT DU RISQUE Les objectifs de sécurité Refus, optimisation, transfert ou prise de risque Prise en compte des règles de sécurité, hypothèses, contraintes, références réglementaires… Les exigences fonctionnelles Exemples : cloisonnement, séparation des flux, bout en bout… Les exigences d’assurance Exemples : évaluation/certification, audit régulier, inspection… Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 11 ÉVALUATION ET TRAITEMENT DU RISQUE Les objectifs de sécurité Refus, optimisation, transfert ou prise de risque Prise en compte des règles de sécurité, hypothèses, contraintes, références réglementaires… Les exigences fonctionnelles Exemples : cloisonnement, séparation des flux, bout en bout… Les exigences d’assurance Exemples : évaluation/certification, audit régulier, inspection… Étape 4 – Identification des objectifs de sécurité Étape 5 – Détermination des exigences de sécurité L’équilibre sécuritaire : la gestion du risque avec la méthode EBIOS ANALYSE DU RISQUE Les biens (cible) Entités Éléments essentiels Besoins de sécurité Impacts sur l’organisme Les éléments menaçants (typologie des attaquants) Type naturel, humain ou environnemental Cause accidentelle ou délibérée L’attaque (vecteur) Méthode d’attaque Vulnérabilités Opportunité Étape 1 – Étude du contexte Étape 2 – Étude des besoins de sécurité Étape 3 – Étude des menaces Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 12 EBIOS Système de gestion de la sécurité de l’information Planifier Appréciation du risque Traitement du risque etc. Mettre en œuvre Mise en œuvre Gestion des ressources etc. Vérifier Vérification des risques Audit etc. Améliorer Mesure de performance Actions correctives etc. Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 13 La méthode EBIOS CONTEXTE BESOINS MENACES OBJECTIFS DE SECURITE EXIGENCES DE SECURITE Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 14 Contexte et historique Depuis 1995 Emploi de la méthode EBIOS dans le cadre de projets variés au sein des administrations et du secteur privé, en France et à l’étranger 2000-2001 Conception et réalisation de du logiciel d’assistance Convergence vers normes internationales (ISO 15408, guide ISO 73, ISO 17799…) 2003 Création du Club EBIOS Amélioration des bases de connaissances 2004 Publication de la méthode EBIOSv2 Publication du logiciel EBIOSv2 2005 Traduction du référentiel EBIOSv2 CONTEXTE BESOINS MENACES OBJECTIFS DE SECURITE EXIGENCES DE SECURITE Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 15 La convergence vers l’ISO/IEC 15408 Actualisation et internationalisation par une adaptation de la méthode à l’ISO/IEC 15408 (notions d’hypothèse, de politiques de sécurité organisationnelle, d’exigences…) Plus loin dans la démarche de sécurisation avec la détermination d’exigences de sécurité fonctionnelles et d’assurance Une plus grande homogénéité dans la formulation des objectifs et des exigences de sécurité Encore plus de rigueur avec l’analyse systématique des couvertures et élaboration d’un argumentaire Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 16   Introduction Contexte, positionnement, glossaire…  Démarche Fiches synthétiques descriptives des activités de la méthode  Techniques Propositions de moyens pour réaliser les activités de la méthode   Outillage pour l’appréciation des risques SSI Bases d’entités, de méthodes d’attaque et de vulnérabilités  Outillage pour le traitement des risques SSI Bases d’objectifs de sécurité et d’exigences de sécurité Le contenu du guide EBIOS [EBIOS] http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 17 Le logiciel d’assistance Le logiciel apporte une aide conséquente à la tâche de l’utilisateur en lui permettant : de consigner les résultats des études, de produire les divers tableaux et d’effectuer certains calculs automatiquement de préparer des documents de synthèse : dossier d'étude, FEROS, synthèse de FEROS, PSSI, note stratégique SSI… d’apprendre intuitivement à se servir du logiciel à l’aide du module d’auto- formation (étude de cas @rchimed) de personnaliser les bases de connaissances (entités, méthodes d’attaque, vulnérabilités, métriques, exigences de sécurité…) Ce logiciel est sous licence libre (UML, Java, XML) Le logiciel et ses sources sont disponibles gratuitement en téléchargement ou sur demande (ebios.dcssi@sgdn.pm.gouv.fr) et modifiables dans la mesure où un retour à la DCSSI est effectué Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 18 Pourquoi EBIOS ? (1/2) Tous types d’études : système existant et système à concevoir Exemples de livrables possibles Des documents fondateurs de la SSI Schéma directeur SSI - SDSSI Note de stratégie de sécurité Politique SSI - PSSI Des spécifications adaptées et justifiées Fiche d’expression rationnelle des objectifs de sécurité - FEROS System-specific Security Requirement Statement - SSRS (au sens OTAN) Profil de protection - PP (au sens de l’ISO 15408 - critères communs) Cible de sécurité, pour un système d’information ou un produit de sécurité Des plans d’actions Politique de certification - PC Des livrables nécessaires à des démarches globales Mise en œuvre du BS 7799 Élaboration de tableaux de bord SSI - TDBSSI Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 19 Pourquoi EBIOS ? (2/2) EBIOS est aussi bien plus que cela : une méthode de raisonnement simple, souple et cohérente un outil de négociation et d’arbitrage dans le processus SSI un moyen d’unifier vocabulaire, concepts et interprétation du système un moyen d’impliquer tous les acteurs et de les responsabiliser un outil compatible avec les méthodes existantes et les normes internationales (MASSIA, ISO/IEC 15408, ISO/IEC 17799…) Bureau Conseil de la DCSSI - 2005 - http://www.ssi.gouv.fr 20 Résultats de la méthode Cahier des charges FEROS PP Cible Négociation & arbitrage Responsabiliser les acteurs TDBSSI SDSSI Plan d’action Note de stratégie EBIOS PSSI Bureau Conseil de la DCSSI uploads/s1/ ebios-m-grall.pdf