PREMIER MINISTRE Cahier des charges _____________________ Labellisation des sol

PREMIER MINISTRE Cahier des charges _____________________ Labellisation des solutions logicielles EBIOS Risk Manager Version 2.0 du 24/10/2019 Cahier des charges du label EBIOS Risk Manager – v2.0 Page 2 sur 22 HISTORIQUE DES VERSIONS DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR 28/12/2018 1.0 Première version applicable pour le mode standalone ANSSI 24/10/2019 2.0 Exigences complémentaires pour le mode client/serveur ANSSI Les commentaires sur le présent document sont à adresser à : Agence nationale de la sécurité des systèmes d’information SGDSN/ANSSI 51 boulevard de la Tour-Maubourg 75700 Paris 07 SP ebios@ssi.gouv.fr Page 3 sur 22 Sommaire 1. INTRODUCTION .......................................................................................................................................................... 4 2. DESCRIPTION DU PROJET ...................................................................................................................................... 4 2.1 PRESENTATION DU CONTEXTE .................................................................................................................................. 4 2.2 OBJECTIF DE LA LABELLISATION .............................................................................................................................. 4 2.3 SYNTHESE DES EXIGENCES APPLICABLES ................................................................................................................. 5 3. SPECIFICATIONS GENERALES .............................................................................................................................. 7 3.1 SPECIFICATIONS LOGICIELLES .................................................................................................................................. 7 3.2 MENTION DE PROTECTION DE L’ANALYSE DE RISQUE .............................................................................................. 7 3.3 GUIDE D’UTILISATION .............................................................................................................................................. 7 3.4 GESTION DES VERSIONS DES ANALYSES DES RISQUES .............................................................................................. 7 4. SPECIFICATIONS FONCTIONNELLES .................................................................................................................. 8 4.1 ATELIER 1 – CADRAGE ET SOCLE DE SECURITE ........................................................................................................ 8 4.2 ATELIER 2 – SOURCES DE RISQUE .......................................................................................................................... 10 4.3 ATELIER 3 – SCENARIOS STRATEGIQUES ................................................................................................................ 11 4.4 ATELIER 4 – SCENARIOS OPERATIONNELS .............................................................................................................. 13 4.5 ATELIER 5 – TRAITEMENT DU RISQUE .................................................................................................................... 15 5. EXIGENCES DE SECURITE .................................................................................................................................... 18 5.1 MECANISMES D'IDENTIFICATION ET D'AUTHENTIFICATION ET DE CLOISONNEMENT DES PROFILS ........................... 18 5.2 CONFIDENTIALITE DES DONNEES ........................................................................................................................... 18 5.3 JOURNALISATION ................................................................................................................................................... 19 5.4 REVUE DES POLITIQUES INTERNES DE DEVELOPPEMENT ........................................................................................ 19 5.5 MAINTIEN EN CONDITIONS DE SECURITE ................................................................................................................ 20 5.6 CONDITIONS GENERALES D’EMPLOI ET D’USAGE ................................................................................................... 20 ANNEXE A - RECOMMANDATIONS PORTANT SUR L’APPLICATION ............................................................... 22 Page 4 sur 22 1. Introduction Ce document a pour but de rassembler les exigences de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en vue de la labellisation d’un logiciel qui instancie la méthode EBIOS Risk Manager. Il détaille les attentes de l’ANSSI par rapport au projet et décrit les besoins fonctionnels et non fonctionnels. La première partie du document présente le contexte et l’objectif de la labellisation. La seconde décrit les spécifications à respecter pour l’obtention du label EBIOS Risk Manager. Une annexe donne des recommandations relatives à l’application et à son ergonomie. 2. Description du projet 2.1 Présentation du contexte L’ANSSI est rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), service du Premier ministre chargé d'assister le chef du Gouvernement dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale. Elle a notamment pour mission d’apporter son concours aux administrations, aux opérateurs d’importance vitale et aux opérateurs de services essentiels dans la sécurisation et la défense de leurs systèmes d’information. Ainsi, tient-elle à jour un important référentiel méthodologique et technique aidant à la spécification et à la mise en œuvre de systèmes et de produits sécurisés. Dans ce cadre, l’ANSSI a élaboré la méthode EBIOS Risk Manager qui permet d’étudier les risques relatifs à la sécurité numérique. En 2018, une nouvelle version de la méthode a été publiée dans le but de la rendre plus souple, de prendre en compte les retours d’expérience accumulés depuis ces dernières années, notamment grâce au Club EBIOS, et de l’adapter aux évolutions de la menace cyber. Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciels. La mise à disposition d’une ou plusieurs solutions logicielles conformes à l’esprit de la méthode apparaît comme un complément attendu qui facilitera son adoption par le plus grand nombre. L’attribution d’un label de conformité EBIOS Risk Manager est accessible à tout éditeur ayant développé une solution logicielle conforme aux principes et aux concepts de la méthode EBIOS Risk Manager. Le présent cahier des charges précise les exigences à respecter. L’ensemble du référentiel EBIOS Risk Manager (guide et fiches méthodes associées) est disponible sur le site Internet de l’ANSSI, www.ssi.gouv.fr. Toutes les notions utilisées dans le présent cahier des charges sont à comprendre dans le sens que leur donne le guide EBIOS Risk Manager publiée par l’ANSSI. 2.2 Objectif de la labellisation La labellisation consiste à valider un outil fonctionnel, simple et ergonomique qui permet la mise en œuvre complète de la méthode EBIOS Risk Manager. Le logiciel labellisé devra avoir la capacité : - de réaliser l'ensemble des ateliers, activités et actions de la méthode ; - d’adapter la démarche et les métriques en fonction du sujet étudié et de l’objectif attendu ; - de collecter, importer les données d’entrée nécessaires à une étude ; Page 5 sur 22 - de faciliter le déroulement de la méthode de bout-en-bout par une ergonomie pensée et adaptée; - de permettre le suivi des révisions successives d’une analyse de risques ; - d’apposer une mention de protection à l’analyse de risques comme prévue par l’instruction interministérielle 9011 ; - de produire des livrables et d’exporter les données de sortie à l’issue de chaque atelier ; - de produire aisément les livrables issus d'une étude ; - de respecter la sémantique du guide ; - d’assurer un niveau minimal de sécurité pour les données stockées dans la solution logicielle labélisée. Pour sa labellisation, la solution logicielle devra être fournie à l’ANSSI et l’exemple fictif qui sert de fil conducteur dans le guide (société de biotechnologie fabriquant des vaccins) devra être implémenté afin que chaque point de la méthode puisse être contrôlé. 2.3 Synthèse des exigences applicables Le label EBIOS Risk Manager se décline selon deux types de labellisation en fonction du mode de fonctionnement du logiciel. - Le logiciel fonctionnant de manière autonome sur une station de travail est soumis aux exigences relevant du mode « standalone ». - Le logiciel fonctionnant au sein d’une infrastructure réseau privée et dans un environnement client–serveur est soumis aux exigences relevant du mode « Client-Serveur ». La grille ci-dessous décline les exigences décrites dans la suite du document, et applicables au logiciel en fonction de son mode de fonctionnement. Exigences Label EBIOS Risk Manager Standalone Client- Serveur Spécifications générales Spécifications logicielles X X Classification de l’analyse de risque X X Guide d’utilisation X X Gestion des versions des analyses des risques X X Spécifications détaillées Atelier 1 – Cadrage et socle de sécurité X X Atelier 2 – Sources de risque X X Atelier 3 – Scénarios stratégiques X X Atelier 4 – Scénarios opérationnels X X Atelier 5 – Traitement du risque X X Exigences de sécurité Mécanismes d'identification et d'authentification et de cloisonnement des profils X 1 https://www.ssi.gouv.fr/administration/reglementation/protection-des-systemes-informations/instruction-interministerielle-n-901/ Page 6 sur 22 Exigences Label EBIOS Risk Manager Standalone Client- Serveur Confidentialité des données X Journalisation X Revue des politiques internes de développement X Maintien en condition de sécurité X Conditions générales d’emploi et d’usage X Page 7 sur 22 3. Spécifications générales 3.1 Spécifications logicielles Le logiciel devra fonctionner de manière autonome sur une station de travail (format « standalone ») ou selon un environnement client/serveur. Il devra permettre de dérouler de bout-en-bout les 5 ateliers de la méthode EBIOS Risk Manager: - Atelier 1 – Cadrage et socle de sécurité ; - Atelier 2 – Sources de risque ; - Atelier 3 – Scénarios stratégiques ; - Atelier 4 – Scénarios opérationnels ; - Atelier 5 – Traitement du risque. Il doit être possible de travailler de façon agile, c’est-à-dire itérative et incrémentale et d’exporter des livrables pour chacune des étapes. Leur contenu est détaillé, pour chaque atelier, dans le guide EBIOS Risk Manager (« Les données de sortie »). 3.2 Mention de protection de l’analyse de risque L’application permet de porter une mention (obligatoire) de protection à l’analyse de risque. Par exemple, non protégée, sensible, restreinte ou confidentielle. 3.3 Guide d’utilisation L’éditeur de l’application met à disposition un guide d’utilisation pour l’installation du logiciel, le lancement des fonctions de base, et propose des recommandations d’utilisation (en particulier lorsque des données sensibles ou devant porter une mention de protection seront utilisées pour produire l’analyse de risque). 3.4 Gestion des versions des analyses des risques L’application devra pouvoir gérer les versions successives d’une même analyse de risque : - en permettant à un utilisateur qui ouvrirait une analyse de risque de choisir s’il souhaite la mettre à jour dans le cadre d’un cycle opérationnel ou stratégique (exemple : case à cocher) ; - en incrémentant la version x.y de l’analyse de risque (par exemple incrément du « y » pour une mise à jour opérationnelle et du « x » pour une mise à jour stratégique) ; - en demandant à l’utilisateur quelles sont les modifications majeures apportées lors d’une mise à jour (exemple : champ texte renseigné librement) et quels ateliers sont concernés (exemple : cases à cocher) ; - en proposant une synthèse des mises à jour effectuées (à minima identification des ateliers et activités ayant fait l’objet de modifications). Page 8 sur 22 4. Spécifications fonctionnelles 4.1 Atelier 1 – Cadrage et socle de sécurité Activité 1.1 : Définir le cadre de l’étude Référence Exigence EXI_M1_01 L’application permet de renseigner les éléments du cadre de l’étude : - les objectifs de l’étude uploads/s3/ 20200124-anssi-cahier-des-charges-label-ebios-rm-v2.pdf

Documents similaires

Institut Supérieur Pédagogique de Mbuji-mayi | Troisième Graduat 1 LANGAGE DE P 0 0

Cours du module M31 : Technologies du Web Chapitre 2 : Langage HTML Pr. A. El M 0 0

Au bout des champs moissonnés sur lesquels étaient les charrettes où s'emplissa 0 0

LE GUIDE DU BARBECUE WEBER® POUR LA VIE ! SOMMAIRE L’HISTOIRE DE WEBER LE COUVE 0 0

Les Etudes De Cohorte (Cohort Study). Définition de la cohorte : Une cohorte e 0 0

CaliberRM ™ Guide du programmeur SDK Les applications mentionnées dans ce manue 0 0

HAL Id: tel-01791103 https://pastel.archives-ouvertes.fr/tel-01791103 Submitted 0 0

Apprenez à programmer en Java Par cysboy Ce PDF vous est offert par http://care 0 0

Apprenez à programmer en Java Par cysboy www.openclassrooms.com Licence Creativ 0 0

Pascal-Structures conditionnelles Exercice 1 : Écrire un programme qui permet d 0 0

• Détails
• Publié le Dec 22, 2021
• Catégorie Creative Arts / Ar...
• Langue French
• Taille du fichier 0.5909MB