Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0 7 S P - T é l 0 1 7 1 7 5 8 4 6 5 - F a x 0 1 7 1 7 5 8 4 9 0 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d’information Sous-direction assistance, conseil et expertise Bureau assistance et conseil Version du 25 janvier 2010 Expression des Besoins et Identification des Objectifs de Sécurité EBIOS MÉTHODE DE GESTION DES RISQUES ANSSI/ACE/BAC EBIOS – Méthode de gestion des risques – 25 janvier 2010 Page 2 sur 95 Historique des modifications Date Objet de la modification Statut 02/1997 Publication du guide d'expression des besoins et d'identification des objectifs de sécurité (EBIOS) Validé 05/02/2004 Publication de la version 2 du guide EBIOS (convergence vers l'ISO 15408, ajout de l'étape 5 – Détermination des exigences de sécurité, clarifications et compléments) Validé 25/01/2010 Amélioration du guide EBIOS : Prise en compte des nombreux retours d'expériences de l'ANSSI et du Club EBIOS Convergence des concepts vers les normes internationales relatives au système de management de la sécurité de l'information et à la gestion des risques ([ISO 27001], [ISO 27005], [ISO Guide 73] et [ISO 31000]) Regroupement des sections 1 (Présentation), 2 (Démarche) et 3 (Techniques) en un seul guide méthodologique Refonte complète de la présentation de la méthode Révision du contenu de la démarche méthodologique o Mise en évidence des avantages, des parties prenantes, des actions de communication et concertation, et des actions de surveillance et revue dans les descriptions des activités o Module 1 : ajout de la définition du cadre de la gestion des risques (vision projet, étude des sources de menaces…), étude du contexte plus souple et davantage liée aux processus métiers, regroupement de toutes les métriques au sein de la même activité, mise en évidence de l'identification des sources de menaces et des mesures de sécurité existantes o Module 2 : expression des besoins selon les processus métiers, développement de l'analyse des impacts, lien avec les sources de menaces afin de disposer d'événements redoutés complets au sein du même module, ajout de l'estimation et de l'évaluation des événements redoutés o Module 3 : étude des scénarios de menaces par bien support et non plus par vulnérabilité, lien avec les sources de menaces afin de disposer de scénarios de menaces complets au sein du même module, ajout de l'estimation et de l'évaluation des scénarios de menaces o Module 4 : mise en évidence de l'appréciation des risques, hiérarchisation explicite des risques, changement de forme des objectifs de sécurité (notions de réduction, transfert, refus, prise de risques) o Module 5 : ajout explicite des notions de défense en profondeur, de risques résiduels, de déclaration d'applicabilité, de plan d'action et de la validation Validé ANSSI/ACE/BAC EBIOS – Méthode de gestion des risques – 25 janvier 2010 Page 3 sur 95 Table des matières AVANT-PROPOS .................................................................................................................................... 7 INTRODUCTION ..................................................................................................................................... 8 QU'EST-CE QU'EBIOS ? ........................................................................................................................ 8 OBJECTIFS DU DOCUMENT ..................................................................................................................... 8 DOMAINE D'APPLICATION ....................................................................................................................... 8 RÉFÉRENCES RÉGLEMENTAIRES ET NORMATIVES .................................................................................... 8 STRUCTURE DU DOCUMENT .................................................................................................................... 8 1 GÉRER DURABLEMENT LES RISQUES SUR LE PATRIMOINE INFORMATIONNEL ............. 9 1.1 L'ENJEU : ATTEINDRE SES OBJECTIFS SUR LA BASE DE DÉCISIONS RATIONNELLES ...................... 9 1.2 DES PRATIQUES DIFFÉRENTES MAIS DES PRINCIPES COMMUNS ................................................... 9 1.3 LA SPÉCIFICITÉ DE LA SÉCURITÉ DE L'INFORMATION : LE PATRIMOINE INFORMATIONNEL .............. 9 1.4 LA DIFFICULTÉ : APPRÉHENDER LA COMPLEXITÉ ...................................................................... 10 1.5 LE BESOIN D'UNE MÉTHODE .................................................................................................... 10 2 EBIOS : LA MÉTHODE DE GESTION DES RISQUES............................................................... 11 2.1 COMMENT EBIOS PERMET-ELLE DE GÉRER LES RISQUES ? ..................................................... 11 L'établissement du contexte ......................................................................................................... 11 L'appréciation des risques ............................................................................................................ 11 Le traitement des risques ............................................................................................................. 11 La validation du traitement des risques ........................................................................................ 12 La communication et la concertation relatives aux risques .......................................................... 12 La surveillance et la revue des risques ........................................................................................ 12 2.2 UNE DÉMARCHE ITÉRATIVE EN CINQ MODULES ......................................................................... 13 Module 1 – Étude du contexte ...................................................................................................... 13 Module 2 – Étude des événements redoutés ............................................................................... 13 Module 3 – Étude des scénarios de menaces .............................................................................. 13 Module 4 – Étude des risques ...................................................................................................... 13 Module 5 – Étude des mesures de sécurité ................................................................................. 13 2.3 DIFFÉRENTS USAGES D'EBIOS ............................................................................................... 14 EBIOS est une boîte à outils à usage variable ............................................................................. 14 Variation de la focale selon le sujet étudié ................................................................................... 14 Variation des outils et du style selon les livrables attendus ......................................................... 14 Variation de la profondeur selon le cycle de vie du sujet de l'étude ............................................. 15 Variation du cadre de référence selon le secteur ......................................................................... 15 Une réflexion préalable sur la stratégie de mise en œuvre est nécessaire ................................. 15 2.4 FIABILISER ET OPTIMISER LA PRISE DE DÉCISION ...................................................................... 16 Un outil de négociation et d'arbitrage ........................................................................................... 16 Un outil de sensibilisation ............................................................................................................. 16 Un outil compatible avec les normes internationales ................................................................... 16 Une souplesse d'utilisation et de multiples livrables ..................................................................... 16 ANSSI/ACE/BAC EBIOS – Méthode de gestion des risques – 25 janvier 2010 Page 4 sur 95 Une méthode rapide ..................................................................................................................... 16 Un outil réutilisable ....................................................................................................................... 16 Une approche exhaustive ............................................................................................................. 16 Un référentiel complet ................................................................................................................... 16 Une expérience éprouvée ............................................................................................................. 16 De nombreux utilisateurs .............................................................................................................. 16 2.5 RIGUEUR DE LA MÉTHODE EBIOS ........................................................................................... 17 Une méthode valide : la démarche peut être reproduite et vérifiée .............................................. 17 Une méthode fidèle : la démarche retranscrit la réalité ................................................................ 17 3 DESCRIPTION DE LA DÉMARCHE ........................................................................................... 18 MODULE 1 – ÉTUDE DU CONTEXTE ....................................................................................................... 19 Activité 1.1 – Définir le cadre de la gestion des risques ............................................................... 20 Action 1.1.1. Cadrer l'étude des risques .................................................................................. 21 Action 1.1.2. Décrire le contexte général ................................................................................. 23 Action 1.1.3. Délimiter le périmètre de l'étude .......................................................................... 26 Action 1.1.4. Identifier les paramètres à prendre en compte ................................................... 29 Action 1.1.5. Identifier les sources de menaces ....................................................................... 32 Activité 1.2 – Préparer les métriques ............................................................................................ 34 Action 1.2.1. Définir les critères de sécurité et élaborer les échelles de besoins .................... 35 Action 1.2.2. Élaborer une échelle de niveaux de gravité ........................................................ 37 Action 1.2.3. Élaborer une échelle de niveaux de vraisemblance ........................................... 38 Action 1.2.4. Définir les critères de gestion des risques .......................................................... 39 Activité 1.3 – Identifier les biens ................................................................................................... 40 Action 1.3.1. Identifier les biens essentiels, leurs relations et leurs dépositaires .................... 41 Action 1.3.2. Identifier les biens supports, leurs relations et leurs propriétaires ...................... 43 Action 1.3.3. Déterminer le lien entre les biens essentiels et les biens supports .................... 45 Action 1.3.4. Identifier les mesures de sécurité existantes ...................................................... 46 MODULE 2 – ÉTUDE DES ÉVÉNEMENTS REDOUTÉS ................................................................................ 47 Activité 2.1 – Apprécier les événements redoutés ....................................................................... 48 Action 2.1.1. Analyser tous les événements redoutés ............................................................. 49 Action 2.1.2. Évaluer chaque événement redouté ................................................................... 52 MODULE 3 – ÉTUDE DES SCÉNARIOS DE MENACES ................................................................................ 53 Activité 3.1 – Apprécier les scénarios de menaces ...................................................................... 54 Action 3.1.1. Analyser tous les scénarios de menaces ............................................................ 55 Action 3.1.2. Évaluer chaque scénario de menace .................................................................. 58 MODULE 4 – ÉTUDE DES RISQUES ........................................................................................................ 60 Activité 4.1 – Apprécier les risques .............................................................................................. 61 Action 4.1.1. Analyser les risques ............................................................................................ 62 Action 4.1.2. Évaluer les risques .............................................................................................. 64 Activité 4.2 – Identifier les objectifs de sécurité ............................................................................ 65 Action 4.2.1. Choisir les options de traitement des risques ..................................................... 66 Action 4.2.2. Analyser les risques résiduels ............................................................................. 68 MODULE 5 – ÉTUDE DES MESURES DE SÉCURITÉ .................................................................................. 69 Activité 5.1 – Formaliser les mesures de sécurité à mettre en œuvre ......................................... 70 Action 5.1.1. Déterminer les mesures de sécurité ................................................................... 72 Action 5.1.2. Analyser les risques résiduels ............................................................................. 75 Action 5.1.3. Établir une déclaration d'applicabilité .................................................................. 76 Activité 5.2 – Mettre en œuvre les mesures de sécurité .............................................................. 77 Action 5.2.1. Élaborer le plan d'action et suivre la réalisation des mesures de sécurité ......... 78 Action 5.2.2. Analyser les risques résiduels ............................................................................. 80 Action 5.2.3. Prononcer l'homologation de sécurité ................................................................. 81 ANSSI/ACE/BAC EBIOS – Méthode de gestion des risques – 25 janvier 2010 Page 5 sur 95 ANNEXE A – DÉMONSTRATION DE LA COUVERTURE DES NORMES ........................................ 82 EBIOS SATISFAIT LES EXIGENCES DE L'[ISO 27001] ........................................................................... 82 EBIOS DÉCLINE PARFAITEMENT L'[ISO 27005] ................................................................................... 85 EBIOS EST DÉCLINE PARFAITEMENT L'[ISO 31000] ............................................................................. 86 ANNEXE B – RÉFÉRENCES ............................................................................................................... 87 ACRONYMES ....................................................................................................................................... 87 DÉFINITIONS ........................................................................................................................................ 88 Appréciation des risques .............................................................................................................. 88 Besoin de sécurité ........................................................................................................................ 88 Bien ............................................................................................................................................... 88 Bien essentiel................................................................................................................................ 88 Bien support .................................................................................................................................. 89 Communication et concertation .................................................................................................... 89 Confidentialité ............................................................................................................................... 89 Critère de sécurité ........................................................................................................................ 89 Disponibilité ................................................................................................................................... 89 Établissement du contexte ............................................................................................................ 89 Événement redouté ...................................................................................................................... 90 Gestion des risques ...................................................................................................................... 90 Gravité .......................................................................................................................................... 90 Homologation de sécurité ............................................................................................................. 90 Impact ........................................................................................................................................... 91 Information .................................................................................................................................... 91 Intégrité ......................................................................................................................................... 91 Menace ......................................................................................................................................... 91 Mesure de sécurité ....................................................................................................................... 91 Objectif de sécurité ....................................................................................................................... 91 Organisme .................................................................................................................................... 91 Partie prenante ............................................................................................................................. 91 Prise uploads/Management/ ebios-1-guidemethodologique-2010-01-25 1 .pdf