Activité 1.3 – Détermination de la cible de l'étude de sécurité

Liens pour Naviguer dans ce module

Accueil  Module 1  Activité 1.1  Activité 1.2  Activité 1.3  Module 2 Exercices

Préalables

• Activité 1.2.

Données en entrée

• Données concernant le système cible.
• Présentation de l'organisme.
• Liste des contraintes générales pesant sur l'organisme.
• Liste des références réglementaires générales applicables à l'organisme.
• Architecture conceptuelle du système d'information.

Actions

• Présenter le système cible.
• Lister les enjeux.
• Lister les éléments essentiels.
• Faire une description fonctionnelle du système cible.
• Lister les hypothèses.
• Lister les règles de sécurité.
• Lister les contraintes pesant sur le système cible.
• Lister les références réglementaires spécifiques au système cible.

Données en sortie

• Présentation du système cible.
• Liste des éléments essentiels.
• Description fonctionnelle du système cible.
• Liste des enjeux du système cible.
• Liste des hypothèses.
• Liste des règles de sécurité.
• Liste des contraintes spécifiques au système cible.
• Liste des références réglementaires spécifiques au système cible.

Conseils pratiques

• Le nombre et la granularité des éléments essentiels dépendra du but de l'étude et de la nature du système cible. En effet, l'étude d'un système d'information global visant à obtenir une vision générale des risques ne requerra pas la même finesse que l'étude d'un système précis devant être homologué formellement.
• L'absence de spécifications du système peut remettre en cause la poursuite de l'étude de sécurité. En effet, il est peu utile de chercher à sécuriser un système mal connu. En revanche, il est envisageable de poursuivre une étude rapide, globale, qui devra ensuite être affinée à mesure que les spécifications s'enrichissent.
• Le découpage en sous-systèmes peut être envisagé dans le cas de systèmes complexes. Dans ce cas, il conviendra de mener plusieurs études en parallèle.

L'activité 1.3

Concepts principaux

L'activité 1.3 (Détermination de la cible de l'étude) est composé de sous activités représentés par les parallélogrammes verts sur la figure ci-dessous. Il y a deux sous activités à cette activité:

• Entités

• Relation entités - éléments

L'activité 1.3 correspond au dossier Détermination de la cible de l'étude de sécurité dans le dossier ÉTUDE DU CONTEXTE dans le logiciel EBIOS, tel qu'illustré dans la figure ci-dessous. Chacune des sous activités correspond à l'un des éléments composants du dossier.

Entités: Lister et décrire les entités du système

Le système cible se compose d'un assemblage d’entités techniques et non techniques qu'il convient d'identifier et de décrire. Ces entités possèdent des vulnérabilités que des méthodes d'attaque pourront exploiter, portant ainsi atteinte aux éléments essentiels, immatériels, du système cible (fonctions et informations). Ce sont donc ces entités qu'il faudra sécuriser. Celles-ci peuvent être de différents types. Une description des types d'entités proposés dans EBIOS est disponible ici.

Relation entités - éléments essentiels

Cette tâche permet de mettre en évidence :

• les liens entre les fonctions essentielles et les entités qui contribuent à la réalisation de ces fonctions pour le système cible,
• les liens entre les informations essentielles et les entités qui concourent au traitement de ces informations pour le système cible.

Ces liens seront utilisés dans la confrontation des menaces aux besoins. Ils sont représentés par une matrice où figurent les éléments essentiels et les entités sélectionnées. Le lien élément essentiel / entité est matérialisé dans le tableau par une ou plusieurs croix au croisement de l'élément essentiel et des entités concernées par cet élément essentiel.

Exemple de matrice des relations entre les éléments essentiels et les entités :

Retour au début de ce module

Liens pour Naviguer dans ce module

Accueil  Module 1  Activité 1.1  Activité 1.2  Activité 1.3  Module 2 Exercices

mise à jour: 27/05/2008 09:01:19 AM -0400