Introduction

Liens pour Naviguer dans cette formation

Accueil  Introduction  Conclusion  Exercices
Module 1  Module 2  Module 3  Module 4  Module 5 

Ce module a pour objectif principal de présenter sommairement les principaux éléments de la méthode EBIOS. Ce module a aussi comme objectif secondaire d'habiliter les étudiants à comprendre les principaux concepts de la gestion du risque informationnel et de la sécurité de l'information. Les étudiants devraient lire les textes proposés et installer le logiciel EBIOS avant de passer au module suivant.

Ce module devrait prendre approximativement une (1) heure à compléter.

Cheminement proposé

Lecture de l'introduction

Structure de cette formation

Installation du logiciel

Passez au Module 1

D'où provient EBIOS ?

EBIOS diffusée gratuitement par la Direction centrale de la sécurité des systèmes d'information (DCSSI), centre focal de la République Française pour la sécurité des systèmes d'information (SSI). Elle est placée sous l'autorité du Secrétaire général de la défense nationale (voir la figure).

De nombreux organismes du secteur public et privé en France utilisent la méthode pour faire ou pour réaliser eux-mêmes des analyses de risques : les administrations du Gouvernement de la République Française, le Centre national d'études spatiales (CNES), le Commissariat à l'énergie atomique (CEA), la Caisse nationale d'assurance maladie (CNAM), le Groupement des Cartes Bancaires "CB", ALCATEL, des agences sanitaires, les Aéroports de Paris (ADP), le Conseil de l'Union européenne et plusieurs autres.

EBIOS permet d'apprécier les risques informationnels, de contribuer à leur traitement en spécifiant les exigences à mettre en œuvre, de préparer l'ensemble du dossier nécessaire à l'acceptation des risques et de fournir les éléments utiles à la communication relative aux risques. EBIOS est actuellement employée dans le secteur public, dans le secteur privé, en France et à l'international.

Le logiciel libre EBIOS permet de suivre la démarche méthodologique, de personnaliser des bases de connaissances et de produire des livrables appropriés.

Quel est son coût?

EBIOS est gratuite. L'ensemble de le méthode, le logiciel et des guides d'utilisation peuvent être obtenu sur le site internet de la Direction centrale de la sécurité des systèmes d'information (DCSSI) http://www.ssi.gouv.fr/fr/dcssi/index.html ou directement via le lien http://www.ssi.gouv.fr/fr/confiance/methodes

Sécurité des systèmes d'information ou Risque informationnel?

Les documents de la DCSSI font référence au concept de la Sécurité des systèmes d'information ou SSI, alors que cette formation en ligne utilise le terme Risque informationnel. Ces termes, quoique ayant un sens proche, sont distincts. La SSI réfère à des éléments techniques (Systèmes d'informations) qui sont les outils qui manipulent les données numériques. Le terme Risque informationnel réfère à l'ensemble des risques, de quelque nature, qui sont susceptibles d'exister lors de l'acquisition, la manipulation, l'utilisation ou la destruction d'informations. Ceci indépendamment de sa nature (image, son, texte) et de son support (papier, numérique).

Nous croyons que ce second terme est approprié dans le contexte de cette formation réalisée au Québec compte tenu des pratiques existantes. Les étudiants qui utiliserons les documents de la DCSSI devront prendre note de cette différence.

EBIOS: Une démarche simple et des résultats adaptés

EBIOS est une méthode en cinq étapes facile à comprendre et à appliquer. Sa philosophie générale est simple et intuitive, et son déroulement naturel. Elle consiste à formaliser les besoins de sécurité et les menaces, et à déterminer les risques pesant sur l'organisme.

Chacun peut s'approprier la méthode et adapter son approche selon les sujets étudiés. EBIOS a été appliquée avec succès aussi bien sur des systèmes simples (serveur web) que sur des systèmes
complexes (système de gestion en réseau étendu), sur des systèmes à concevoir que sur des systèmes existants, ou encore sur des systèmes d'information entiers que sur des sous-systèmes de ceux-ci.

Un seul et même outil, le logiciel EBIOS, permet de réaliser différentes démarches sécuritaires liées à la gestion des risques informationnels. EBIOS est en effet utilisée pour contribuer à l'élaboration d'un schéma directeur de gestion des actifs informationnels, pour réaliser les premières étapes d'une politique de sécurité et d'un tableau de bord du risque informationnel, pour contribuer à la rédaction d'un Profil de Protection (PP) ou encore pour tout autre cahier des charges relié au risque informationnel et à la sécurité des systèmes d'informations.

EBIOS contribue à l'élaboration des tâches que la maîtrise d'ouvrage doit réaliser. Elle permet en effet de déterminer le périmètre de l'étude tout en gardant une vision globale du système étudié dans son contexte, d'exprimer des besoins (liés aux biens à protéger), d'identifier des menaces et de définir un plan de projets et des responsabilités.

La méthode EBIOS est un outil de choix et d'appréciation de la maîtrise d'œuvre pour adhérer aux objectifs exprimés par la maîtrise d'ouvrage, pour répondre aux questions relatives à la faisabilité, aux coûts et aux délais induits, et enfin pour choisir des solutions. C'est aussi un outil de mesure d'impact et de négociation entre la maîtrise d'ouvrage et la direction (du projet, de l'organisme) offrant à celle-ci la possibilité de contrôler l'adéquation des systèmes d'information et de centraliser les études et la gestion des risques informationnels.

La compatibilité avec d'autres outils permet de garder une parfaite cohérence dans le processus de gestion des risques informationnels. Par exemple, l'ISO/IEC 15408 et l'ISO/IEC 17799 peuvent être utilisés pour déterminer les objectifs et exigences de sécurité.

Les étudiants qui en sont à leur première lecture devraient débuter par la lecture du texte suivant: Léger, Marc-André, Sécurité Informatique 101, Journal de L'ISMS IUG du Canada, Septembre 2006, http://www.ismsiug.ca/doc/20060606_Securite101.pdf

Ceux qui sont déjà familier avec la sécurité de l'information bénéficieront d'une révision des concepts clés. Pour les étudiants avancés, il peut être utile de réviser les concepts discutés ici au besoin.

Pourquoi utiliser une méthode?

L'étude du risque informationnel dans un organisation est complexe. Tel que mentionné dans le texte précédent, une grande composante de la complexité proviens de la subjectivité présente à divers niveaux. L'utilisation d'une méthode est utile afin de minimiser les erreurs de mesure du risque et afin d'encadrer la subjectivité. De nombreux domaines de connaissances, tels la médecine ou les sciences sociales, ont utilisé des méthodes afin d'extraire des informations sur un problème, une maladie ou une organisation, ont utilisé des méthodes dans un objectif de fournir un cadre de rigueur scientifique à leurs travaux.

Dans le domaine des technologies de l'information des méthodes sont utilisés pour faciliter le développement de systèmes d'information de qualité. Par exemple des méthodes de gestion de projet permettent d'atteindre des buts en respectant des échéanciers et des budgets tout en tenant compte des contraintes organisationnelles.  Des travaux de recherche ont démontré qu'ils sont efficace. 

L'utilisation d'une méthode éprouvé permettra d'étudier une situation selon un cadre dont la valeur, mais aussi les limites, sont connues. Elle permettra d'obtenir des résultats qui pourront être vérifier. La méthode commune permettra de comparer des unités fonctionnelles d'une organisation avec une autre, ou encore la comparaison entre deux organisations similaires.  Il importe cependant que la méthode choisie aie été conçue en tenant comptes des critères de rigueur et de scientificité, ce qui est le cas d'EBIOS et de d'autres méthodes disponible. EBIOS ayant le grand avantage d'être gratuite, nous avons choisi de nous concentrer sur celle-ci.

 

Qualitative ou quantitative ?

Il existe deux principales catégories de méthodes qui sont définie selon que l'on mesure les données examinées en fonction de valeurs quantifiables (par des chiffres) ou par des mesures subjectives (qualitatives). Elles sont:

  • Approche qualitative: Priorisation des éléments constitutifs du risque en termes subjectifs (e.g. bas, moyen élevé).

  • Approche quantitative: Basé sur la quantification du niveau d’exposition à des événements négatifs d’un système d’information à l'aide de données historiques, de mesures, de sondes ou d'analyse statistique. 

Chacune de ces approches a des avantages et des inconvénients qui leur sont propre. Il est difficile de déterminer, à priori, laquelle de ces approches est supérieure, ce qui dépend d'une situation particulière. Il est certain qu'une approche quantitative, basée sur des mesures historiques et actuelles, peut utiliser le domaine des mathématiques et, plus particulièrement de la statistique, afin de démontrer sa pertinence. La mesure de vulnérabilités, les test de capacité ou de temps de réponse fournit des données objectives qui peuvent être utilisés dans une approche quantitative. Les approches qualitatives sont prisonnières de la difficulté intrinsèque de la subjectivité et de son interprétation par des individus. Les individus sont sujet aux limites de leurs sens et à leur habilité à interpréter l'information. Les approches qualitatives dépendent de la communication entre individus de données subjectives ou de leur perception d'événements futurs anticipés.

La perception humaine est un phénomène complexe qui fait l'objet d'études continuelles. Bien qu'un examen en profondeur soit utile à l'étudiant. Ce qui est important de comprendre est qu'un assemblage complexe des expériences, de l'éducation, des croyances et des règles d'un individu et du groupe dans lequel il existe qui déterminent comment un individu comprend le monde dans lequel il existe. Lorsqu'il exprime sa compréhension du monde ou d'une situation, par exemple lors d'une analyse du risque informationnel, il utilise le vocabulaire à sa disposition pour exprimer sa compréhension.

L'encadrement méthodologique et l'utilisation de bases de connaissances sont les solutions utilisés dans EBIOS pour encadrer la subjectivité.

Bien que certaines méthodes utilisent une approche mixte, la plupart de celles qui sont utilisées sont fort probablement des approches qualitatives. Les approche mixtes qui utilisent des calculs statistiques sur des données subjectives doivent respecter des critères de scientificité très particuliers afin de maintenir la validité des résultats. Beaucoup de travail reste à faire dans la communauté scientifique pour définir ce que constitue la rigueur scientifique pour les approches mixtes. Il est donc nécessaire de se questionner dans le choix d'une méthode pour s'assurer qu'elle correspond au besoins de l'organisation qui souhaite l'appliquer.  Beaucoup d'effort ont été déployés par la DCSSI et le Club EBIOS pour s'assurer de la rigueur d'EBIOS. De plus, elle s'améliore avec chaque nouvelle version.

Les principes de la méthode EBIOS

EBIOS est une méthode en cinq étapes facile à comprendre et à appliquer. Dans cette formation chaque étape fait l'objet d'un module. La philosophie générale d'EBIOS est simple et intuitive, et son déroulement naturel. Elle consiste à formaliser les besoins de sécurité et les menaces, et à déterminer les risques pesant sur l'organisme. Chacun peut s'approprier la méthode et adapter son approche selon les sujets étudiés. EBIOS a été appliquée aussi bien sur des systèmes simples (serveur web) que sur des systèmes complexes (système de gestion des concours et du personnel impliquant différentes interconnexions), sur des systèmes à concevoir que sur des systèmes existants, ou encore sur des systèmes d'information entiers que sur des sous-systèmes.

Les cinq étapes d'EBIOS sont:

  1.  L'étude du contexte

  2. L'expression des besoins de sécurité

  3. L'étude des menaces

  4. L'expression des objectifs de sécurité

  5. La détermination des exigences de sécurité

Le texte qui suit décrit sommairement chacune de ces étapes.

Étape 1: L'étude du contexte

Un système d'information repose sur des éléments essentiels, fonctions et informations, qui constituent la valeur ajoutée du système d'information pour l'organisme.

Par exemple, un système de contrôle de trajectoire pour le lancement d'une fusée repose sur diverses informations telles que des paramètres ou des résultats de calculs et sur diverses fonctions permettant de réaliser ces calculs.

Les éléments essentiels sont liés à un ensemble d'entités de différents types : matériels, logiciels, réseaux, organisations, personnels et sites.

Prenons l'exemple d'un paramètre de calcul de trajectoire pour le lancement d'une fusée. Il est lié aux ordinateurs de contrôle, aux logiciels de traitement, aux opérateurs, à la fusée, aux réglementations du domaine…

Étape 2: L'expression des besoins de sécurité

Chaque élément essentiel a un besoin de sécurité pour que le métier fonctionne correctement.

Ce besoin de sécurité s'exprime selon différents critères de sécurité tels que la disponibilité, l'intégrité et la confidentialité. Si ce besoin n'est pas respecté, l'organisme en sera impacté. Cet impact peut revêtir différentes formes : pertes financières, atteinte au bon déroulement des activités, atteinte à l'image de marque, atteinte à la sécurité des personnels, pollution …

Reprenons l'exemple du paramètre de calcul de trajectoire pour le lancement d'une fusée. Il s'agit d'une information qui devrait avoir un fort besoin de disponibilité et d'intégrité pour éviter l'atteinte à la sécurité du personnel.

Étape 3: L'étude des menaces

Par ailleurs, chaque organisme est exposé à divers éléments menaçants, de par son environnement naturel, sa culture, son image, son domaine…

Un élément menaçant peut être caractérisé selon son type (naturel, humain ou environnemental) et selon sa cause (accidentelle ou délibérée). Il peut employer diverses méthodes d'attaque qu'il convient alors d'identifier. Une méthode d'attaque est caractérisée par les critères de sécurité (disponibilité, intégrité, confidentialité…) qu'elle peut affecter et par les éléments menaçants susceptibles de l'utiliser.

Poursuivons notre exemple. Un organisme qui lance des fusées doit prendre en comptent un grand nombre de méthodes d'attaque et d'éléments menaçants :

  • les accidents physiques (ex : incendie),

  • les événements naturels (ex : phénomène sismique),

  • les pertes de services essentiels (ex : perte d'alimentation électrique),

  • la compromissions des informations (ex : piégeage du logiciel),

  • les défaillance techniques (ex : dysfonctionnement du matériel),

  • les agressions physiques (ex : sabotage),

  • les erreurs (ex : erreur d'interprétation)…

Chaque entité possède des vulnérabilités qui pourront être exploitées par les éléments menaçants selon chaque méthode d'attaque.

Ainsi, on pourra mettre en évidence plusieurs vulnérabilités liées aux entités de l'organisme qui lance des fusées :

  • la possibilité d'existence de fonctions cachées introduites en phase de conception ou de développement (logiciels),

  • l'utilisation de matériels non évalués (matériels),

  • la possibilité de créer ou modifier des commandes systèmes (réseaux),

  • le réseau permet d'agir sur les logiciels des ressources du système (réseaux),

  • la facilité de pénétrer sur le site par des accès indirects (locaux),

  • le non respect des consignes de la part de certains opérateurs (personnels),

  • l'absence de mesures de sécurité dans les phases de conception, installation et exploitation (organisation)…

Étape 4: L'expression des objectifs de sécurité

Il ne reste plus qu'à déterminer comment les éléments essentiels peuvent être affectés par les éléments menaçants et par leurs méthodes d'attaque : il s'agit du risque.

Le risque représente un sinistre possible. C'est le fait qu'un élément menaçant puisse affecter des éléments essentiels en exploitant les vulnérabilités des entités sur lesquelles ils reposent avec une méthode d'attaque particulière.

Dans notre exemple, un risque consiste en la compromission d'informations sensibles par piégeage du logiciel du fait de la possibilité de créer ou modifier des commandes systèmes liées au réseau, ce qui pourrait avoir un impact sur la sécurité des personnels et sur l'image de marque.

Les objectifs de sécurité consistent principalement à couvrir les vulnérabilités des entités qui composent l'ensemble des risques retenus. En effet, il est inutile de protéger ce qui n'est pas exposé. On note aussi que plus le potentiel d'attaque est important et plus le niveau des objectifs de sécurité sera important. Ces objectifs constituent ainsi un cahier des charges parfaitement adapté.

L'un des objectifs de sécurité pour l'organisme qui lance des fusées est de sécuriser la création et la modification des commandes systèmes liées au réseau.

Étape 5: La détermination des exigences de sécurité

L'équipe en charge de la mise en œuvre de la démarche doit ensuite spécifier de manière précise les fonctionnalités attendues en matière de sécurité. Elle doit alors démontrer la parfaite couverture des objectifs de sécurité par ces exigences fonctionnelles.

Dans notre exemple, l'une des exigences fonctionnelles couvrant la sécurisation de la création et de la modification des commandes systèmes liées au réseau est la suivante : le système doit exécuter une suite d'autotests de façon périodique pendant le fonctionnement normal pour démontrer son fonctionnement correct.

L'équipe en charge doit enfin spécifier les exigences d'assurance qui permettent d'obtenir le niveau de confiance requis, pour ensuite le démontrer.

L'une des exigences d'assurance est la suivante : le développeur doit effectuer une analyse de la résistance des fonctions de sécurité du système selon le niveau de résistance requis.

Une fois la lecture de cette page complétée les étudiants devraient procéder à l'installation du Logiciel EBIOS.

Lorsque le logiciel sera installé, il est suggéré de procéder au module suivant.


Installation du logiciel

Liens pour Naviguer dans cette formation

Accueil  Introduction  Conclusion  Exercices
Module 1  Module 2  Module 3  Module 4  Module 5 

mise à jour: 27/05/2008 09:01:24 AM -0400