Module 1

Liens pour Naviguer dans cette formation

Accueil  Introduction  Conclusion  Exercices
Module 1  Module 2  Module 3  Module 4  Module 5 

EBIOS est une méthode en cinq étapes facile à comprendre et à appliquer. Dans cette formation chaque étape fait l'objet d'un module. La philosophie générale d'EBIOS est simple et intuitive, et son déroulement naturel. Elle consiste à formaliser les besoins de sécurité et les menaces, et à déterminer les risques pesant sur l'organisme. Chacun peut s'approprier la méthode et adapter son approche selon les sujets étudiés. EBIOS a été appliquée aussi bien sur des systèmes simples (serveur web) que sur des systèmes complexes (système de gestion des concours et du personnel impliquant différentes interconnexions), sur des systèmes à concevoir que sur des systèmes existants, ou encore sur des systèmes d'information entiers que sur des sous-systèmes.

Les cinq étapes d'EBIOS sont:

  1. L'étude du contexte

  2. L'expression des besoins de sécurité

  3. L'étude des menaces

  4. L'expression des objectifs de sécurité

  5. La détermination des exigences de sécurité

Ce module de formation en ligne porte sur la première étape: l'étude du contexte.

Les étudiants qui en sont à leur première lecture devraient débuter par la lecture du texte ci-dessous.

Étape 1 – Étude du contexte

Liens pour Naviguer dans ce module

Accueil  Module 1  Activité 1.1  Activité 1.2  Activité 1.3  Module 2 Exercices

Cette étape est la première à être mise en œuvre lors de l'utilisation de la méthode EBIOS. Il n'y a aucune étape préalable à celle-ci.  Cette étape essentielle a pour objectif d'identifier globalement le système cible et de le situer dans son environnement pour déterminer précisément la cible de l'étude.

Elle permet notamment de préciser pour le système les enjeux, le contexte de son utilisation, les missions ou services qu'il doit rendre et les moyens utilisés. Elle permet également de réunir toutes les informations nécessaires à la planification de l'étude. Globalement, sa place dans le déroulement d'une étude EBIOS est représenté par la bloc orange dans la figure ci-dessous.


 

À l'issue de cette étape, le champ d'investigation de l'étude devrait être clairement délimité, les hypothèses, les obligations et les contraintes sont recensées et les sujets à traiter connus.

Comme nous l'avons lu dans l'introduction, le risque informationnel dépend du contexte particulier d'une situation particulière. Lors de l'analyse d'un actif informationnel, d'un système d'information ou d'une organisation, ce sont les attentes de l'organisation en matière de confidentialité, de disponibilité, de qualité ou de justesse des informations impliquées qui déterminent ce qu'est le risque dans ce cas. Le cadre légal, la gouvernance et la culture organisationnelle seront aussi des composantes importantes de la détermination de ce qu'est le risque.

L'étape se divise en trois activités :

  • Étude de l'organisme

  • Étude du système cible

  • Détermination de la cible de l'étude de sécurité

À l'issue de la première étape, l'environnement, le but et le fonctionnement du système cible sont parfaitement connus, les éléments essentiels et les entités sur lesquelles ils reposent sont identifiés.

Qu'est-ce qu'on étudie?

Il convient, lorsqu'on applique une méthode comme EBIOS de se questionner sur le sujet à l'étude. Bien des approches sont possibles et les organisations ont diverses motivations pour effectuer une analyse de risque. Bien qu'il existe de différents points de vue sur l'envergure à donner à une étude, il est essentiel que cela reste réaliste compte tenu des délais accordés et des ressources disponibles. De plus le biveau de maturité organisationnelle en gestion des risques informationnels devrait avoir un impact sur les choix effectués.

Bien que le concept de la maturité organisationnelle en matière de gestion de risque n'est pas exploré dans cette formation en ligne, les étudiants du cours DAT816 ont examiné ces concepts durant le cours.

EBIOS est axée vers la protection des actifs informationnels. Sur le terrain ceci demande l'identification des actifs et la définition du contexte dans lequel ces actifs informationnels existent. Dans la pratique ces actifs informationnels ont souvent comme lieu d'existence commun les systèmes d'informations de l'organisation. Le choix des systèmes d'informations comme point de départ est très utile car il permet de concevoir l'étude comme un projet avec des acteurs et des contraintes qui peuvent être déterminées.  Ainsi nous suggérons que le sujet de l'étude, ou la cible de l'étude dans le langage EBIOS, soit un système d'information. Il est cependant possible de choisir une unité fonctionnelle, une unité d'affaires ou un organisation complète comme sujet de l'étude.
Les étudiants devraient devenir très familier avec les définitions présentées. Le compréhension de ces termes est essentielle à l'application de la méthode EBIOS.

Définitions essentielles

Élément(s) essentiel

Les éléments essentiels sont liés à un ensemble d'entités de différents types : matériels, logiciels, réseaux, organisations, personnels et sites.

Prenons l'exemple d'un paramètre de calcul de trajectoire pour le lancement d'une fusée. Il est lié aux ordinateurs de contrôle, aux logiciels de traitement, aux opérateurs, à la fusée, aux réglementations du domaine.

Entité

 Individu utilisateur, processus ou serveur sécurisé.

Menace

 Une menace consiste en une situation ou une condition avec le potentiel de compromettre la sécurité de l’information. Tout acte ou événement pouvant avoir l'une ou plusieurs des conséquences suivantes : divulgation non autorisée, destruction, enlèvement, modification ou interruption de renseignements, de biens ou de services de nature délicate, ou blessures corporelles est une menace. Une menace peut être délibérée ou accidentelle. La présence d’une vulnérabilité technologique, connue ou inconnue, est une menace.

Objectifs de sécurité

Les principaux objectifs de la sécurité de l’information sont :

  • La confidentialité des données;

  • L’intégrité des données;

  • La disponibilité des données;

  • L’irrévocabilité des transactions;

  • L’authentification des utilisateurs;

  • L'authentification de l’origine des données;

  • Le contrôle des accès.

    De plus, une organisation peut avoir d'autres objectifs en fonction de son cadre règlementaire, ses obligations contractuelles,  ses règles de gouvernance, des attentes de ses ayants cause ou pour d'autres raisons.

Risque

Il n'existe pas une seule du unique définition du risque. Sa définition stricte dépend du contexte particulier dans lequel on l'analyse. L’ensemble des définitions représentent le risque comme:

  • La possibilité que les choses se passent mal;;

  • Incontournable et inévitable;

  • Une fonction de l’utilité attendue (Risque ≈ $);

  • La différence entre ce qui était attendu ($) et la réalité;

  • Mesurable avec la probabilité
    Risque = (Pb(Ev) x Conséquence);

  • Subjectif, interprété.

Sécurité
Absence de risque inacceptable.

Sécurité de l’information

 		 La sécurité de l’information est définie comme l’ensemble des actions et des procédures conçues pour prévenir, avec un niveau de certitude démontrable, la divulgation, le transfert, la modification ou la destruction non autorisée, volontaire ou accidentelle de données.
Système cible Le système d'information qui est le sujet d'une étude selon la méthodologie EBIOS.

Système d'information

Un système d'information repose sur des éléments essentiels, fonctions et informations, qui constituent la valeur ajoutée du système d'information pour l'organisme.

Par exemple, un système de contrôle de trajectoire pour le lancement d'une fusée repose sur diverses informations telles que des paramètres ou des résultats de calculs et sur diverses fonctions permettant de réaliser ces calculs.
Vulnérabilité
Une vulnérabilité est un état dans un système d’information qui, s’il était exploité, permet de :
  • divulguer des données (atteinte à la confidentialité);
  • modifier des données (atteinte à l’intégrité);
  • nuire à la disponibilité des données;
  • répudier des transactions;
  • falsifier l’authentification des utilisateurs ou de l’origine des données;
  • éviter le contrôle des accès.
 

Les activités de l'étape 1


 

Les étudiants devraient se familiariser avec le tableau présenté ci haut. Ce tableau présente l'ensemble des activités et leur enchaînement lors de la réalisation d'une étude EBIOS. Les étudiants pourront s'y référer comme aide-mémoire lors de l'application de la méthode.

Il est possible de naviguer rapidement dans les diverses étapes en cliquant directement sur le tableau.

Les étudiants qui en sont à leur première lecture devraient, après la lecture du texte ci-dessus, se familiariser avec chacune des trois (3) activités de l'étape 1 (Étude du contexte).

Cheminement proposé
 

Ce Module

Activité 1.1

Activité 1.2

Activité 1.3

Module 2

 


Module suivant

Liens pour Naviguer dans cette formation

Accueil  Introduction  Conclusion  Exercices
Module 1  Module 2  Module 3  Module 4  Module 5 

Liens pour Naviguer dans ce module

Accueil  Module 1  Activité 1.1  Activité 1.2  Activité 1.3  Module 2 Exercices

mise à jour: 27/05/2008 09:00:58 AM -0400