ingénieurs 2000 – ulmv – ir3 – 21/01/2007 l. andriet – f. bidet – i. boelle – v....
TRANSCRIPT
![Page 1: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/1.jpg)
Ingénieurs 2000 – ULMV – IR3 – 21/01/2007L. Andriet – F. Bidet – I. Boelle – V. BoistuaudA. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr
![Page 2: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/2.jpg)
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
![Page 3: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/3.jpg)
Part d’une initiative Gouvernementale Rédigée par la DCSSI Recommandé/Imposé par la SGDN
Prévenir les risques informatiques Eviter les pertes financières Garantir la continuité des activités Protéger les informations Protéger contre les attaques Assurer le respect des lois et règlements
![Page 4: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/4.jpg)
Modulaire S’adapte à tout SI quel que soit sa taille Compétences acquises au fil du temps Se réalise en 4 étapes + résultat
Détermination et prévention des risques Détermination des besoins spécifiques Détection des risques potentiels Obtention d’un plan d’action
Simplifie les communications inter services Le plan d’action définit les relations
![Page 5: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/5.jpg)
Toute entreprise possédant/concevant un S.I.
Taux important d’adoption dans le public CNAM (Assurance Maladie) France Telecom GIE Carte Bleue Ministères (presque tous)
Imposé pour certains traitement Données classifiées défense
Libre d’utilisation dans les autres cas
![Page 6: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/6.jpg)
Mise en œuvre encadrée Principes généraux de la méthode Guides des meilleures pratiques Outil d’aide à la mise en œuvre Possibilité de contacter un consultant
![Page 7: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/7.jpg)
Bien ressource ayant une valeur pour l’organisme
Entité un bien de type organisation, site, personnel,
matériel, réseau, logiciel, système Element essentiel
Information ou fonction ayant un besoin de sécurité non nul
Elément menaçant Action ou élément ayant des conséquences
négatives
![Page 8: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/8.jpg)
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
![Page 9: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/9.jpg)
L’étude du contexteL’expression des besoins de sécuritéL’étude des menacesL’expression des objectifs de
sécuritéLa détermination des exigences de
sécurité
![Page 10: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/10.jpg)
![Page 11: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/11.jpg)
L’étude du contexte Objectif : cibler le système d’information Plusieurs étapes :
![Page 12: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/12.jpg)
L’expression des besoins de sécurité Estime les critères de risque Détermine les critères de risque
![Page 13: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/13.jpg)
L’étude des menaces Défini les risques en fonction de
l’architecture technique du système d’information
![Page 14: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/14.jpg)
Pré-requis : 1.2
![Page 15: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/15.jpg)
Pré-requis : 1.3 et 3.1
![Page 16: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/16.jpg)
Pré-requis : 3.1 et 3.2
![Page 17: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/17.jpg)
L’expression des objectifs de sécurité Mettre en évidence les risques contre
lesquels le SI doit être protégé
![Page 18: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/18.jpg)
Pré-requis : 1.3, 2.2 et 3.3
![Page 19: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/19.jpg)
Pré-requis : 1.1, 1.2, 2.4 et 4.1
![Page 20: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/20.jpg)
Pré-requis : 3.3 et 4.2
![Page 21: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/21.jpg)
La détermination des exigences de sécurité Détermine les limites en termes
d’exigences de sécurité.
![Page 22: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/22.jpg)
Pré-requis : 4.3
![Page 23: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/23.jpg)
Pré-requis : 4.3
![Page 24: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/24.jpg)
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
![Page 25: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/25.jpg)
Conception d’un nouveau SI SI : Ensemble de logiciels, matériels,
personnels, locaux
Intérêts de EBIOS:▪ Plan de travail: conception, validation▪ Adéquation des ressources aux besoins▪ Politique de sécurité claire et réaliste
![Page 26: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/26.jpg)
Plan de travail Étape 1: Étude du contexte
▪ Étude de la politique de sécurité▪ Basée sur le référentiel de l’organisme▪ Sous la responsabilité du MO
validée par le plus haut niveau hiérarchique
▪ Étude du système cible (spécifications) ▪ Basée sur le référentiel de l’organisme▪ Corrigée lorsque les spécifications évoluent▪ Sous la responsabilité du MO
![Page 27: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/27.jpg)
Étape 2: Expression des besoins de sécurité
▪ Rédaction et synthèse des besoins▪ Basée sur l’étude de l’étape 1▪ En partenariat entre MO, décideurs et utilisateurs
Étape 3: Étude des menaces▪ Étude des menaces particulières
▪ Sous la responsabilité du MO▪ Validée par le plus haut niveau hiérarchique
▪ Étude des vulnérabilités▪ Corrigée lorsque les spécifications évoluent
![Page 28: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/28.jpg)
Étape 4: Identification des objectifs ▪ Confrontation des menaces aux besoins
▪ Formulation et hiérarchisation des risques▪ Sous la responsabilité de la MO
Étape 5: Détermination des exigences▪ Détermination des exigences fonctionnelles
▪ Responsabilités, mesures▪ Qualité de la sécurité (par domaine précis)▪ Par la MOE
![Page 29: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/29.jpg)
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
![Page 30: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/30.jpg)
Distribué sous Licence GNU GPL Code source pas encore rendu public
Multi-plateformes Linux, Windows, Solaris…
Assister les utilisateurs d’EBIOS Stocke les contextes, risques, besoins Donne accès à une base de connaissances
▪ Risques courants▪ Attaques courantes▪ Risques fréquents
![Page 31: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/31.jpg)
![Page 32: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/32.jpg)
Audit et étude du contexte : Création de questionnaires :
▪ Connaitre l’entreprise et son SI
![Page 33: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/33.jpg)
Expression des besoins Identifier les besoins de sécurité de
chacun des éléments essentiels
![Page 34: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/34.jpg)
Identification des menaces Décrire les différentes menaces
auxquelles la cible peut être confrontée
![Page 35: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/35.jpg)
Identification des objectifs de sécurité déterminer la possibilité pour les
menaces identifiées d'affecter réellement les éléments essentiels et d'impacter l'organisme
![Page 36: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/36.jpg)
Détermination des exigences de sécurités vérifier la bonne couverture des objectifs
de sécurité.
![Page 37: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/37.jpg)
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
![Page 38: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/38.jpg)
Contexte L’organisme : PME, douzaine d’employés Stratégie :
▪ Utilisation de nouvelles technologies▪ Consolidation de l’image de marque
![Page 39: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/39.jpg)
1. Introduction à EBIOS2. Principes de la méthode EBIOS3. Recommandations et Bonnes
pratiques4. Le logiciel d’assistance à
l’évaluation EBIOS5. Exemples de cas d’utilisation6. Conclusions sur la méthode
![Page 40: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/40.jpg)
Avantages d’EBIOS Solution complète par étapes Définit clairement
▪ Acteurs, Rôles▪ Interactions▪ Vocabulaire
Logiciel d’assistance à la mise en œuvre▪ Base de connaissance intégrée
Eprouvée par la DGA
![Page 41: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/41.jpg)
Inconvénients d’EBIOS Pas de recommandations sécuritaires Pas de méthode d’audit/évaluation Validation interne
▪ Oublis potentiels▪ Risque d’évaluation incorrecte des risques
Vocabulaire légèrement différent
EBIOS ne peut être utilisé seul
![Page 42: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/42.jpg)
Pistes complémentaires Possibilité de faire appel à un prestataire
▪ Alcatel CIT▪ Thales Security Systems
Utilisation avec des recommandations externes▪ ISO 27002▪ OWASP…
Audit externe par société de sécurité Permet de garantir la fiabilité des
résultats
![Page 43: Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr](https://reader036.vdocuments.mx/reader036/viewer/2022081602/551d9da4497959293b8d479f/html5/thumbnails/43.jpg)
Sources▪ http://www.securiteinfo.com/conseils/
ebios.shtml▪ http://cyberzoide.developpez.com/securite/
methodes-analyse-risques/▪ http://www.mag-securs.com/spip.php?
article4710▪ http://www.ssi.gouv.fr/fr/confiance/
ebiospresentation.html