3.2.2.
Méthode EBIOS
L'EBIOS (Expression des Besoins et Identification des
Objectifs de Sécurité) est un outil complet de gestion des
risques SSI conforme aux dernières normes ISO 27001, 27005 et 31000.
Créée en 1995 par l'ANSSI (l'Agence Nationale de la
Sécurité des Systèmes d'Information) et
régulièrement mise à jour, EBIOS bénéficie
de ses 20 ans d'expérience dans le domaine de la gestion du risque.
Elle permet d'apprécier et de traiter les risques relatifs à la
sécurité des systèmes d'information (SSI). Elle permet
aussi de communiquer à leur sujet au sein de l'organisme et
vis-à-vis de ses partenaires, constituant ainsi un outil complet de
gestion des risques SSI. L'ANSSI et le Club EBIOS ont élaboré la
version 2010 de la méthode EBIOS pour prendre en compte les retours
d'expérience et les évolutions normatives et
réglementaires.
EBIOS se décompose en plusieurs phases que nous allons
détailler dans la section qui suit.
· L'établissement du contexte
Un contexte bien défini permet de gérer les
risques de manière appropriée, et ainsi de réduire les
coûts à ce qui est nécessaire et suffisant au regard de la
réalité du sujet étudié. Pour ce faire, il est
essentiel d'appréhender les éléments à prendre en
compte dans la réflexion :Le cadre mis en place pour gérer les
risques, les critères à prendre en considération (comment
estimer, évaluer et valider le traitement des risques) ;la
description du périmètre de l'étude et de son
environnement (contexte externe et interne, contraintes, recensement des biens
et de leurs interactions...). La méthodologie EBIOS permet d'aborder
tous ces points selon le degré de connaissance que l'on a du sujet
étudié. Il sera ensuite possible de l'enrichir, de l'affiner et
de l'améliorer à mesure que la connaissance du sujet
s'améliore.
· L'appréciation des risques :
Selon EBIOS, il y a risque de sécurité de
l'information dès lors qu'on a conjointement une source de menace, une
menace, une vulnérabilité, et un impact.
Le principal enjeu est de réussir à obtenir les
informations nécessaires à l'analyse qui puissent être
considérées comme fiables. C'est la raison pour laquelle il est
extrêmementimportant de veiller à ce que ces informations soient
obtenues de manière à limiter les biais et à ce que la
démarche soit reproductible.
· Le traitement des risques
Les risques appréciés permettent de prendre des
décisions objectives en vue de les maintenir à un niveau
acceptable, compte-tenu des spécificités du contexte. Pour ce
faire, EBIOS permet de choisir le traitement des risques
appréciés au travers des objectifs desécurité : il
est ainsi possible, pour tout ou partie de chaque risque, de le réduire,
de le transférer (partage des pertes), de l'éviter (se mettre en
situation où le risque n'existe pas) ou de le prendre (sans rien faire).
Des mesures de sécurité peuvent alors être proposées
etnégociées afin de satisfaire ces objectifs.
· Une démarche itérative en cinq
modules :
La méthode formalise une démarche de gestion des
risques découpée en cinq modules représentés sur la
figure 16 suivante :
Figure 17.III:Le modules
d'EBIOS
La démarche est dite itérative. En effet, il
sera fait plusieurs fois appel à chaque module afin d'en
améliorer progressivement le contenu, et la démarche globale sera
également affinée et tenue à jour de manière
continue surtout en cas d'ajout au système qui pourrait avoir une
influence sur la sécurité.
- Module 1 - Étude du contexte
À l'issue du premier module, qui s'inscrit dans
l'établissement du contexte, le cadre de la gestion des risques, les
métriques et le périmètre de l'étude sont
parfaitement connus ; les biens essentiels, les biens supports sur lesquels ils
reposent et les paramètres à prendre en compte dans le traitement
des risques sont identifiés.
- Module 2 - Étude des
événements redoutés
Le second module contribue à l'appréciation des
risques. Il permet d'identifier et d'estimer les besoins de
sécurité des biens essentiels (en termes de
disponibilité, d'intégrité, de
confidentialité...), ainsi que tous les impacts (sur les
missions, sur la sécurité des personnes, sur les aspects
financiers, sur les aspects juridiques, sur l'image, sur l'environnement, sur
les tiers et autres...) en cas de non-respect de ces besoins et les sources de
menaces (humaines, environnementales, internes, externes, accidentelles,
délibérées...) susceptibles d'en être à
l'origine, ce qui permet de formuler les événements
redoutés.
- Module 3 - Étude des scénarios de
menaces
Le troisième module s'inscrit aussi dans le cadre de
l'appréciation des risques. Il consiste à identifier et estimer
les scénarios qui peuvent engendrer les événements
redoutés, et ainsi composer des risques. Pour ce faire, sont
étudiées les menaces que les sources de menaces peuvent
générer et les vulnérabilités exploitables.
- Module 4 - Étude des risques
Le quatrième module met en évidence les risques
pesant sur l'organisme en confrontant les événements
redoutés aux scénarios de menaces. Il décrit
également comment estimer et évaluer ces risques, et enfin
comment identifier les objectifs de sécurité qu'il faudra
atteindre pour les traiter.
- Module 5 - Étude des mesures de
sécurité
Le cinquième et dernier module s'inscrit dans le cadre
du traitement des risques. Il explique comment spécifier les mesures de
sécurité à mettre en oeuvre, comment planifier la mise en
oeuvre de ces mesures et comment valider le traitement des risques et les
risques résiduels. Pour plus d'information sur cette
méthodologie, nous pouvons consulter le site de l'Agence Nationale
Française de la Sécurité des Systèmes d'Information
(ANSSI) ainsi que le site internet du club EBIOS.
Nous allons présenter les résultats d'une
analyse des risques effectuée à l'aide méthodologie EBIOS
et OCTAVE, cette analyse a été effectuée dans une banque
FINCA Lubumbashi en République Démocratique du Congo qui utilise
un système d'information pour la gestion de ses comptes clients.
| 
