07/09/2020
ClubEBIOS-2020-09-07-GRALL
> Télécharger
Vous souvenez-vous ? Avant, nos voitures n’étaient pas connectées, nous n’étions pas tracés sur Internet (pour notre bien), et les entreprises étaient encore victimes d’attaques informatiques.
C’était au siècle dernier me direz-vous ! À l’ère dernière, même !
De pauvres désignés-volontaires devaient improviser des FEROS*, les meilleurs recopiant habilement celle d’un collègue.
Puis vint la lumière… Elle apparut sous la forme d’un ange nommé EBIOS*, qui apporta d’abord un peu de logique au respectable Vauban du numérique, puis différentes versions qui se nourrissaient de l’expérience de ses pratiquants jusqu’à influencer le monde entier, sans qu’il le sache.
Et alors que le feu sacré n’était plus entretenu que par quelques apôtres esseulés, la SC/DC/AN-SSI revint en force vers ceux-ci pour faire naître un nouveau nephilim.
Naquit notre méthode actuelle, non comme la solution ultime, mais comme une arme à la portée de tous.
Nous devons toujours affronter les croyants du pousse-bouton, mais nous, utopiques défenseurs de l’après-épine dorsale, portons et défendons aujourd’hui, EBIOS !
Retour sur la genèse de notre dernière mouture…
* Toi qui ne connait pas l’acronyme, sors ! (ou renseigne-toi :p)
06/04/2020
Le logiciel open source PIA facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.
Il est diffusé par la CNIL : Télécharger
03/02/2019
La traduction du guide d’EBIOS Risk Manager et de son supplément sortira fin septembre 2019.
La précédente version n’a jamais fait l’objet d’une traduction publiée.
Il existe aussi l’EBIOS générique, qui sert à créer des méthodes sectorielles, et qui est traduite.
09/01/2019
EBIOS Risk Manager est une méthode de gestion des risques de cybersécurité, et non de gestion des risques juridiques, environnementaux ou autres.
En outre, l’approche par scénarios d’EBIOS Risk Manager est ciblée sur les menaces intentionnelles.
Toutefois, les risques accidentels et environnementaux sont traités a priori via une approche par conformité au sein du socle de sécurité.
A noter : l’approche générique d’EBIOS (https://club-ebios.org/site/ebios-lapproche-generique/) couvre tous les types de risques et permet de créer des méthodes sectorielles.
17/12/2018
EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité – est une méthodologie universelle de gestion des risques qui permet de créer des méthodes sectorielles, publiée par le Club EBIOS (voir la méthodologie).
EBIOS est une marque déposée du Secrétariat général de la défense et de la sécurité nationale (SGDSN).
EBIOS Risk Manager (ou EBIOS RM) est la méthode d’appréciation et de traitement des risques de cybersécurité publiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
17/11/2018
Réponse d’un membre du Club EBIOS : “on peut agir sur plusieurs éléments pour que le résultat corresponde aux attentes”
La réalisation d’une étude est parfois critiquée en raison de l’explosion combinatoire des éléments à étudier. C’est pourquoi il convient, avant ou au début de toute étude, de se demander ce qu’est capable d’accepter le commanditaire en termes de lisibilité.
Certains souhaitent avoir autant de détails que nécessaire pour traiter les risques (et/ou justifier les mesures) de manière fine.
Dans ce cas, il est possible de traiter toute la combinatoire d’événements et de scénarios de menaces.
Si tel n’est pas le cas, voici quelques astuces qui vous permettront de diminuer l’entropie de l’analyse :
17/10/2018
La méthode de référence française EBIOS accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres. Elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.
Sur le site de l’ANSSI : La méthode EBIOS Risk Manager
Écouter aussi le podcast du 17/11/2019 de Fabien CAPARROS (ANSSI) sur NoLimitSecu.
05/09/2018
Ce guide constitue l’approche générique d’EBIOS*. Il fournit une base commune à toute déclinaison sectorielle. Conçue initialement pour la sécurité de l’information, EBIOS peut en effet se décliner dans tous les domaines au moyen de techniques et de bases de connaissances adaptées.
EBIOS permet d’apprécier et de traiter les risques. Elle fournit également tous les éléments nécessaires à la communication au sein de l’organisme et vis-à-vis de ses partenaires, ainsi qu’à la validation du traitement des risques. Elle constitue ainsi un outil complet de gestion des risques.
Il s’agit d’une véritable boîte à outils, dont on choisit les actions à mettre en œuvre et la manière de les utiliser selon l’objectif de l’étude. Elle permet d’apprécier les risques au travers de scénarios et d’en déduire une politique cohérente, appuyée sur des mesures concrètes et évaluables.
EBIOS-ApprocheGenerique-2018-09-05-Approuve
> Télécharger
03/05/2018
ClubEBIOS-2018-05-03-VANCAUTER
> Télécharger
La nouvelle EBIOS amène un nouveau contexte d’emploi orientant sur des études de scénarios d’attaque “de bout en bout” dont l’approche type “Cyber Kill Chain” peut être un moyen de les structurer. Cependant ce n’est pas la seule approche et elle a aussi ses limites. Après une introduction de la notion de “Cyber Kill Chain” et la présentation de travaux actuels aux US pour approfondir le concept, celle-ci est confrontée à une autre approche possible : celle des arbres d’attaque, puis enfin sont proposés les contextes d’emploi qui sembleraient les plus appropriés au sein de la nouvelle EBIOS pour l’approche “Cyber Kill Chain” d’une part, pour l’approche “arbre d’attaque” d’autre part.
10/01/2018
ClubEBIOS-2018-01-10-VIE-PAUL
> Télécharger
Présentation de la coopération entre Thales et l’éditeur ALL4TEC sur une évaluation de risques de sécurité EBIOS réalisée grâce à l’outil Cyber Architect.
17/03/2017
Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée :
ClubEBIOS-EtudeDeCas-Geolocalisation-2017-03-17-Approuve
> Télécharger
11/02/2014
Ce document a pour objectif de fournir des éléments utiles pour gérer les risques liés à l’utilisation du BYOD (Bring Your Own Device).
ClubEBIOS-BYOD-ReflexionSurLesRisques-2014-02-11-Approuve
> Télécharger
12/02/2013
29/11/2011
Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée :
ClubEBIOS-EtudeDeCas-MedecineTravail-2011-11-29
> Télécharger
La plaquette suivante synthétise les points essentiels de l’étude de cas :
ClubEBIOS-EtudeDeCas-MedecineTravail-Plaquette-2011-09-27
> Télécharger
21/09/2010
23/03/2010
18/11/2008
Ce mémento présente les concepts liés à la continuité des activités et leurs places dans la SSI. Les activités propres à la gestion de la continuité sont ensuite présentées selon 4 phases itératives. Le référentiel, l’organisation et les outils associés sont ensuite développés.