"EBIOS"

Sujet réservé

03/02/2019

Catégories : FAQ

La traduction du guide d’EBIOS Risk Manager et de son supplément sortira fin septembre 2019.

La précédente version n’a jamais fait l’objet d’une traduction publiée.

Il existe aussi l’EBIOS générique, qui sert à créer des méthodes sectorielles, et qui est traduite.

Mots-clés :

17/12/2018

Catégories : FAQ

EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité – est une méthodologie universelle de gestion des risques qui permet de créer des méthodes sectorielles, publiée par le Club EBIOS (voir la méthodologie).

EBIOS est une marque déposée du Secrétariat général de la défense et de la sécurité nationale (SGDSN).

EBIOS Risk Manager (ou EBIOS RM) est la méthode d’appréciation et de traitement des risques de cybersécurité publiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Mots-clés :

17/11/2018

Catégories : FAQ

Réponse d’un membre du Club EBIOS : « on peut agir sur plusieurs éléments pour que le résultat corresponde aux attentes »

La réalisation d’une étude est parfois critiquée en raison de l’explosion combinatoire des éléments à étudier. C’est pourquoi il convient, avant ou au début de toute étude, de se demander ce qu’est capable d’accepter le commanditaire en termes de lisibilité.

Certains souhaitent avoir autant de détails que nécessaire pour traiter les risques (et/ou justifier les mesures) de manière fine.

Dans ce cas, il est possible de traiter toute la combinatoire d’événements et de scénarios de menaces.

Si tel n’est pas le cas, voici quelques astuces qui vous permettront de diminuer l’entropie de l’analyse :

  • agir sur la présentation : faire l’étude détaillée en tant que « document de travail » et regrouper les risques en familles dans un « document de synthèse » pour faciliter les prises de décision. Ce « document de synthèse » peut ne faire ressortir que les risques les plus importants (graves et/ou vraisemblables), ainsi que ceux qui intéressent spécifiquement le commanditaire ;
  • agir sur le nombre de biens : regrouper les biens essentiels et/ou les biens supports dans l’étude du contexte. Il est possible par exemple d’adapter le niveau de détail de la modélisation sans forcément chercher l’homogénéité dans le modèle. Par exemple, la description des biens supports pourra à la fois contenir des systèmes (pour des biens sur lesquels l’analyse des menaces n’a pas besoin d’être détaillée) et des éléments de type réseau, matériel et logiciel (pour des biens sur lesquels l’analyse des menaces doit être plus fine) ;
  • agir sur les hypothèses : limiter la complexité de l’étude en réduisant la combinatoire de l’analyse aux seules questions ou justifications que l’on souhaite exposer. Pour ce faire, il est possible de fixer des hypothèses dans le contexte de l’étude. Ainsi, on peut considérer comme postulat qu’un bien support (ou un bien essentiel) est protégé contre un type de menace (par exemple, « une homologation démontre que les serveurs et postes de travail sont suffisamment protégés de tous les scénarios malveillants issus d’attaques externes »). On peut aussi considérer qu’un risque est suffisamment couvert par une certification sans nécessiter une décomposition de ce dernier (par exemple, « la clé privée stockée dans les puces électroniques certifiées est suffisamment protégée contre toutes menaces conduisant à une divulgation »). Il est également possible d’émettre des hypothèses sur des risques résiduels pour lesquels il n’est pas attendu que l’étude apporte de justification ou que l’étude agisse sur le bien support afférent (par exemple, « le GPS est considéré comme non fiable. Il est susceptible fournir de mauvaises données de localisation ») ;
  • agir sur la décomposition en plusieurs études : une autre méthode peut consister à décomposer le système étudié pour transformer une analyse complexe en plusieurs études moins difficiles à réaliser. Dans ce cas, il faudra prêter une attention particulière aux interfaces entre ces sous-systèmes.
Mots-clés :

Catégories : FAQ

L’outil développé en open source par l’ANSSI pour la méthode EBIOS 2010 a été retiré du site internet de l’ANSSI car il était devenu obsolète. Il ne sera plus maintenu par l’ANSSI.

Mots-clés :

17/10/2018

Catégories : ANSSIFrançaisMéthode sectorielle

La méthode de référence française EBIOS accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres. Elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.

Sur le site de l’ANSSI : La méthode EBIOS Risk Manager

05/09/2018

Catégories : Club EBIOSDocumentFrançais

Ce guide constitue l’approche générique d’EBIOS*. Il fournit une base commune à toute déclinaison sectorielle. Conçue initialement pour la sécurité de l’information, EBIOS peut en effet se décliner dans tous les domaines au moyen de techniques et de bases de connaissances adaptées.

EBIOS permet d’apprécier et de traiter les risques. Elle fournit également tous les éléments nécessaires à la communication au sein de l’organisme et vis-à-vis de ses partenaires, ainsi qu’à la validation du traitement des risques. Elle constitue ainsi un outil complet de gestion des risques.

Il s’agit d’une véritable boîte à outils, dont on choisit les actions à mettre en œuvre et la manière de les utiliser selon l’objectif de l’étude. Elle permet d’apprécier les risques au travers de scénarios et d’en déduire une politique cohérente, appuyée sur des mesures concrètes et évaluables.

*EBIOS – Expression des besoins et identification des objectifs de sécurité.

03/05/2018

Catégories : Présentation

Pistes d’approches « Cyber Kill Chain » étudiées au sein de Thales

La nouvelle EBIOS amène un nouveau contexte d’emploi orientant sur des études de scénarios d’attaque « de bout en bout » dont l’approche type « Cyber Kill Chain » peut être un moyen de les structurer. Cependant ce n’est pas la seule approche et elle a aussi ses limites. Après une introduction de la notion de « Cyber Kill Chain » et la présentation de travaux actuels aux US pour approfondir le concept, celle-ci est confrontée à une autre approche possible : celle des arbres d’attaque, puis enfin sont proposés les contextes d’emploi qui sembleraient les plus appropriés au sein de la nouvelle EBIOS pour l’approche « Cyber Kill Chain » d’une part, pour l’approche « arbre d’attaque » d’autre part.

Mots-clés :

10/01/2018

Catégories : Présentation

Coopération Thales-ALL4TEC sur une évaluation de risques de sécurité EBIOS

Présentation de la coopération entre Thales et l’éditeur ALL4TEC sur une évaluation de risques de sécurité EBIOS réalisée grâce à l’outil Cyber Architect.

13/09/2017

Catégories : Présentation

Mots-clés :

17/03/2017

Catégories : Club EBIOSEtude de casFrançais

Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée.

Mots-clés :

12/02/2017

Catégories : Club EBIOSDocumentFrançais

Dans une étude de risques, on constate que les impacts analysés dépendent fortement du point de vue de chaque partie prenante. Partant de ce constat, ce document de réflexion incite à la prise en compte des préoccupations de chaque acteur, dans une logique « by design », afin que le produit, système ou service soit accepté par tous.

Mots-clés :

11/02/2014

Ce document a pour objectif de fournir des éléments utiles pour gérer les risques liés à l’utilisation du BYOD (Bring Your Own Device).

Mots-clés :

29/11/2011

Catégories : Club EBIOSEtude de casFrançais

Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée.

La plaquette suivante synthétise les points essentiels de l’étude de cas.

Mots-clés :

18/11/2008

Catégories : Club EBIOSDocumentFrançais

Ce mémento présente les concepts liés à la continuité des activités et leurs places dans la SSI. Les activités propres à la gestion de la continuité sont ensuite présentées selon 4 phases itératives. Le référentiel, l’organisation et les outils associés sont ensuite développés.

Mots-clés :