ebios - final · 2008-01-21 · 1. introduction à ebios 2. principes de la méthode ebios 3....
TRANSCRIPT
Ingénieurs 2000 –ULMV – IR3 – 21/01/2007g 3 / / 7L. Andriet – F. Bidet – I. Boelle –V. BoistuaudA. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr
à1. Introduction à EBIOS2. Principes de la méthode EBIOS
d3. Recommandations et Bonnes pratiques4. Le logiciel d’assistance à l’évaluation EBIOS
l d d l5. Exemples de cas d’utilisation6. Conclusions sur la méthode
P d’ i i i i G lPart d’une initiative GouvernementaleRédigée par la DCSSIR dé/I é l SGDNRecommandé/Imposé par la SGDN
Prévenir les risques informatiquesEviter les pertes financièresEviter les pertes financièresGarantir la continuité des activitésProtéger les informationsProtéger les informationsProtéger contre les attaquesAssurer le respect des lois et règlementsAssurer le respect des lois et règlements
M d l iModulaireS’adapte à tout SI quel que soit sa tailleCompétences acquises au fil du tempsCompétences acquises au fil du tempsSe réalise en 4 étapes + résultat
Détermination et prévention des risquesp qDétermination des besoins spécifiquesDétection des risques potentielsObtention d’un plan d’action
Simplifie les communications inter servicesL l d’ ti défi it l l tiLe plan d’action définit les relations
T i éd / S IToute entreprise possédant/concevant un S.I.Taux important d’adoption dans le publicCNAM (A M l di )CNAM (Assurance Maladie)France TelecomGIE Carte BleueGIE Carte BleueMinistères (presque tous)
Imposé pour certains traitementImposé pour certains traitementDonnées classifiées défense
Libre d’utilisation dans les autres cas
éMise en œuvre encadréePrincipes généraux de la méthodeGuides des meilleures pratiquesOutil d’aide à la mise en œuvrePossibilité de contacter un consultant
Bienressource ayant une valeur pour l’organisme
Entité un bien de type organisation, site, personnel, matériel, réseau, logiciel, système
Element essentielInformation ou fonction ayant un besoin de sécurité non nul
Elé t tElément menaçantAction ou élément ayant des conséquences négatives
à1. Introduction à EBIOS2. Principes de la méthode EBIOS
d3. Recommandations et Bonnes pratiques4. Le logiciel d’assistance à l’évaluation EBIOS
l d d l5. Exemples de cas d’utilisation6. Conclusions sur la méthode
éL’étude du contexteL’expression des besoins de sécuritéé d dL’étude des menaces
L’expression des objectifs de sécuritédé d d é éLa détermination des exigences de sécurité
éL’étude du contexteObjectif : cibler le système d’informationPlusieurs étapes :
é éL’expression des besoins de sécuritéEstime les critères de risqueDétermine les critères de risque
éL’étude des menacesDéfini les risques en fonction de l’architecture technique du système d’information
Pré-requis : 1.2
E t é• Liste des enjeux du système‐cible
Entrée
• Lister les méthodes d'attaque pertinentes• Caractériser les méthodes d'attaque et les éléments menaçants
Actions• Caractériser les méthodes d attaque et les éléments menaçants• Ajouter une valeur représentant le potentiel d'attaque de l'élément menaçant
Sortie
• Liste des origines des menaces (méthodes d'attaque et éléments menaçants)
• Liste des méthodes d'attaque non retenues et justifications
Pré-requis : 1.3 et 3.1
E é
• Liste des entités• Liste des origines des menaces (méthodes d'attaque et éléments
Entrée menaçants)
• Identifier les vulnérabilités des entités selon les méthodes d'attaque
Actions• Identifier les vulnérabilités des entités selon les méthodes d attaque• Estimer éventuellement le niveau des vulnérabilités
Sortie• Liste des vulnérabilités retenues et de leur niveau
Pré-requis : 3.1 et 3.2
E é
• Liste des origines des menaces (méthodes d'attaque et éléments menaçants)
Entrée • Liste des vulnérabilités retenues et de leur niveau
• Formuler explicitement les menaces
Actions• Formuler explicitement les menaces• Hiérarchiser éventuellement les menaces selon leur opportunité
Sortie• Liste des menaces retenues
f é éL’expression des objectifs de sécuritéMettre en évidence les risques contre lesquels le SI doit être protégé
Pré-requis : 1.3, 2.2 et 3.3
E é
• Tableau entités / éléments• Fiche de synthèse des besoins de sécuritéLi t d tEntrée • Liste des menaces retenues
• Déterminer les risques (menaces versus besoin de sécurité)F l li i l i
Actions• Formuler explicitement les risques• Hiérarchiser les risques (impacts sur éléments essentiels / opportunité des menaces)• Mettre en évidence les risques non retenus
Sortie• Liste hiérarchisée des risques• Liste des risques résiduels
Pré-requis : 1.1, 1.2, 2.4 et 4.1
E é
• Liste des hypothèses, des règles de sécurité, des contraintes, des références réglementaires• Choix du mode d’exploitation de sécuritéLi hié hi é d iEntrée • Liste hiérarchisée des risques
• Lister les objectifs de sécurité
Actions
j• Justifier la complétude de la couverture, des hypothèses, des règles de sécurité• Mettre en évidence les défauts de couvertures
Sortie• Liste des objectifs de sécurité• Liste des risques résiduels
Pré-requis : 3.3 et 4.2
E é• Liste des objectifs de sécurité• Liste des menaces retenuesEntrée • Liste des menaces retenues
• Déterminer le niveau de résistance adéquat pour chaque objectif de
Actions
q p q jsécurité
• Choisir le niveau des exigences d'assurance
Sortie
• Liste des objectifs de sécurité avec le niveau de résistance• Liste des risques résiduels• Choix du niveau des exigences d'assurance
é é éLa détermination des exigences de sécuritéDétermine les limites en termes d’exigences de sécurité.
Pré-requis : 4.3
E é• Liste des objectifs de sécurité avec le niveau de résistance
Entrée
• Lister les exigences de sécurité fonctionnellesJ ifi l lé d d l d bj if d é i é
Actions• Justifier la complétude de la couverture des objectifs de sécurité• Mettre en évidence les éventuels défauts de couverture• Classer les exigences de sécurité fonctionnelles (système‐cible / l'environnement du système‐cible)
Sortie• Liste des exigences de sécurité fonctionnelles justifiées• Liste des risques résiduels
Pré-requis : 4.3
E é• Choix du niveau des exigences d'assurance
Entréeg
• Lister les exigences de sécurité d’assuranceActions
Lister les exigences de sécurité d assurance• Liste des risques résiduels
Sortie
• Liste des exigences de sécurité d’assurance• Liste des risques résiduels
à1. Introduction à EBIOS2. Principes de la méthode EBIOS
d3. Recommandations et Bonnes pratiques4. Le logiciel d’assistance à l’évaluation EBIOS
l d d l5. Exemples de cas d’utilisation6. Conclusions sur la méthode
Conception d’un nouveau SISI : Ensemble de logiciels, matériels, personnels, locaux
Intérêts de EBIOS:▪ Plan de travail: conception, validation
é▪ Adéquation des ressources aux besoins▪ Politique de sécurité claire et réaliste
Plan de travailÉtape 1: Étude du contexte▪ Étude de la politique de sécurité
▪ Basée sur le référentiel de l’organisme▪ Sous la responsabilité du MOSous la responsabilité du MO
validée par le plus haut niveau hiérarchique
▪ Étude du système cible (spécifications) ▪ Basée sur le référentiel de l’organisme▪ Corrigée lorsque les spécifications évoluent▪ Sous la responsabilité du MOp
É d b d é éÉtape 2: Expression des besoins de sécurité▪ Rédaction et synthèse des besoins
▪ Basée sur l’étude de l’étape 1▪ Basée sur l étude de l étape 1▪ En partenariat entre MO, décideurs et utilisateurs
Étape 3: Étude des menacesp 3▪ Étude des menaces particulières
▪ Sous la responsabilité du MO▪ Validée par le plus haut niveau hiérarchique
▪ Étude des vulnérabilités▪ Corrigée lorsque les spécifications évoluentCorrigée lorsque les spécifications évoluent
É d f d b fÉtape 4: Identification des objectifs ▪ Confrontation des menaces aux besoins
▪ Formulation et hiérarchisation des risques▪ Formulation et hiérarchisation des risques▪ Sous la responsabilité de la MO
Étape 5: Détermination des exigencesp 5 g▪ Détermination des exigences fonctionnelles
▪ Responsabilités, mesures▪ Qualité de la sécurité (par domaine précis)▪ Par la MOE
à1. Introduction à EBIOS2. Principes de la méthode EBIOS
d3. Recommandations et Bonnes pratiques4. Le logiciel d’assistance à l’évaluation EBIOS
l d d l5. Exemples de cas d’utilisation6. Conclusions sur la méthode
éDistribué sous Licence GNU GPLCode source pas encore rendu public
Multi‐plateformesLinux, Windows, Solaris…
Assister les utilisateurs d’EBIOSStocke les contextes, risques, besoinsDonne accès à une base de connaissances▪ Risques courants▪ Attaques courantes▪ Risques fréquents
éAudit et étude du contexte :Création de questionnaires :▪ Connaitre l’entreprise et son SI
Expression des besoinsIdentifier les besoins de sécurité de chacun des éléments essentiels
Identification des menacesDécrire les différentes menaces auxquelles la cible peut être confrontée
f f é éIdentification des objectifs de sécuritédéterminer la possibilité pour les menaces identifiées d'affecter réellement les éléments essentiels et d'impacter l'organisme
é é éDétermination des exigences de sécuritésvérifier la bonne couverture des objectifs de sécurité.
à1. Introduction à EBIOS2. Principes de la méthode EBIOS
d3. Recommandations et Bonnes pratiques4. Le logiciel d’assistance à l’évaluation EBIOS
l d d l5. Exemples de cas d’utilisation6. Conclusions sur la méthode
ContexteL’organisme : PME, douzaine d’employésStratégie :▪ Utilisation de nouvelles technologies▪ Consolidation de l’image de marque
à1. Introduction à EBIOS2. Principes de la méthode EBIOS
d3. Recommandations et Bonnes pratiques4. Le logiciel d’assistance à l’évaluation EBIOS
l d d l5. Exemples de cas d’utilisation6. Conclusions sur la méthode
Avantages d’EBIOSSolution complète par étapesDéfinit clairement▪ Acteurs, Rôles▪ Interactions▪ Vocabulaire
L i i l d’ i à l i Logiciel d’assistance à la mise en œuvre▪ Base de connaissance intégrée
E é l DGAEprouvée par la DGA
éInconvénients d’EBIOSPas de recommandations sécuritairesPas de méthode d’audit/évaluationValidation interne▪ Oublis potentiels▪ Risque d’évaluation incorrecte des risques
Vocabulaire légèrement différent
EBIOS t êt tili é lEBIOS ne peut être utilisé seul
éPistes complémentairesPossibilité de faire appel à un prestataire▪ Alcatel CIT▪ Thales Security Systems
l d dUtilisation avec des recommandations externes▪ ISO 27002OWASP▪ OWASP…
Audit externe par société de sécuritéPermet de garantir la fiabilité des résultatsPermet de garantir la fiabilité des résultats
Sources▪ http://www.securiteinfo.com/conseils/ebios.shtmlh b d d l h d▪ http://cyberzoide.developpez.com/securite/methodes‐analyse‐risques/
▪ http://www mag‐securs com/spip php?article4710http://www.mag securs.com/spip.php?article4710▪ http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html