La méthode EBIOS1, créée par la DCSSI2 en France, s’intéresse aux besoins de sécurité du système d’information. Cette méthode est également utilisée comme outil de sensibilisation, de négociation et d’arbitrage au sein des directions générales. Elle est composée d’un guide et d’un logiciel téléchargeables.
Cette méthode est construite en 5 étapes :
- l’étude du contexte ;
- l’expression des besoins ;
- l’étude des risques ;
- l’identification des objectifs de sécurité ;
- la détermination des exigences de sécurité.
Elle met à disposition de ses utilisateurs une base de connaissances qui décrit les types d’entités, les méthodes d’attaques, les vulnérabilités, les objectifs et les exigences de sécurité. Cette méthode comprend également un recueil des meilleures pratiques concernant l’élaboration de schémas directeurs du système d’information.
Cette méthode est tout à fait adaptée aux certifications BS3 7799 « Information security management systems. Guidelines for information security risk management » et ISO4 27001 « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences ». Elle est particulièrement utilisée au sein de l’administration française.
Les résultats de la méthode EBIOS aident à la réalisation d’une Fiche d’Expression Rationnelle des Objectifs de Sécurité5, qui est un document obligatoire pour les systèmes traitant les informations classées « défense ». Elle ne permet pas de définir les actions qui doivent être engagées mais elle met en avant les risques potentiels et les exigences de sécurité d’une entité. La méthode est téléchargeable et l’obtention de son logiciel est gratuite.
D’autres méthodes concernant la gestion de la sécurité du système d’information :
1 : EBIOS signifie Expression des Besoins et Identification des Objectifs de Sécurité
2 : Direction Centrale de la Sécurité des Systèmes d’Information
3 : British Standard
4 : International Organization for Standardization, traduit en français par Organisation Internationale de Normalisation
5 : Abrégé FEROS
Copyright : INFOQUALITE
Partager cet article