Expression des besoins et identification des objectifs de sécurité

La méthode EBIOS est une méthode d'évaluation des risques en informatique, développée en 1995 par la Direction centrale de la sécurité des systèmes d'information (DCSSI) et maintenue par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) qui lui a succédé en 2009. Elle a connu une évolution en 2010^[1] puis a été renommée en EBIOS Risk Manager^[2].

La méthode EBIOS permet d'apprécier les risques Sécurité des systèmes d'information (entités et vulnérabilités, méthodes d’attaques et éléments menaçants, éléments essentiels et besoins de sécurité…), de contribuer à leur traitement en spécifiant les exigences de sécurité à mettre en place, de préparer l'ensemble du dossier de sécurité nécessaire à l'acceptation des risques et de fournir les éléments utiles à la communication relative aux risques. Elle est compatible avec les normes ISO 15408 (critères communs), ISO/CEI 27005 (évaluation des risques du système d'information) et ISO 31000 (management des risques d'entreprise), du fait qu'elle permet d'identifier tous les types de risques d'un système d'information (base de toute analyse de risques).

EBIOS est largement utilisée dans le secteur public (l'ensemble des ministères et des organismes sous tutelle), dans le secteur privé (cabinets de conseil, petites et grandes entreprises), en France et à l'étranger (Union européenne, Québec, Belgique, Tunisie, Luxembourg…), par de nombreux organismes en tant qu'utilisateurs ou bénéficiaires d'analyses de risques SSI.

Son succès s'explique par la simplicité de sa démarche, permettant ainsi d'impliquer tous les acteurs d'une entreprise ou organisation. De plus la méthode est gratuite et bien documentée par l'ANSSI.

EBIOS fournit une méthode permettant de construire une politique de sécurité en fonction d'une analyse des risques, qui repose sur le contexte de l'entreprise et des vulnérabilités liées à son SI. La démarche est donc commune à toutes les entreprises et organisation (c'est ce qui en fait une véritable méthode), mais les résultats de chaque étape sont personnalisés en fonction des spécificités des SI.

Cette étape essentielle a pour objectif d'identifier globalement le système-cible et de le situer dans son environnement. Elle permet notamment de préciser pour le système les enjeux, le contexte de son utilisation, les missions ou services qu'il doit rendre et les moyens utilisés.

L'étape se divise en trois activités :

• Étude de l'organisme : cette activité consiste à définir le cadre de l'étude. Il faut collecter les données concernant l’organisme et son système d’information ;
• Étude du Système Cible : cette activité a pour but de préciser le contexte d'utilisation du système à concevoir ou existant ;
• Détermination de la cible de l'étude de sécurité : cette activité a pour but de déterminer les entités (bien support) sur lesquelles vont reposer les éléments essentiels (biens "essentiels" ou biens "sensibles") du système-cible.

Cette étape contribue à l'estimation des risques et à la définition des critères de risques. Elle permet aux utilisateurs du système d'exprimer leurs besoins en matière de sécurité pour les fonctions et informations qu'ils manipulent. Ces besoins de sécurité s'expriment selon différents critères de sécurité tels que la disponibilité, l'intégrité et la confidentialité. L’expression des besoins repose sur l'élaboration et l'utilisation d'une échelle de besoins et la mise en évidence des impacts inacceptables pour l'organisme.

L'étape se divise en deux activités :

• Réalisation des fiches de besoins : cette activité a pour but de créer les tableaux nécessaires à l'expression des besoins de sécurité par les utilisateurs ;
• Synthèse des besoins de sécurité : cette activité a pour but d'attribuer à chaque élément essentiel des besoins de sécurité.

Cette étape consiste en un recensement des scénarios pouvant porter atteinte aux composants du SI.

Une menace peut être caractérisée selon son type (naturel, humain ou environnemental) et/ou selon sa cause (accidentelle ou délibérée).

Ces menaces sont formalisées en identifiant leurs composants : les méthodes d'attaque auxquelles l'organisme est exposé, les éléments menaçants qui peuvent les employer, les vulnérabilités exploitables sur les entités du système et leur niveau.

• Étude des origines des menaces : cette activité correspond à l'identification des sources dans le processus de gestion des risques ;
• Étude des vulnérabilités : cette activité a pour objet la détermination des vulnérabilités spécifiques du système-cible ;
• Formalisation des menaces : à l'issue de cette activité, il sera possible de disposer d'une vision objective des menaces pesant sur le système-cible.

Un élément menaçant peut affecter des éléments essentiels en exploitant les vulnérabilités des entités sur lesquelles ils reposent avec une méthode d’attaque particulière. Les objectifs de sécurité consistent à couvrir les vulnérabilités.

• Confrontation des menaces aux besoins de sécurité : cette confrontation permet de retenir et hiérarchiser les risques qui sont véritablement susceptibles de porter atteinte aux éléments essentiels ;
• Formalisation des objectifs de sécurité : cette activité a pour but de déterminer les objectifs de sécurité permettant de couvrir les risques ;
• Détermination des niveaux de sécurité : cette activité sert à déterminer le niveau de résistance adéquat pour les objectifs de sécurité. Elle permet également de choisir le niveau des exigences de sécurité d'assurance.

L’équipe de mise en œuvre de la démarche doit spécifier les fonctionnalités de sécurité attendues. L’équipe chargée de la mise en œuvre de la démarche doit alors démontrer la parfaite couverture des objectifs de sécurité par les exigences fonctionnelles et les exigences d’assurance (matrice de couverture).

Finalement, ce n'est que si les risques ne sont pas suffisamment couverts qu’on parlera de vulnérabilités sur un SI.

Jusqu'à la mise à jour de 2010, un logiciel libre permettait d'identifier tous les types de menaces et de consigner l'ensemble des résultats d'une étude et de produire les documents de synthèse nécessaires.

Il est aujourd'hui obsolète et n'est plus disponible au téléchargement^[3].

Le CFSSI (centre de formation de l'ANSSI) organise des stages de formation à la méthode EBIOS pour le secteur public français. La formation en ligne sur la gestion des risques est en cours de réalisation.

L'ANSSI propose également une formation de formateurs afin de transférer les connaissances et d'éviter les éventuelles dérives dans la diffusion et l’emploi de la méthode.

Le club des grands utilisateurs de la méthode EBIOS a été créé en 2003 afin de réunir une communauté d'experts, de partager des expériences et d'améliorer la méthode et ses outils.

• Une méthode claire et universelle : elle définit clairement les acteurs, leurs rôles et les interactions. La méthode peut s'adapter à tout SI de toute entreprise ou organisation.
• les risques sont envisagés à 360 degrés (risques techniques, organisationnels, informationnels, sécurisation des sites et des locaux, mais également environnementaux ...)
• Une approche exhaustive : contrairement aux approches d'analyse des risques par scénarios, la démarche structurée de la méthode EBIOS permet d'identifier les éléments constitutifs des risques. Ce qui en fait une méthode simple à appliquer par tous les acteurs d'une entreprise ou organisation.
• En particulier, la méthode permet de se concentrer très rapidement sur les "biens sensibles" d'une organisation ou d'une entreprise.
• Une démarche adaptative : la méthode EBIOS peut être adaptée au contexte de chacun et ajustée à ses outils et habitudes méthodologiques grâce à une certaine flexibilité.

• La méthode EBIOS ne fournit pas de recommandations ni de solutions immédiates aux problèmes de sécurité. Car c'est la première méthode d'analyse de risques en matière de systèmes d'information, et qu'à ses débuts l'ANSSI (alors dénommée Dcssi) promouvait en parallèle la méthode d'audit MASSIA (Méthode d’Audit de la Sécurité des Systèmes d’Information de l’Armement) première méthode d'audit du Ministère de la Défense (1994).
• Il n'y a pas d’audit et d'évaluation de la méthode (du fait que c'était la seule méthode de l'époque en matière de SSI). Le cadre d'application de cette méthode étant très libre, le périmètre d'identification des menaces peut être faussé (sous estimation en cas d'emploi de la méthode par des personnels novices).
• La méthode identifie les types de risques, mais n'identifie pas les scénarios d'attaques qui doivent être élaborés en fonction du besoin (d'où son évolution actuelle en EBIOS Risk Manager).
• S'agissant d'une véritable méthode (longue à mettre en oeuvre, devant être adaptée à chaque entreprise et organisation), depuis les années 2000 EBIOS a vu la création de nombreuses méthodes d'analyses de risques rapides et de méthodes d'audit SSI proposant des questionnaires préétablis.

• Sécurité du système d'information
• Méthode harmonisée d'analyse des risques

• * ANSSI 2010 - La méthodologie EBIOS
• La méthode EBIOS Risk Manager - Le guide v1.5 Mars 2024

• Portail de la sécurité informatique
• Portail de la sécurité de l’information