Sécurité des systèmes informatiques Support de cours 1-MP-RT 2016/2017 Samya AM

Sécurité des systèmes informatiques Support de cours 1-MP-RT 2016/2017 Samya AMIRI 1 La méthode EBIOS Expression des Besoins et Identification des Objectifs de Sécurité Plan 1. Introduction 2. Principes de la méthode EBIOS 3. Certification ISO 27001: les perspectives d'utilisation d'EBIOS 4. Le logiciel d’assistance à l’évaluation EBIOS 5. Conclusions Origines d’EBIOS Part d’une initiative Gouvernementale Rédigée par la DCSSI Recommandé/Imposé par la SGDN Prévenir les risques informatiques Eviter les pertes financières Garantir la continuité des activités Protéger les informations Protéger contre les attaques Assurer le respect des lois et règlements Une méthode… Modulaire S’adapte à tout SI quel que soit sa taille Compétences acquises au fil du temps Se réalise en 4 étapes + résultat Détermination et prévention des risques Détermination des besoins spécifiques Détection des risques potentiels Obtention d’un plan d’action Simplifie les communications inter services Le plan d’action définit les relations … pour les entreprises Toute entreprise possédant/concevant un S.I. Taux important d’adoption dans le public CNAM (Assurance Maladie) France Telecom GIE Carte Bleue Ministères (presque tous) Imposé pour certains traitement Données classifiées défense Libre d’utilisation dans les autres cas … avec un vocabulaire uniforme • Bien ▫ressource ayant une valeur pour l’organisme • Entité ▫un bien de type organisation, site, personnel, matériel, réseau, logiciel, système • Element essentiel ▫Information ou fonction ayant un besoin de sécurité non nul • Elément menaçant ▫Action ou élément ayant des conséquences négatives Principes de la méthode EBIOS Les étapes directrices • L’étude du contexte • L’expression des besoins de sécurité • L’étude des menaces • L’expression des objectifs de sécurité • La détermination des exigences de sécurité La démarche globale Étape 1 • L’étude du contexte ▫Objectif : cibler le système ▫Plusieurs étapes : Étape 2 • L’expression des besoins de sécurité ▫Estimer les critères du risque ▫Déterminer les critères du risque Étape 3 • L’étude des menaces ▫Définir les risques en fonction de l’architecture technique du système informatique Activité 3.1 – Etude des origines des menaces Entrée • Liste des enjeux du système-cible Actions • Lister les méthodes d'attaque pertinentes • Caractériser les méthodes d'attaque et les éléments menaçants • Ajouter une valeur représentant le potentiel d'attaque de l'élément menaçant Sortie • Liste des origines des menaces (méthodes d'attaque et éléments menaçants) • Liste des méthodes d'attaque non retenues et justifications Activité 3.2 – Étude des vulnérabilités Entrée • Liste des entités • Liste des origines des menaces (méthodes d'attaque et éléments menaçants) Actions • Identifier les vulnérabilités des entités selon les méthodes d'attaque • Estimer éventuellement le niveau des vulnérabilités Sortie • Liste des vulnérabilités retenues et de leur niveau Activité 3.3 – Formalisation des menaces Entrée • Liste des origines des menaces (méthodes d'attaque et éléments menaçants) • Liste des vulnérabilités retenues et de leur niveau Actions • Formuler explicitement les menaces • Hiérarchiser éventuellement les menaces selon leur opportunité Sortie • Liste des menaces retenues Étape 4 • L’expression des objectifs de sécurité ▫Mettre en évidence les risques contre lesquels le SI doit être protégé Activité 4.1 – Confrontation des menaces aux besoins Entrée • Tableau entités / éléments • Fiche de synthèse des besoins de sécurité • Liste des menaces retenues Actions • Déterminer les risques (menaces versus besoin de sécurité) • Formuler explicitement les risques • Hiérarchiser les risques (impacts sur éléments essentiels / opportunité des menaces) • Mettre en évidence les risques non retenus Sortie • Liste hiérarchisée des risques • Liste des risques résiduels Activité 4.2 – Formalisation des objectifs de sécurité Entrée • Liste des hypothèses, des règles de sécurité, des contraintes, des références réglementaires • Choix du mode d’exploitation de sécurité • Liste hiérarchisée des risques Actions • Lister les objectifs de sécurité • Justifier la complétude de la couverture, des hypothèses, des règles de sécurité • Mettre en évidence les défauts de couvertures Sortie • Liste des objectifs de sécurité • Liste des risques résiduels Pré-requis : 1.1, 1.2, 2.4 et 4.1 Activité 4.3 – Détermination des niveaux de sécurité Entrée • Liste des objectifs de sécurité • Liste des menaces retenues Actions • Déterminer le niveau de résistance adéquat pour chaque objectif de sécurité • Choisir le niveau des exigences d'assurance Sortie • Liste des objectifs de sécurité avec le niveau de résistance • Liste des risques résiduels • Choix du niveau des exigences d'assurance Étape 5 • La détermination des exigences de sécurité ▫Détermine les limites en termes d’exigences de sécurité. Activité 5.1 – Détermination des exigences de sécurité fonctionnelles Entrée • Liste des objectifs de sécurité avec le niveau de résistance Actions • Lister les exigences de sécurité fonctionnelles • Justifier la complétude de la couverture des objectifs de sécurité • Mettre en évidence les éventuels défauts de couverture • Classer les exigences de sécurité fonctionnelles (système-cible / l'environnement du système-cible) Sortie • Liste des exigences de sécurité fonctionnelles justifiées • Liste des risques résiduels Activité 5.2 – Détermination des exigences de sécurité d'assurance Entrée • Choix du niveau des exigences d'assurance Actions • Lister les exigences de sécurité d’assurance • Liste des risques résiduels Sortie • Liste des exigences de sécurité d’assurance • Liste des risques résiduels Certification ISO 27001: les perspectives d'utilisation d'EBIOS La norme ISO 27001 • La norme ISO 27001 définit un modèle pour mettre en place un SMSI • Ce modèle doit être basé sur une approche de gestion des risques, définissant un ensemble de mesures de sécurité. La norme ISO 27001 • Plan : définir le cadre de l’ISMS, apprécier et spécifier le traitement des risques de sécurité des SI • Do : implémenter et maintenir les mesures • Check : vérifier que les mesures fonctionnent conformément à l’étape « Plan » et identifier les améliorations possibles de l’ISMS • Act : mettre en œuvre les améliorations identifiées pour l’ISMS EBIOS et La norme ISO 27001 • EBIOS rentre dans le cadre de l’apréciation du risque et offre un certain nombre d’avantages en vue d’une démarche de certification ISO 27001 EBIOS et La norme ISO 27001 • EBIOS intervient principalement dans la première étape de l’ISMS (Plan), mais également dans les trois étapes suivantes (Do, Check, Act) : • Étape 1 – Plan : EBIOS supporte efficacement l’ensemble des actions, notamment la définition du périmètre, l’appréciation des risques et la spécification du traitement des risques • Étape 2 – Do : EBIOS contribue à l’élaboration du plan de traitement des risques et à la communication relative aux risques • Étape 3 – Check : EBIOS fournit le référentiel d’audit et l’étude est réactualisée pour mettre à jour le niveau de risques • Étape 4 – Act : la réitération et la traçabilité d’EBIOS permettent une amélioration continue de l’ISMS Le logiciel d’assistance à l’évaluation EBIOS Le logiciel EBIOS • Distribué sous Licence GNU GPL ▫Code source pas encore rendu public • Multi-plateformes ▫Linux, Windows, Solaris… • Assister les utilisateurs d’EBIOS ▫Stocke les contextes, risques, besoins ▫Donne accès à une base de connaissances Risques courants Attaques courantes Risques fréquents Interface principale Etudier le contexte [Etape 1] • Audit et étude du contexte : ▫Création de questionnaires : Connaitre l’entreprise et son SI Exprimer les besoins [Etape 2] • Expression des besoins ▫Identifier les besoins de sécurité de chacun des éléments essentiels Identifier les risques [Etape 3] • Identification des menaces ▫Décrire les différentes menaces auxquelles la cible peut être confrontée Identifier les objectifs [Etape 4] • Identification des objectifs de sécurité ▫déterminer la possibilité pour les menaces identifiées d'affecter réellement les éléments essentiels et d'impacter l'organisme Déterminer les exigences [Etape 5] • Détermination des exigences de sécurités ▫vérifier la bonne couverture des objectifs de sécurité. Conclusions Conslusions • Avantages d’EBIOS ▫Solution complète par étapes ▫Définit clairement Acteurs, Rôles Interactions Vocabulaire ▫Logiciel d’assistance à la mise en œuvre Base de connaissance intégrée ▫Eprouvée par la DGA Conclusions • Inconvénients d’EBIOS ▫Pas de recommandations sécuritaires ▫Pas de méthode d’audit/évaluation ▫Validation interne Oublis potentiels Risque d’évaluation incorrecte des risques ▫Vocabulaire légèrement différent • EBIOS ne peut être utilisé seul uploads/Sante/ cours 5 .pdf

Documents similaires

Santé et sécurité au travail TRAVAIL DE NUIT ET TRAVAIL POSTÉ Ce qu'il faut ret 0 0

DÉCONSTRUCTION Désamianter avec un train d’avance LE MENSUEL DE L’INRS POUR LA 0 0

Travailler avec des produits chimiques Pensez prévention des risques ! © INRS, 0 0

Interventions sur les peintures contenant du plomb Prévention des risques profe 0 0

Sauveteurs-secouristes du travail Docteur Philippe Guérin, capacité, Strasbourg 0 0

Introduction La Convention sur la dive rsité biologique a été créée à Nairobi e 0 0

Sécurité des équipements de travail Prévention des risques mécaniques L’Institu 0 0

Pharmacologie CLASSEMENT DES MEDICAMENTS Médicaments = P.A. + excipient Classem 0 0

COURS HYGIENE AU TRAVAIL Table de matières Introduction I. Cadre et contexte gé 0 0

Formation à la sécurité Obligations réglementaires Former à la sécurité les sal 0 0

• Détails
• Publié le Jui 15, 2022
• Catégorie Health / Santé
• Langue French
• Taille du fichier 1.0701MB