EBIOS : la méthode et le club des utilisateurs
Date : 28 Septembre 2007
Présentation rapide de la méthode EBIOS
EBIOS est une méthode pour conduire des analyses de sécurité. Elle a été créée en 1995 et maintenue par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI) du gouvernement français. Toutes les informations sur la méthode sont disponibles en français, anglais, allemand et espagnol sur le site de la DCSSI.
La méthode EBIOS s’utilise pour analyser la sécurité de systèmes d’information à concevoir ou en opération.
- Dans le premier cas, elle permet de déterminer les besoins de sécurité à demander dans le cadre d’une analyse de faisabilité ou des spécifications de sécurité à inclure dans un cahier des charges de réalisation du système.
- Dans le second cas, elle permet d’estimer les risques et d’élaborer un plan de sécurité.
Les principes de la méthode EBIOS
L’application complète de la méthode se fait en cinq étapes successives décrites dans le schéma suivant.
Etude du contexte | ||
Expression des besoins de sécurité | Etude des menaces | |
Identification des objectifs de sécurité | ||
Détermination des exigences de sécurité |
En fonction de la complexité du système considéré ou de l’avancement du projet (avant projet, appel d’offre, analyse…), toutes les étapes peuvent être déroulées ou non.
Par exemple, dans le cadre d’une étude de sécurité menée par une maîtrise d’ouvrage avec l’aide d’experts sécurité, la méthode peut se dérouler de la façon suivante :
- Etape 1 : Etude du contexte
Réflexion préalable de la maîtrise d’ouvrage pour décrire tous les éléments pouvant affecter le choix des objectifs de sécurité du système : son environnement, son but, son fonctionnement, ses contraintes financières, contractuelles, légales et les hypothèses prises.
- Etape 2 : Expression des besoins de sécurité
Avec le support de la maîtrise d’ouvrage, il est procédé à une appréciation globale des risques pouvant affecter le système et à la définition d’une échelle des mesure de l’impact de ces risques. Ces mesures sont utilisées pour estimer les besoins de sécurité des éléments essentiels du système en terme de disponibilité, d'intégrité, de confidentialité, d’auditabilité…
- Etape 3 : Etude des menaces
C’est la description conjointe par les professionnels de la sécurité et les responsables des opérations des menaces pesant sur le système à partir d’un catalogue de méthodes d'attaque, d’éléments malveillants, de vulnérabilités exploitables et d’opportunité de mise en œuvre.
- Etape 4 : Identification des objectifs de sécurité
Les risques pesant sur le système sont formalisés en confrontant les menaces aux besoins de sécurité. La maîtrise d’ouvrage peut alors exprimer les objectifs de sécurité qu’elle veut se donner pour les couvrir, en cohérence avec les hypothèses, règles de sécurité, références réglementaires, mode d'exploitation et contraintes identifiées tout au long de l’étude. Cet ensemble constitue le cahier des charges de sécurité du système.
- Etape 5 : Détermination des exigences de sécurité
Le logiciel EBIOS
Un logiciel gratuit est
disponible sur simple demande auprès de la DCSSI conseil.dcssi_[at]_sgdn.pm.gouv.fr ou
http://www.ssi.gouv.fr/fr/confiance/ebiosv2-logiciel-demande.html. Ce logiciel permet de réaliser des analyses de risques EBIOS
et de réutiliser les très nombreuses bases de connaissances qui accompagnent
De par la documentation fournie, la méthode peut s’appliquer aussi sans l’aide de l’outil.
Le club EBIOS
Afin de partager les expériences et
d'améliorer la méthode et son outillage, la DCSSI a créé un club EBIOS en 2003.
Ce club informel a permis de réunir
régulièrement une communauté d'utilisateurs soucieux de contribuer au
développement de la méthode et de disposer des dernières informations à son
sujet. Le club peut être contacté à ebios.dcssi_[at]_sgdn.pm.gouv.fr.
Du fait de son succès, le club EBIOS est en cours structuration sous forme d’association, avec charte de déontologie et règlement intérieur. Une première assemblée générale est prévue pour fin 2007.
Les activités du club EBIOS
Les participants aux réunions du club EBIOS représentent la grande diversité des utilisateurs :
- maîtrise d’ouvrage industrielle, d’administration française…
- sociétés de conseil d'assistance aux maîtrises d'ouvrage…
Plus de 70 experts sécurité sont inscrits au club EBIOS.
Sous l’impulsion de la DCSSI et des divers membres du club EBIOS, la méthode EBIOS a évolué vers la compatibilité avec les normes internationales telles que l'ISO 13335 (GMITS), l'ISO 15408 (critères communs) et l'ISO 27002.
Puis en fonction des expériences des participants, le club EBIOS a élaboré une série de fiches indiquant les meilleures pratiques pour utiliser EBIOS pour
- l’élaboration d'un schéma directeur de sécurité des systèmes d'information (SDSSI)
- l’élaboration d'une politique de sécurité des systèmes d'information (PSSI)
- la rédaction d'une fiche d'expression rationnelle des objectifs de sécurité (FEROS)
- la rédaction d'un SSRS OTAN (System-specific Security Requirement Statement)
- la rédaction d'un profil de protection (PP)
- la rédaction d'une cible de sécurité pour un produit
- la rédaction d'une cible de sécurité pour un système d'information
- l’élaboration d'une politique de certification (PC)
- la mise en place d'un système de gestion de la sécurité des systèmes (ISO 27001).
Ces fiches sont à la disposition du public sur le site de la DCSSI.
D’autres fiches sont en cours d’élaboration :
- la gestion de la continuité des activités
- l’élaboration d’un schéma directeur SSI (SDSSI)
- l’utilisation du concept de défense en profondeur
- l'appréciation des risques liés à la continuité des activités (BIA – Business Impact Analysis).
Enfin d’autres travaux sont en cours autour de la méthode elle-même :
- la labellisation EBIOS de personnes et de sociétés
- un modèle de coût d’EBIOS
Dynamique du club EBIOS
A partir d’expériences passées, des experts sécurité de l’administration française ont élaboré la méthode EBIOS. Ce travail initial n’a été possible que par l’engagement initial très fort de l’administration à travers la DCSSI.
Puis les premiers utilisateurs de la méthode se sont emparés de la méthode.
Dans un premier temps, ces utilisateurs ont partagé leur expérience dans le club EBIOS. Leurs échanges ont permis de confronter la méthode à la réalité des pratiques, en particulier aux contraintes économiques ou contractuelles, afin d’adapter la méthode à la complexité des relations industrielles.
D’autre part, chaque réunion du groupe s’accompagne de présentation très enrichissante d’un ou deux retours d'expériences. L’animateur principal du groupe a aussi fortement contribué à cette dynamique.
A son tour, la dynamique du club EBIOS a permis à la DCSSI de promouvoir la méthode EBIOS dans les comités internationaux de normalisation 2700x, en particulier au niveau de la future norme ISO 27005 sur la Gestion des Risques. Celle-ci présente de nombreuses similitudes avec la méthode EBIOS, ce qui représente un avantage pour les utilisateurs actuels de la méthode.
In fine, la méthode EBIOS devrait encore évoluer vers une conformité totale avec la 27005 (Gestion des Risques) et devenir une des méthodes applicables dans un système de gestion de la sécurité informatique compatible ISO 27001.