Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
EBIOS La méthode de gestion des risques
Bureau assistance et conseil [email protected]
Introduction
La gestion des risques est largement décrite et préconisée dans la presse, les normes, la réglementation…
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est la méthode de gestion des risques de l'ANSSI.
Opérationnelle, modulaire et alignée avec les normes, c'est la boîte à outils indispensable pour toute réflexion de sécurité des systèmes d'information (SSI).
Mais de quoi s'agit-il exactement ?
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 2
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 3
Programme
Risque et gestion des risques
Grands principes d’EBIOS
Module 1 – Étude du contexte
Module 2 – Étude des événements redoutés
Module 3 – Étude des scénarios de menaces
Module 4 – Étude des risques
Module 5 – Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 4
Programme
Risque et gestion des risques
Grands principes d’EBIOS
Module 1 – Étude du contexte
Module 2 – Étude des événements redoutés
Module 3 – Étude des scénarios de menaces
Module 4 – Étude des risques
Module 5 – Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 5
EBIOS par rapport aux normes
Nom des documents Description des documents
ISO/IEC 31000 Norme décrivant le processus de gestion des risques en général que les normes et méthodes devraient respecter
ISO/IEC 27001 Norme fixant les exigences d'un système de management de la sécurité de l'information
ISO/IEC 27002 Catalogue de bonnes pratiques SSI thématiques
ISO/IEC 27005 Norme décrivant le processus de gestion des risques SSI que toutes les méthodes devraient respecter
EBIOS Méthode décrivant une démarche et des outils pratiques pour gérer les risques SSI
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 6
Un cadre pour toutes les méthodes de gestion des risques SSI : l’ISO/CEI 27005
RISK ESTIMATION
ESTABLISH CONTEXT
RISK IDENTIFICATION
RISK TREATMENT
RISK EVALUATION
RIS
K C
OM
MU
NIC
AT
ION
RIS
K M
ON
ITO
RIN
G A
ND
RE
VIE
W
RISK ASSESSMENT
RISK DECISION POINT 1
Assessment satisfactory
END OF FIRST OR SUBSEQUENT ITERATIONS
RISK DECISION POINT 2
Accept risks
Yes
No
No
Yes
RISK ACCEPTANCE
RISK ANALYSIS
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 7
Surveillance et revue
La gestion des risques SSI Application des normes par EBIOS
Communication
Appréciation des risques
Traitement des risques
Acceptation des risques
Établissement du contexte
Étude du contexte
Étude des événements redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 8
Le risque SSI Définitions
ISO/IEC 27005 Possibilité qu’une menace donnée exploite les vulnérabilités d’un
bien ou d’un groupe de biens et nuise donc à l’organisation.
EBIOS Scénario, avec un niveau donné, combinant un événement
redouté et un ou plusieurs scénarios de menaces.
Événement redouté Scénario, avec un niveau donné, représentant une situation crainte
par l’organisme.
Scénarios de menaces Scénario, avec un niveau donné, décrivant des modes opératoires.
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 9
Le risque SSI Éléments constitutifs
Un événement redouté combine : les sources de menace susceptibles d’en être à l’origine
ex. : un adolescent de 15 ans agissant de manière délibérée par appât du gain,
un bien essentiel ex. : résultats scolaires,
un critère de sécurité ex. : intégrité,
un besoin de sécurité concerné ex. : parfaite intégrité,
les impacts potentiels ex. : l'adolescent évite des difficultés scolaires, image du collège.
Un scénario de menace combine : les sources de menaces susceptibles d'en être à l'origine
ex. : l’adolescent de 15 ans,
un bien support ex. : système informatique du collège,
un critère de sécurité ex. : intégrité,
des menaces ex. : intrusion, élévation de privilèges et modification de contenu,
les vulnérabilités exploitables pour qu'elles se réalisent ex. : facilité d'accès aux données, possibilité de modifier les données.
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 10
Le risque SSI Un exemple
Source de menace Soldat israélien
Menace Divulgation
Bien support Soldat israélien
Vulnérabilité Maladroit, étourdi…
Bien essentiel Informations sur un raid surprise
Critère de sécurité Confidentialité
Besoin de sécurité Secret Défense
Impact Annulation du raid et perte d’une ressource
ISRAËL – Divulgation d’un projet de raid sur Facebook (Gizmodo.fr du 05/03/2010, The New York Times du 05/03/2010)
Un raid surprise a dû être annulé avant-hier à cause d'un soldat israélien qui avait mis à jour son statut Facebook pour indiquer "mercredi nous nettoyons Qatanah, et jeudi, si dieu le veut, nous rentrons à la maison". Le soldat a depuis été relevé de son poste de combat.
Le niveau de risque SSI
Gravité Estimation de la hauteur des
effets d'un événement redouté ou d'un risque. Elle représente ses conséquences.
Elle dépend essentiellement : de la hauteur et du nombre
des impacts,
de la valeur du bien considéré,
de la motivation des sources de menaces.
Vraisemblance Estimation de la possibilité qu'un
scénario de menace ou qu’un risque se produise. Elle représente sa force d'occurrence.
Elle dépend essentiellement : de l’exposition aux menaces
considérées,
de l’existence plus ou moins avérée de vulnérabilités,
de la facilité d’exploitation des vulnérabilités identifiées,
de la capacité des sources de menaces.
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 11
Définition : il correspond à l'estimation de sa gravité et de sa vraisemblance.
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 12
Programme
Risque et gestion des risques
Grands principes d’EBIOS
Module 1 – Étude du contexte
Module 2 – Étude des événements redoutés
Module 3 – Étude des scénarios de menaces
Module 4 – Étude des risques
Module 5 – Étude des mesures de sécurité
EBIOS est le « tout terrain » pour gérer les risques
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 13
Management
Doctrine
Stratégie
Politique
Tableau de bord
Plan d'action
Projets
Cadrage
Cahier des charges
FEROS [Guide 150]
Cible de sécurité
Procédures d'exploitation
Produits
Profil de protection [ISO15408]
Cible de sécurité [ISO15408]
Sensibilisation aux risques et mesures, responsabilisation des parties prenantes…
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 14
Les grands principes La notion de boîte à outils
EBIOS est une boîte à outils à usage variable, qui ne sera pas utilisée de la même manière selon :
le sujet étudié (variation de la focale)
ex. : un organisme dans son intégralité, une application particulière…
les livrables attendus (variation des actions et de la forme)
ex. : doctrine SSI, cible de sécurité…
l’état du projet (variation de la profondeur)
ex. : étude de faisabilité, maintien en conditions opérationnelles…
Une réflexion préalable sur la stratégie de mise en œuvre est donc nécessaire
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 15
Les grands principes Une application souple
L’application d’EBIOS s’inscrit dans un cadre de référence Un cadre lié au sujet de l’étude
Le niveau de maturité SSI Des référentiels applicables (réglementation, normes, méthodes internes…) Une culture spécifique à l’organisme
Un cadre lié aux parties prenantes variées qui doivent être impliquées Responsables du périmètre de l'étude Responsable de la sécurité de l'information / RSSI Gestionnaire de risques Autorités de validation Dépositaire de biens essentiels (utilisateurs ou maîtrises d'ouvrage) Propriétaire de biens supports
Le vocabulaire et les pratiques employés doivent donc être souples
pour que la démarche soit efficace
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 16
Les grands principes Des « rebouclages » nécessaires
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 17
Programme
Risque et gestion des risques
Grands principes d’EBIOS
Module 1 – Étude du contexte
Module 2 – Étude des événements redoutés
Module 3 – Étude des scénarios de menaces
Module 4 – Étude des risques
Module 5 – Étude des mesures de sécurité
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 18
Définir le cadre de la gestion des risques
Objectif général de l’activité
Savoir ce qui est dans le champ de l’étude et ce qui ne l’est pas
Disposer des éléments contextuels susceptibles d’orienter les décisions
Principales questions à se poser
Cadrer l’étude des risques
Qu’est-ce qui est à l’origine de l’étude (motif, événement…) ?
Quel est l’objectif de l’étude (son but et les livrables attendus) ?
Comment organiser le travail (actions, rôles, charges…)?
Décrire le contexte général Que sait-on du contexte (externe et interne) ?
Comment les risques sont-ils gérés actuellement ?
Délimiter le périmètre de l’étude Quelles sont les limites du périmètre étudié ?
Qui doit participer à l’étude ?
Identifier les paramètres à prendre en compte Quels sont les référentiels applicables ?
Quelles sont les contraintes qui pourraient impacter l’étude ?
Identifier les sources de menaces Contre quels types de sources décide-t-on de se protéger ?
Quels sont les exemples illustratifs ?
Bases
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 19
Préparer les métriques
Objectif général de l’activité
Fixer les critères et les échelles de mesure
Fixer les règles de gestion qui devront être appliquées
Principales questions à se poser
Définir les critères de sécurité et élaborer les échelles de besoins
Quels critères de sécurité devront être étudiés (D, I, C…) ?
Quelle est la définition de chacun des critères retenus ?
Quelles échelles utilisera-t-on (ensemble des niveaux possibles) ?
Élaborer une échelle de niveaux de gravité Quelle échelle utilisera-t-on pour la gravité ?
Élaborer une échelle de niveaux de vraisemblance
Quelle échelle utilisera-t-on pour la vraisemblance ?
Définir les critères de gestion des risques Sur quelles règles s’accorde-t-on pour gérer les risques (manière
d’estimer, règles d’ordonnancement, critères d’évaluation…) ?
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 20
Identifier les biens
Objectif général de l’activité Obtenir la liste des biens essentiels (immatériels)
Obtenir la liste des biens supports (physiques)
Obtenir la liste des mesures existantes
Principales questions à se poser
Identifier les biens essentiels, leurs relations et leurs dépositaires
Quels sont les informations et processus essentiels aux métiers ?
Quels sont les liens (inclusions, dépendances…) entre ces biens ?
Quel est le responsable de chacun de ces biens essentiels ?
Identifier les biens supports, leurs relations et leurs propriétaires
Sur quoi reposent les biens essentiels (systèmes informatiques et de téléphonie, organisations, locaux) ?
Quels sont les liens (inclusions, dépendances…) entre ces biens ?
Quel est le responsable de chacun de ces biens supports ?
Déterminer le lien entre les biens essentiels et les biens supports
Quel est le lien entre chaque bien essentiel et bien support ?
Identifier les mesures de sécurité existantes Quels sont les mesures de sécurité mises en œuvre ou prévues ?
Sur quels biens supports reposent-elles ?
Bases
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 21
Programme
Risque et gestion des risques
Grands principes d’EBIOS
Module 1 – Étude du contexte
Module 2 – Étude des événements redoutés
Module 3 – Étude des scénarios de menaces
Module 4 – Étude des risques
Module 5 – Étude des mesures de sécurité
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 22
Apprécier les événements redoutés
Objectif général de l’activité Obtenir une liste hiérarchisée de ce que craint l’organisme
Principales questions à se poser
Analyser tous les événements redoutés
Quels sont les besoins de sécurité de chaque bien essentiel ?
Quelles sources de menaces peuvent les affecter ?
Quels seraient les impacts si l’événement se produisait ?
Quelle serait la gravité d’un tel événement ?
Évaluer chaque événement redouté Quelle est la hiérarchie des événements redoutés identifiés ?
Bases
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 23
Programme
Risque et gestion des risques
Grands principes d’EBIOS
Module 1 – Étude du contexte
Module 2 – Étude des événements redoutés
Module 3 – Étude des scénarios de menaces
Module 4 – Étude des risques
Module 5 – Étude des mesures de sécurité
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 24
Apprécier les scénarios de menaces
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Objectif général de l’activité Obtenir une liste hiérarchisée de tous les scénarios possibles
Principales questions à se poser
Analyser tous les scénarios de menaces
Quelles menaces peuvent s’exercer sur chaque bien support ?
Quelles sources de menaces peuvent en être à l’origine ?
Quelles sont les vulnérabilités potentiellement utilisables ?
Y a-t-il des pré-requis pour que la menace se réalise ?
Quelle est la vraisemblance des scénarios ?
Évaluer chaque scénario de menace Quelle est la hiérarchie des scénarios de menaces identifiés ?
Bases
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 25
Programme
Risque et gestion des risques
Grands principes d’EBIOS
Module 1 – Étude du contexte
Module 2 – Étude des événements redoutés
Module 3 – Étude des scénarios de menaces
Module 4 – Étude des risques
Module 5 – Étude des mesures de sécurité
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 26
Apprécier les risques
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Objectif général de l’activité Obtenir une liste hiérarchisée des risques réels pesant sur le sujet de l'étude
Principales questions à se poser
Analyser les risques
Quels scénarios s’appliquent aux événements redoutés ?
Y a-t-il des mesures existantes pour traiter ces risques ?
Quelle est la gravité des risques ?
Quelle est la vraisemblance des risques ?
Évaluer les risques Quelle est la hiérarchie des risques identifiés ?
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 27
Identifier les objectifs de sécurité
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Objectif général de l’activité Connaître les choix de traitement de chaque risque
Principales questions à se poser
Choisir les options de traitement de chaque risque
Comment choisit-on de traiter chaque risque (réduire, transférer, éviter, prendre) ?
Analyser les risques résiduels Quels risques resteraient si les objectifs étaient satisfaits ?
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 28
Programme
Risque et gestion des risques
Grands principes d’EBIOS
Module 1 – Étude du contexte
Module 2 – Étude des événements redoutés
Module 3 – Étude des scénarios de menaces
Module 4 – Étude des risques
Module 5 – Étude des mesures de sécurité
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 29
Formaliser les mesures de sécurité à mettre en œuvre
Objectif général de l’activité Obtenir la liste des mesures de sécurité destinées à traiter les risques
conformément aux objectifs de sécurité
Obtenir la liste des risques résiduels
Principales questions à se poser
Déterminer les mesures de sécurité
Quelles mesures doivent être mise en place ?
Servent-elles à la prévention, la protection, ou la récupération ?
Sur quels biens supports reposent-elles ?
Analyser les risques résiduels Quelles sont les nouvelles valeurs de gravité et vraisemblance ?
Quels sont les scénarios toujours possibles ?
Établir une déclaration d'applicabilité Les paramètres à prendre en compte ont-ils bien été traités ?
Bases
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 30
Mettre en œuvre les mesures de sécurité
Objectif général de l’activité Disposer d’un plan d’action
Pouvoir décider de valider la manière dont les risques ont été gérés
Principales questions à se poser
Élaborer le plan d'action et suivre la réalisation des mesures de sécurité
Comment planifie-t-on la mise en place des mesures ?
Où en est la mise en place des mesures de sécurité ?
Analyser les risques résiduels Quelles sont les nouvelles valeurs de gravité et vraisemblance ?
Quels sont les scénarios toujours possibles ?
Prononcer l'homologation de sécurité La manière dont les risques ont été gérés est-elle satisfaisante ?
Les risques résiduels sont-ils acceptables ?
Étude du contexte
Étude des événements
redoutés
Étude des scénarios de menaces
Étude des risques
Étude des mesures de sécurité
Bureau assistance et conseil de l’ANSSI - 2010 - http://www.ssi.gouv.fr 31
Conclusion
Pour aller plus loin…
Les guides La méthodologie Les bases de connaissances L’étude de cas @RCHIMED
Le logiciel
Les compétences La formation La certification de compétences
Le Club EBIOS
L’outillage pour mettre en œuvre ces principes est disponible
sur le site de l’ANSSI (http://www.ssi.gouv.fr)