EBIOS (méthode)

De M82 - DIMA's wiki
Aller à la navigation Aller à la recherche

La méthode EBIOS est une méthode utilisée en sécurité des systèmes d’information et développée par l’ANSSI, Agence Nationale de Sécurité des Systèmes d’Information. Elle permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI). Elle permet aussi de communiquer à leur sujet au sein de l’organisme et vis-à-vis de ses partenaires, constituant ainsi un outil complet de gestion des risques SSI . La méthode est itérative et repose sur cinq modules :

  • Module 1 : Établissement du contexte ; vise à fixer le cadre de la gestion des risques, les métriques et le périmètre de l'étude.
  • Module 2 : Étude des événements redoutés ; il contribue à l'appréciation des risques. Il permet d'identifier et d'estimer les besoins de sécurité des biens essentiels (en termes de disponibilité, d'intégrité, de confidentialité...), ainsi que tous les impacts (sur les missions, sur la sécurité des personnes, financiers, juridiques, sur l'image, sur l'environnement, sur les tiers et autres...) en cas de non respect de ces besoins et les sources de menaces (hu-maines, environnementales, internes, externes, accidentelles, délibérées...) susceptibles d'en être à l'origine, ce qui permet de formuler les événements redoutés.
  • Module 3 – Étude des scénarios de menaces ; il s'inscrit également dans le cadre de l'appréciation des risques et consiste à identifier et estimer les scénarios qui peuvent engendrer les événements redoutés, et ainsi composer des risques. Pour ce faire, sont étudiées les menaces que les sources de menaces peuvent générer et les vulnérabilités exploitables.
  • Module 4 – Étude des risques ; le quatrième module met en évidence les risques pesant sur l'organisme en confrontant les événements redoutés aux scénarios de menaces. Il décrit également comment estimer et évaluer ces risques, et enfin comment identifier les objectifs de sécurité qu'il faudra atteindre pour les traiter.
  • Module 5 – Étude des mesures de sécurité ; le cinquième et dernier module s'inscrit dans le cadre du traitement des risques. Il explique comment spécifier les mesures de sécurité à mettre en œuvre, comment planifier la mise en œuvre de ces mesures et comment valider le traitement des risques et les risques résiduels.
Récupérée de « https://diod.m82-project.org/index.php?title=EBIOS_(méthode)&oldid=957 »