|
Dans ce module vous trouverez des liens vers des documents de référence de type technique.
La DCSSI est l'héritière du Service central de la sécurité des systèmes d'information, centre focal de l'Etat pour la sécurité des systèmes d'information. La DCSSI est placée sous l'autorité du Secrétaire général de la défense nationale.
Elle a pour mission :
- de contribuer à la définition interministérielle et à l'expression de la politique gouvernementale en matière de sécurité des systèmes d'information,
- d'assurer la fonction d'autorité nationale de régulation pour la SSI en délivrant les agréments, cautions ou certificats pour les systèmes d'information de l'État, les procédés et les produits cryptologiques employés par l'administration et les services publics, et en contrôlant les centres d'évaluation de la sécurité des technologies de l'information (CESTI),
- d'évaluer les menaces pesant sur les systèmes d'information, donner l'alerte, développer les capacités à les contrer et à les prévenir (CERTA),
- d'assister les services publics en matière de SSI,
- de développer l'expertise scientifique et technique dans le domaine de la SSI, au bénéfice de l'administration et des services publics,
- de former et sensibiliser à la SSI (Centre de formation à la sécurité des systèmes d'information - CFSSI).
Créée en 1995 et maintenue par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) française, la méthode EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI) en se fondant sur une expérience éprouvée en matière de conseil SSI et d'assistance à maîtrise d'ouvrage. EBIOS® est largement utilisée dans le secteur public (l'ensemble des ministères et des organismes sous tutelle), dans le secteur privé (cabinets de conseil, petites et grandes entreprises), en France et à l'étranger (Union européenne, Québec, Belgique, Tunisie, Luxembourg,etc.) par de nombreux organismes en tant qu'utilisateurs ou bénéficiaires d'analyses de risques SSI.
EBIOS® peut être utilisée pour de nombreuses finalités et démarches sécuritaires, telles que l'élaboration de schémas directeurs, de politiques, de tableaux de bord SSI ou différents types de spécifications comme des fiches d'expressions rationnelles des objectifs de sécurité (FEROS), des profils de protections ou des cibles de sécurité (au sens de l'ISO 15408), des plans d'action ou toute autre forme de cahier des charges SSI. Elle garantit ainsi la cohérence globale des outils méthodologiques SSI et offre également la compatibilité avec les normes internationales ISO 13335 (GMITS) et l'ISO 17799.
La méthode peut être employée autant pour étudier des systèmes à concevoir que des systèmes existants. Dans le premier cas, elle permet de déterminer progressivement les spécifications sécuritaires en s'intégrant à la gestion de projet. Dans le second cas, elle prend en compte les mesures de sécurité existantes et intègre la sécurité à des systèmes en exploitation.
La méthode EBIOS® peut être adaptée au contexte de chacun et ajustée à ses outils et habitudes méthodologiques, tout en respectant la philosophie générale de la démarche. Sa flexibilité en fait une véritable boîte à outils pour les acteurs de la SSI. Ainsi, il est autant possible de réaliser une étude globale du système d'information complet d'un organisme que de réaliser une étude détaillée d'un système particulier (site Web, messagerie, gestion des concours,etc.). Il est également possible de n'employer certaines parties de la démarche lorsque l'on réalise, par exemple, une analyse de vulnérabilités (étude des menaces seulement) ou un recueil d'éléments stratégiques (étude du contexte, expression des besoins non détaillée, étude des menaces non détaillée). Les bases de connaissances d'EBIOS® présentent et décrivent des types d'entités, des méthodes d'attaques, des vulnérabilités, des objectifs de sécurité et des exigences de sécurité. Elles sont directement applicables à la plupart des secteurs, mais chacun peut aisément se les approprier et les adapter à son contexte particulier. De plus, la méthode dispose d'un logiciel libre d'assistance.
Retrouvez l'intégralité de la méthode, les meilleures pratiques qui en découlent et son logiciel en téléchargement dans les liens ci-dessous.
Ce document du Service Central de la Sécurité des Systèmes d'Information présente les menaces d'origines internes et externes qui pèsent sur les systèmes d'information, ainsi que les attaques informatiques dont ceux-ci sont l'objet.
Il a été élaboré et rédigé sous l'égide de la sous-commission "système" de la commission interministérielle pour la sécurité des systèmes d'information.
 |
Pour en savoir plus ...
|
 |
|
