Le Gouvernement du Grand-Duché du Luxembourg Portail de la sécurité de l'information CASES Luxembourg
Sep Visuel - Recherche
    Rechercher
x Recherche avancêe
Sep recherche - fonctions
¦ Accueil ¦ Nouveautés ¦ Glossaire ¦ Liens ¦ Vos réactions ¦ Contact ¦ ¦ Aide ¦ Index ¦ A propos du site ¦
Sep fonctions - date
  ImprimerEnvoyer à
Sep date - contenu
Actualités
Théorie
Pratique
Risques
Publications
*
Fiches thématiques
*
Politique de sécurité
*
Présentations
*
Dossiers
*
Recherche
arrow Analyse des risques
*
Outils
*
Articles
Documentation

> home > Publications > Analyse des risques > La méthode EBIOS

La méthode EBIOS

 One up

Créée en 1995 et maintenue par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) française, la méthode EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI) en se fondant sur une expérience éprouvée en matière de conseil SSI et d'assistance à maîtrise d'ouvrage. EBIOS® est largement utilisée dans le secteur public (l'ensemble des ministères et des organismes sous tutelle), dans le secteur privé (cabinets de conseil, petites et grandes entreprises), en France et à l'étranger (Union européenne, Québec, Belgique, Tunisie, Luxembourg,etc.) par de nombreux organismes en tant qu'utilisateurs ou bénéficiaires d'analyses de risques SSI.

EBIOS® peut être utilisée pour de nombreuses finalités et démarches sécuritaires, telles que l'élaboration de schémas directeurs, de politiques, de tableaux de bord SSI ou différents types de spécifications comme des fiches d'expressions rationnelles des objectifs de sécurité (FEROS), des profils de protections ou des cibles de sécurité (au sens de l'ISO 15408), des plans d'action ou toute autre forme de cahier des charges SSI. Elle garantit ainsi la cohérence globale des outils méthodologiques SSI et offre également la compatibilité avec les normes internationales ISO 13335 (GMITS) et l'ISO 17799.

La méthode peut être employée autant pour étudier des systèmes à concevoir que des systèmes existants. Dans le premier cas, elle permet de déterminer progressivement les spécifications sécuritaires en s'intégrant à la gestion de projet. Dans le second cas, elle prend en compte les mesures de sécurité existantes et intègre la sécurité à des systèmes en exploitation.

La méthode EBIOS® peut être adaptée au contexte de chacun et ajustée à ses outils et habitudes méthodologiques, tout en respectant la philosophie générale de la démarche. Sa flexibilité en fait une véritable boîte à outils pour les acteurs de la SSI. Ainsi, il est autant possible de réaliser une étude globale du système d'information complet d'un organisme que de réaliser une étude détaillée d'un système particulier (site Web, messagerie, gestion des concours,etc.). Il est également possible de n'employer certaines parties de la démarche lorsque l'on réalise, par exemple, une analyse de vulnérabilités (étude des menaces seulement) ou un recueil d'éléments stratégiques (étude du contexte, expression des besoins non détaillée, étude des menaces non détaillée). Les bases de connaissances d'EBIOS® présentent et décrivent des types d'entités, des méthodes d'attaques, des vulnérabilités, des objectifs de sécurité et des exigences de sécurité. Elles sont directement applicables à la plupart des secteurs, mais chacun peut aisément se les approprier et les adapter à son contexte particulier. De plus, la méthode dispose d'un logiciel libre d'assistance.

Retrouvez l'intégralité de la méthode, les meilleures pratiques qui en découlent et son logiciel en téléchargement dans les liens ci-dessous.


Pour en savoir plus ... ?
Liens internes
* Les menaces répertoriées par la méthode EBIOS

Haut de page


  Dernière mise à jour de
  cette page le :
  21-07-2008

Copyright © Cyberworld Awareness Security Enhancement Structure   Aspects légaux | Contact