in

Les méthodes d’analyse des risques 2010 : EBIOS

EBIOS et MEHARI, les deux méthodes françaises d’analyse des risques, ont récemment été mises à jour dans une version 2010. Elles vont permettre d’évaluer et de traiter les risques relatifs à la sécurité des systèmes d’information. Elles peuvent aussi être utilisées pour mieux communiquer sur la sécurité au sein de l’entreprise, en direction des responsables, dirigeants et partenaires. Ce sont de véritables boîtes à outils de la gestion des risques SSI.

La première partie de cet article est consacrée à la méthode EBIOS 2010. J’ai tout simplement synthétisé les évolutions contenues dans cette version 2010.

EBIOS 2010

La méthode EBIOS est développée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). C’est en collaboration avec le Club EBIOS que cette nouvelle version de la méthode gouvernementale a été rédigée. Elle tient en compte des différents retours d’expérience et des évolutions normatives (conforme à l’ISO 31000, 27001 et 27005) et réglementaires.

La base de connaissance a été restructurée complètement afin d’en améliorer la compréhension et sa cohérence. Elle se compose des éléments suivants ;

  • Type de biens supports (matériels, logiciels, personnes, supports papier, locaux…)

  • Type d’impacts (humains, sécurité des personnes, financiers, image, non-conformité…)

  • Type de sources de menaces (humaines délibérées, humaines accidentelles, catastrophes naturelles…)

  • Menaces et vulnérabilités génériques

  • Mesures de sécurité génériques


Les mesures de sécurité comprennent également les mesures issues du Référentiel Général de Sécurité (RGS).

Le guide méthodologique regroupe les anciennes sections 1 (Présentation), 2 (Démarches) et 3 (Techniques) pour un ensemble plus cohérent et plus simples. Le contenu a été revu en profondeur avec une nouvelle présentation mettant en évidence les avantages, les parties prenantes, les actions de communication et de concertation et des actions de surveillance et de revue. La méthode est, elle-même, découpée en 5 modules itératifs :

ebios

EBIOS reste une méthode modulable, une véritable boîte à outils destinée à la gestion des risques SSI qui a vocation à être déployée sur différents périmètres (plus ou moins larges).

La nouvelle version du logiciel EBIOS, qui servira de support informatique de référence à la méthode, n’est pas encore disponible.

Pour en savoir plus :

Vous aimerez aussi cet article:

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

5 Comments

Laissez une réponse
  1. Bonjour,
    Merci pour cette explication claire et concise des méthodes d’analyse des risques. A titre de complément d’informations, permettez moi d’indiquer le site Projiris.fr où sont disponibles gratuitement des outils Excel permettant d’intégrer la démarche d’analyse des risques à une gestion de projet exemplaire, et de modéliser quantitativement les risques. Cordialement.

One Ping

  1. Pingback:

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *