EBIOS et MEHARI, les deux méthodes françaises d’analyse des risques, ont récemment été mises à jour dans une version 2010. Elles vont permettre d’évaluer et de traiter les risques relatifs à la sécurité des systèmes d’information. Elles peuvent aussi être utilisées pour mieux communiquer sur la sécurité au sein de l’entreprise, en direction des responsables, dirigeants et partenaires. Ce sont de véritables boîtes à outils de la gestion des risques SSI.

La première partie de cet article est consacrée à la méthode EBIOS 2010. J’ai tout simplement synthétisé les évolutions contenues dans cette version 2010.

EBIOS 2010

La méthode EBIOS est développée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). C’est en collaboration avec le Club EBIOS que cette nouvelle version de la méthode gouvernementale a été rédigée. Elle tient en compte des différents retours d’expérience et des évolutions normatives (conforme à l’ISO 31000, 27001 et 27005) et réglementaires.

La base de connaissance a été restructurée complètement afin d’en améliorer la compréhension et sa cohérence. Elle se compose des éléments suivants ;

  • Type de biens supports (matériels, logiciels, personnes, supports papier, locaux…)
  • Type d’impacts (humains, sécurité des personnes, financiers, image, non-conformité…)
  • Type de sources de menaces (humaines délibérées, humaines accidentelles, catastrophes naturelles…)
  • Menaces et vulnérabilités génériques
  • Mesures de sécurité génériques

Les mesures de sécurité comprennent également les mesures issues du Référentiel Général de Sécurité (RGS).

Le guide méthodologique regroupe les anciennes sections 1 (Présentation), 2 (Démarches) et 3 (Techniques) pour un ensemble plus cohérent et plus simples. Le contenu a été revu en profondeur avec une nouvelle présentation mettant en évidence les avantages, les parties prenantes, les actions de communication et de concertation et des actions de surveillance et de revue. La méthode est, elle-même, découpée en 5 modules itératifs :

ebios

EBIOS reste une méthode modulable, une véritable boîte à outils destinée à la gestion des risques SSI qui a vocation à être déployée sur différents périmètres (plus ou moins larges).

La nouvelle version du logiciel EBIOS, qui servira de support informatique de référence à la méthode, n’est pas encore disponible.

Pour en savoir plus :

5 Comments

  1. Consultant Expert en sécurité web 2 mars 2010 7:00

    Super Nicolas,

    Très bon billet bonne explication chapeau comme d’habitude.

  2. cyber_risks 2 mars 2010 7:33

    Merci pour le commentaire et pour le RT. A quand un article collaboratif entre cyber_risks et securitoile ?

  3. Celena Sickle 20 janvier 2011 5:46

    Wow, thats a very helpful blog entry . I like your website.
    Maybe you should write more articles of these type. (=

  4. Expert01 24 janvier 2011 6:44

    Bonjour,
    Merci pour cette explication claire et concise des méthodes d’analyse des risques. A titre de complément d’informations, permettez moi d’indiquer le site Projiris.fr où sont disponibles gratuitement des outils Excel permettant d’intégrer la démarche d’analyse des risques à une gestion de projet exemplaire, et de modéliser quantitativement les risques. Cordialement.

  5. Pingback: Revue des référentiels traitant de la sécurité des systèmes d’information

Post a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

WordPress SEO