La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr.

Présentations similaires


Présentation au sujet: "Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr."— Transcription de la présentation:

1 Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr

2 1. Introduction à EBIOS 2. Principes de la méthode EBIOS 3. Recommandations et Bonnes pratiques 4. Le logiciel dassistance à lévaluation EBIOS 5. Exemples de cas dutilisation 6. Conclusions sur la méthode

3 Part dune initiative Gouvernementale Rédigée par la DCSSI Recommandé/Imposé par la SGDN Prévenir les risques informatiques Eviter les pertes financières Garantir la continuité des activités Protéger les informations Protéger contre les attaques Assurer le respect des lois et règlements

4 Modulaire Sadapte à tout SI quel que soit sa taille Compétences acquises au fil du temps Se réalise en 4 étapes + résultat Détermination et prévention des risques Détermination des besoins spécifiques Détection des risques potentiels Obtention dun plan daction Simplifie les communications inter services Le plan daction définit les relations

5 Toute entreprise possédant/concevant un S.I. Taux important dadoption dans le public CNAM (Assurance Maladie) France Telecom GIE Carte Bleue Ministères (presque tous) Imposé pour certains traitement Données classifiées défense Libre dutilisation dans les autres cas

6 Mise en œuvre encadrée Principes généraux de la méthode Guides des meilleures pratiques Outil daide à la mise en œuvre Possibilité de contacter un consultant

7 Bien ressource ayant une valeur pour lorganisme Entité un bien de type organisation, site, personnel, matériel, réseau, logiciel, système Element essentiel Information ou fonction ayant un besoin de sécurité non nul Elément menaçant Action ou élément ayant des conséquences négatives

8 1. Introduction à EBIOS 2. Principes de la méthode EBIOS 3. Recommandations et Bonnes pratiques 4. Le logiciel dassistance à lévaluation EBIOS 5. Exemples de cas dutilisation 6. Conclusions sur la méthode

9 Létude du contexte Lexpression des besoins de sécurité Létude des menaces Lexpression des objectifs de sécurité La détermination des exigences de sécurité

10

11 Létude du contexte Objectif : cibler le système dinformation Plusieurs étapes :

12 Lexpression des besoins de sécurité Estime les critères de risque Détermine les critères de risque

13 Létude des menaces Défini les risques en fonction de larchitecture technique du système dinformation

14 Entrée Liste des enjeux du système-cible Actions Lister les méthodes d'attaque pertinentes Caractériser les méthodes d'attaque et les éléments menaçants Ajouter une valeur représentant le potentiel d'attaque de l'élément menaçant Sortie Liste des origines des menaces (méthodes d'attaque et éléments menaçants) Liste des méthodes d'attaque non retenues et justifications Pré-requis : 1.2

15 Entrée Liste des entités Liste des origines des menaces (méthodes d'attaque et éléments menaçants) Actions Identifier les vulnérabilités des entités selon les méthodes d'attaque Estimer éventuellement le niveau des vulnérabilités Sortie Liste des vulnérabilités retenues et de leur niveau Pré-requis : 1.3 et 3.1

16 Entrée Liste des origines des menaces (méthodes d'attaque et éléments menaçants) Liste des vulnérabilités retenues et de leur niveau Actions Formuler explicitement les menaces Hiérarchiser éventuellement les menaces selon leur opportunité Sortie Liste des menaces retenues Pré-requis : 3.1 et 3.2

17 Lexpression des objectifs de sécurité Mettre en évidence les risques contre lesquels le SI doit être protégé

18 Entrée Tableau entités / éléments Fiche de synthèse des besoins de sécurité Liste des menaces retenues Actions Déterminer les risques (menaces versus besoin de sécurité) Formuler explicitement les risques Hiérarchiser les risques (impacts sur éléments essentiels / opportunité des menaces) Mettre en évidence les risques non retenus Sortie Liste hiérarchisée des risques Liste des risques résiduels Pré-requis : 1.3, 2.2 et 3.3

19 Entrée Liste des hypothèses, des règles de sécurité, des contraintes, des références réglementaires Choix du mode dexploitation de sécurité Liste hiérarchisée des risques Actions Lister les objectifs de sécurité Justifier la complétude de la couverture, des hypothèses, des règles de sécurité Mettre en évidence les défauts de couvertures Sortie Liste des objectifs de sécurité Liste des risques résiduels Pré-requis : 1.1, 1.2, 2.4 et 4.1

20 Entrée Liste des objectifs de sécurité Liste des menaces retenues Actions Déterminer le niveau de résistance adéquat pour chaque objectif de sécurité Choisir le niveau des exigences d'assurance Sortie Liste des objectifs de sécurité avec le niveau de résistance Liste des risques résiduels Choix du niveau des exigences d'assurance Pré-requis : 3.3 et 4.2

21 La détermination des exigences de sécurité Détermine les limites en termes dexigences de sécurité.

22 Entrée Liste des objectifs de sécurité avec le niveau de résistance Actions Lister les exigences de sécurité fonctionnelles Justifier la complétude de la couverture des objectifs de sécurité Mettre en évidence les éventuels défauts de couverture Classer les exigences de sécurité fonctionnelles (système-cible / l'environnement du système-cible) Sortie Liste des exigences de sécurité fonctionnelles justifiées Liste des risques résiduels Pré-requis : 4.3

23 Entrée Choix du niveau des exigences d'assurance Actions Lister les exigences de sécurité dassurance Liste des risques résiduels Sortie Liste des exigences de sécurité dassurance Liste des risques résiduels Pré-requis : 4.3

24 1. Introduction à EBIOS 2. Principes de la méthode EBIOS 3. Recommandations et Bonnes pratiques 4. Le logiciel dassistance à lévaluation EBIOS 5. Exemples de cas dutilisation 6. Conclusions sur la méthode

25 Exemple de bonnes pratiques Conception dun nouveau SI SI : Ensemble de logiciels, matériels, personnels, locaux Intérêts de EBIOS: Plan de travail: conception, validation Adéquation des ressources aux besoins Politique de sécurité claire et réaliste

26 Concevoir un SI Plan de travail Étape 1: Étude du contexte Étude de la politique de sécurité Basée sur le référentiel de lorganisme Sous la responsabilité du MO validée par le plus haut niveau hiérarchique Étude du système cible (spécifications) Basée sur le référentiel de lorganisme Corrigée lorsque les spécifications évoluent Sous la responsabilité du MO

27 Concevoir un SI Étape 2: Expression des besoins de sécurité Rédaction et synthèse des besoins Basée sur létude de létape 1 En partenariat entre MO, décideurs et utilisateurs Étape 3: Étude des menaces Étude des menaces particulières Sous la responsabilité du MO Validée par le plus haut niveau hiérarchique Étude des vulnérabilités Corrigée lorsque les spécifications évoluent

28 Concevoir un SI Étape 4: Identification des objectifs Confrontation des menaces aux besoins Formulation et hiérarchisation des risques Sous la responsabilité de la MO Étape 5: Détermination des exigences Détermination des exigences fonctionnelles Responsabilités, mesures Qualité de la sécurité (par domaine précis) Par la MOE

29 1. Introduction à EBIOS 2. Principes de la méthode EBIOS 3. Recommandations et Bonnes pratiques 4. Le logiciel dassistance à lévaluation EBIOS 5. Exemples de cas dutilisation 6. Conclusions sur la méthode

30 Distribué sous Licence GNU GPL Code source pas encore rendu public Multi-plateformes Linux, Windows, Solaris… Assister les utilisateurs dEBIOS Stocke les contextes, risques, besoins Donne accès à une base de connaissances Risques courants Attaques courantes Risques fréquents

31 Interface principale

32 Etudier le contexte [Etape 1] Audit et étude du contexte : Création de questionnaires : Connaitre lentreprise et son SI

33 Exprimer les besoins [Etape 2] Expression des besoins Identifier les besoins de sécurité de chacun des éléments essentiels

34 Identifier les risques [Etape 3] Identification des menaces Décrire les différentes menaces auxquelles la cible peut être confrontée

35 Identifier les objectifs [Etape 4] Identification des objectifs de sécurité déterminer la possibilité pour les menaces identifiées d'affecter réellement les éléments essentiels et d'impacter l'organisme

36 Déterminer les exigences [Etape 5] Détermination des exigences de sécurités vérifier la bonne couverture des objectifs de sécurité.

37 1. Introduction à EBIOS 2. Principes de la méthode EBIOS 3. Recommandations et Bonnes pratiques 4. Le logiciel dassistance à lévaluation EBIOS 5. Exemples de cas dutilisation 6. Conclusions sur la méthode

38 Contexte Lorganisme : PME, douzaine demployés Stratégie : Utilisation de nouvelles technologies Consolidation de limage de marque

39 1. Introduction à EBIOS 2. Principes de la méthode EBIOS 3. Recommandations et Bonnes pratiques 4. Le logiciel dassistance à lévaluation EBIOS 5. Exemples de cas dutilisation 6. Conclusions sur la méthode

40 Avantages dEBIOS Solution complète par étapes Définit clairement Acteurs, Rôles Interactions Vocabulaire Logiciel dassistance à la mise en œuvre Base de connaissance intégrée Eprouvée par la DGA

41 Inconvénients dEBIOS Pas de recommandations sécuritaires Pas de méthode daudit/évaluation Validation interne Oublis potentiels Risque dévaluation incorrecte des risques Vocabulaire légèrement différent EBIOS ne peut être utilisé seul

42 Pistes complémentaires Possibilité de faire appel à un prestataire Alcatel CIT Thales Security Systems Utilisation avec des recommandations externes ISO OWASP… Audit externe par société de sécurité Permet de garantir la fiabilité des résultats

43 Sources analyse-risques/ html


Télécharger ppt "Ingénieurs 2000 – ULMV – IR3 – 21/01/2007 L. Andriet – F. Bidet – I. Boelle – V. Boistuaud A. Bruneau – J. Dastugue – M. Douis – F. Fraux – J. Herr."

Présentations similaires


Annonces Google