Le logiciel EBIOS

Dans le dernier post, nous vous présentions les méthodes EBIOS et MEHARI, nous allons vous présenter aujourd’hui et le mois prochain les deux logiciels associés à ces méthodes.

Rappel : La méthode EBIOS

La méthode EBIOS est une méthode de gestion des risques de sécurité des systèmes d’information (SSI). EBIOS est un véritable outil d’assistance à la maîtrise d’ouvrage (définition d’un périmètre d’étude, expression de besoins, responsabilisation des acteurs…). Elle permet ainsi d’identifier les objectifs et les exigences de sécurité en fonction de risques identifiés et retenus. Elle constitue une main courante dans la perception de l’organisme sur le plan de la sécurité.

EBIOS peut-être appliqué aussi bien sur des systèmes simples (serveur web) que sur des systèmes complexes (système de gestion des concours et du personnel impliquant différentes interconnexions), sur des systèmes à concevoir que sur des systèmes existants, ou encore sur des systèmes d’information entiers que sur des sous-systèmes.

Présentation du logiciel EBIOS et de ses fonctionnalités.

Le logiciel EBIOS est donc un logiciel d’assistance à l’utilisation de la méthode EBIOS. Il respecte la philosophie générale de la méthode.

Il permet de créer des livrables conformes aux plans recommandés par la direction centrale de la sécurité des systèmes d’information (DCSSI), notamment les Fiches d’Expression Rationnelle des Objectifs de Sécurité (FEROS), les profils de protection, les cahiers des charges SSI, les politiques de sécurité.

Il permet d’accéder aux bases de connaissances et de les adapter à des contextes particuliers. Les acteurs de la SSI (Direction, RSSI…) peuvent ainsi diffuser des éléments de politique de sécurité tels que les valeurs de l’organisme, la réglementation applicable, l’échelle de sensibilité à utiliser, les menaces à prendre en compte ou les objectifs de sécurité à couvrir.

C’est un outil puissant pour le conseil lié à la gestion des risques SSI. Il permet notamment de :

-          consigner les résultats d’une analyse des risques SSI
-          gérer un contenu dynamique et interactif
-          capitaliser les savoirs pour créer un référentiel propre à l’organisme
-          communiquer efficacement les résultats.

De plus, ce logiciel suit les évolutions de la méthode EBIOS, notamment la convergence vers les normes internationales telles que l’ISO 15408.

Voici les différentes fonctionnalités du logiciel :

-          Réalisation d’une étude EBIOS : permet de consigner les résultats des études, de produire les divers tableaux et d’effectuer certains calculs automatiquement.

La réalisation d’une étude est composée de 6 parties :

  • L’étude du contexte : étape consistant à définir et délimiter l’étude à partir des entretiens ou questionnaires établis à l’étape préparatoire.
  • Expression des besoins et des évènements redoutés : énumération des besoins de sécurité de chacun des éléments essentiels.
  • L’étude des menaces : étape ayant pour objectif de déterminer les menaces, puis les vulnérabilités associées à ces menaces, devant être couvertes par les objectifs de sécurité du système cible. On confronte ensuite les menaces spécifiques du système cible avec les besoins de sécurité établis précédemment.
  • Identification des risques : détermination des risques, et définition des solutions permettant d’atteindre les objectifs de sécurité
  • Détermination des exigences de sécurité : spécification des fonctionnalités attendues en matière de sécurité. Cela permet de démontrer la couverture des objectifs de sécurité par ces exigences de sécurité fonctionnelles ou mettre en évidence les éventuels risques résiduels. On doit enfin spécifier les exigences de sécurité d’assurance.
  • Compléments : création d’un glossaire, d’une liste des acronymes utilisés dans l’étude et des documents de référence

-          Création de documents de synthèse : EBIOS permet de réaliser différents livrables tels que des politiques de sécurité des systèmes d’information, des fiches d’expressions rationnelles des objectifs de sécurité (FEROS), des profils de protections, des cibles de sécurité… à partir des données issues d’une étude SSI.

-          Etude de cas : Découvrir le logiciel à travers une étude de cas commentée.

-          Administration des bases de connaissances : Le logiciel permet la création, la consultation et la personnalisation de bases de connaissances. Les bases de connaissances d’EBIOS présentent et décrivent des types d’entités, des contraintes, des vulnérabilités, des méthodes d’attaques, des objectifs de sécurité, des exigences de sécurité… Ces bases de connaissances sont ensuite utilisées par les études comme référence.

-       Administration système : Administrer les utilisateurs. Cela correspond à la gestion des rôles et des utilisateurs (Authentification) : pour accéder à chaque fonctionnalité du logiciel, le logiciel peut demander un identifiant et un mot de passe.

Pour conclure, voici les principaux avantages du logiciel EBIOS. Il est :

-       Recommandé par la DCSSI  (diffusion et assistance par la DCSSI)
-       Gratuit
-       Compatible avec différents systèmes (Windows, Linux ou Solaris)
-       Facile de prise en main (avec même un module d’auto-formation, une aide complète)
-       Permet de rejoindre la communauté des utilisateurs EBIOS (experts…)
-       Est sous licence libre (utilisable et adaptable par tous, sources et documents de conception fourni avec le logiciel) (conçu en UML et réalisé en Java et XML)
-       Fidéle à la méthode
-       Capable d’éditer les documents adaptés aux besoins

Source : www.ssi.gouv.fr , logiciel EBIOS

Licence Creative Commons
Plans de sécurité de Jean-Baptiste Clavel et Adrien Thiery est mis à disposition selon les termes de la licence Creative Commons Attribution 3.0 non transposé.

Un Plan de sécurité informatique… On commence par un Audit !

Dans ce deuxième post, nous traiterons de la notion du plan de sécurité informatique et en particulier l’étape d’évaluation des risques. Comme annoncé dans le premier post , nous commencerons par développer la notion d’Audit informatique, base de tout plan de sécurité et objet  de toute évaluation ou analyse de risques.

En effet, pour élaborer un plan de sécurité informatique, la première étape consiste naturellement en l’évaluation de la sensibilité des informations que possède l’entreprise ou l’entité en question. Il faudrait ainsi déterminer les différentes sensibilités des données et plus généralement des « actifs » à protéger. Ceci donnera une « cartographie » précise des menaces et des fragilités liées au système d’information.

Pour se donner une idée concrète du plan de sécurité et de l’audit informatique, il convient de présenter avant tout les principales origines de menaces contre lesquelles doit agir ce plan de sécurité. Il s’agit en effet de deux types de menaces :

Des menaces « passives », dans le sens où ils ne sont pas “volontaires” :

  • Les utilisateurs (utilisation non adéquate, insouciance…)
  • Des Incidents (pertes, vols, inondations…)

Des menaces « actives », dans le sens où il s’agit d’attaque planifiée:

  • Des personnes malveillantes (concurrents, …)
  • Des programmes malveillants (virus, …)

La sensibilité des données doit donc être pensée suivant ces deux types de menaces. Nous allons voir que l’Audit de sécurité est la démarche qui donne un « inventaire » des risques existants, ces risques doivent ensuite être analysés et évalués en vue d’élaborer un plan de sécurité efficace.

Un audit de sécurité informatique a pour objectif de fournir une image à un instant donné de l’état du système d’information en termes de vulnérabilités et de risques, par rapport à un « référentiel ».

Ce référentiel consiste en plusieurs documents et visions de l’état de sécurité souhaité. Ainsi il peut contenir des :

  • Textes juridiques : textes de loi, des circulaires, des articles de la réglementation interne…
  • Documents complémentaires : documents de référence en matière de politique de sécurité du système d’information (PSSI), le volet sécuritaire dans la base documentaire du système d’information…

Un rapport d’audit est ainsi réalisé recensant l’ensemble des vulnérabilités sans juger si elles sont tolérables, ceci fait partie de l’ « analyse de risques ».

Par exemple :

  • Une information est bien sécurisée conformément  au référentiel mais il existe des vulnérabilités; ces vulnérabilités doivent figurer sur le rapport d’audit. L’analyse de risques décidera de la nécessité d’en remédier.
  • Une donnée n’est pas sécurisée lors de l’usage d’un nouveau logiciel alors que le référentiel prévoie sa sécurisation ; cela donne lieu à une recommandation de sécurisation dans le rapport d’audit.

L’audit de sécurité est nécessaire à l’occasion de plusieurs faits :

Roue de Deming PDCA

  • Pour tester les répercussions de l’installation d’un nouvel outil.
  • En réaction à des intrusions, des attaques…
  • Analyser le niveau de sécurité du SI et son évolution (audit périodique).
  • Pour tester la mise en place effective de la PSSI.

Il repose plus généralement sur un process cyclique qui assure la qualité et la mise à niveau du système d’information comme l’illustre la Roue de Deming.

Il repose sur plusieurs pratiques qui permettront d’arriver à l’inventaire le plus exhaustif des vulnérabilités du système d’information :

  • Des réunions avec toutes les personnes intervenant sur le SI, notamment le DSI, les responsables de la sécurité des systèmes d’information (RSSI), les administrateurs…
  • Des tests d’intrusion déterminant les effets et les moyens nécessaires pour les intrusions.
  • Des analyse du SI : configuration réseau, mécanismes d’authentification, journalisation, …
  • De l’audit de code ou du Fuzzing selon la disponibilité du code source.

Cet audit de sécurité donnera ainsi une matière précise à analyser, elle sera la base de toute démarche d’élaboration d’un plan de sécurité pour un système d’information.

Quelques Liens :

Licence Creative Commons

Rudiments de sécurité informatique de Karim Eddarbouch & Julien Laurent (élèves de l’Ecole Centrale de Nantes, promo 2012, option informatique) est mis à disposition selon les termes de la licence Creative Commons Paternité – Pas d’Utilisation Commerciale 3.0 non transcrit.