Le logiciel EBIOS

Dans le dernier post, nous vous présentions les méthodes EBIOS et MEHARI, nous allons vous présenter aujourd’hui et le mois prochain les deux logiciels associés à ces méthodes.

Rappel : La méthode EBIOS

La méthode EBIOS est une méthode de gestion des risques de sécurité des systèmes d’information (SSI). EBIOS est un véritable outil d’assistance à la maîtrise d’ouvrage (définition d’un périmètre d’étude, expression de besoins, responsabilisation des acteurs…). Elle permet ainsi d’identifier les objectifs et les exigences de sécurité en fonction de risques identifiés et retenus. Elle constitue une main courante dans la perception de l’organisme sur le plan de la sécurité.

EBIOS peut-être appliqué aussi bien sur des systèmes simples (serveur web) que sur des systèmes complexes (système de gestion des concours et du personnel impliquant différentes interconnexions), sur des systèmes à concevoir que sur des systèmes existants, ou encore sur des systèmes d’information entiers que sur des sous-systèmes.

Présentation du logiciel EBIOS et de ses fonctionnalités.

Le logiciel EBIOS est donc un logiciel d’assistance à l’utilisation de la méthode EBIOS. Il respecte la philosophie générale de la méthode.

Il permet de créer des livrables conformes aux plans recommandés par la direction centrale de la sécurité des systèmes d’information (DCSSI), notamment les Fiches d’Expression Rationnelle des Objectifs de Sécurité (FEROS), les profils de protection, les cahiers des charges SSI, les politiques de sécurité.

Il permet d’accéder aux bases de connaissances et de les adapter à des contextes particuliers. Les acteurs de la SSI (Direction, RSSI…) peuvent ainsi diffuser des éléments de politique de sécurité tels que les valeurs de l’organisme, la réglementation applicable, l’échelle de sensibilité à utiliser, les menaces à prendre en compte ou les objectifs de sécurité à couvrir.

C’est un outil puissant pour le conseil lié à la gestion des risques SSI. Il permet notamment de :

-          consigner les résultats d’une analyse des risques SSI
-          gérer un contenu dynamique et interactif
-          capitaliser les savoirs pour créer un référentiel propre à l’organisme
-          communiquer efficacement les résultats.

De plus, ce logiciel suit les évolutions de la méthode EBIOS, notamment la convergence vers les normes internationales telles que l’ISO 15408.

Voici les différentes fonctionnalités du logiciel :

-          Réalisation d’une étude EBIOS : permet de consigner les résultats des études, de produire les divers tableaux et d’effectuer certains calculs automatiquement.

La réalisation d’une étude est composée de 6 parties :

  • L’étude du contexte : étape consistant à définir et délimiter l’étude à partir des entretiens ou questionnaires établis à l’étape préparatoire.
  • Expression des besoins et des évènements redoutés : énumération des besoins de sécurité de chacun des éléments essentiels.
  • L’étude des menaces : étape ayant pour objectif de déterminer les menaces, puis les vulnérabilités associées à ces menaces, devant être couvertes par les objectifs de sécurité du système cible. On confronte ensuite les menaces spécifiques du système cible avec les besoins de sécurité établis précédemment.
  • Identification des risques : détermination des risques, et définition des solutions permettant d’atteindre les objectifs de sécurité
  • Détermination des exigences de sécurité : spécification des fonctionnalités attendues en matière de sécurité. Cela permet de démontrer la couverture des objectifs de sécurité par ces exigences de sécurité fonctionnelles ou mettre en évidence les éventuels risques résiduels. On doit enfin spécifier les exigences de sécurité d’assurance.
  • Compléments : création d’un glossaire, d’une liste des acronymes utilisés dans l’étude et des documents de référence

-          Création de documents de synthèse : EBIOS permet de réaliser différents livrables tels que des politiques de sécurité des systèmes d’information, des fiches d’expressions rationnelles des objectifs de sécurité (FEROS), des profils de protections, des cibles de sécurité… à partir des données issues d’une étude SSI.

-          Etude de cas : Découvrir le logiciel à travers une étude de cas commentée.

-          Administration des bases de connaissances : Le logiciel permet la création, la consultation et la personnalisation de bases de connaissances. Les bases de connaissances d’EBIOS présentent et décrivent des types d’entités, des contraintes, des vulnérabilités, des méthodes d’attaques, des objectifs de sécurité, des exigences de sécurité… Ces bases de connaissances sont ensuite utilisées par les études comme référence.

-       Administration système : Administrer les utilisateurs. Cela correspond à la gestion des rôles et des utilisateurs (Authentification) : pour accéder à chaque fonctionnalité du logiciel, le logiciel peut demander un identifiant et un mot de passe.

Pour conclure, voici les principaux avantages du logiciel EBIOS. Il est :

-       Recommandé par la DCSSI  (diffusion et assistance par la DCSSI)
-       Gratuit
-       Compatible avec différents systèmes (Windows, Linux ou Solaris)
-       Facile de prise en main (avec même un module d’auto-formation, une aide complète)
-       Permet de rejoindre la communauté des utilisateurs EBIOS (experts…)
-       Est sous licence libre (utilisable et adaptable par tous, sources et documents de conception fourni avec le logiciel) (conçu en UML et réalisé en Java et XML)
-       Fidéle à la méthode
-       Capable d’éditer les documents adaptés aux besoins

Source : www.ssi.gouv.fr , logiciel EBIOS

Licence Creative Commons
Plans de sécurité de Jean-Baptiste Clavel et Adrien Thiery est mis à disposition selon les termes de la licence Creative Commons Attribution 3.0 non transposé.

La norme ISO 17799 et les méthodes d’audit

Avant de vous parler des différentes méthodes d’audit et d’amélioration de la sécurité des systèmes d’informations, nous allons découvrir ensemble la norme ISO 17799 qui constitue les « best practice », les règles de bonnes conduites à suivre et les objectifs à atteindre pour avoir une bonne sécurité informatique.

Présentation de la norme ISO 17799

Internationale, la norme ISO 17799, crée en 2005, établit des lignes directrices et des principes généraux pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l’information au sein d’un organisme.

Ce code de bonne pratique est subdivisé en différentes 10 chapitres (cf ci-dessous).

Chapitre 1 : Politique de sécurité

La politique de sécurité donne des définitions claires de la sécurité de l’information (SI), une explication des principes de sécurité, évoque l’implication de la direction de l’organisme et les modalités de déclaration des incidents de sécurité.

On retiendra que les facteurs clé de succès de la mise en œuvre d’une politique de sécurité de l’information sont :

  • la mise en œuvre de la gestion de la SI compatible avec la culture de l’organisation
  • un soutien et un engagement réel et visible de la direction de l’organisme
  • une bonne compréhension des exigences de sécurité
  • une bonne communication interne (auprès des employés et des responsables) (présentation – formations – campagnes de sensibilisation)
  • une bonne communication externe de la politique de SI (auprès des fournisseurs par exemple)
  • un système de mesures pour évaluer l’efficacité de la gestion de la sécurité

Chapitre 2 : Organisation de la sécurité

Des groupes de travail devront être mis en œuvre, avec l’appui de la direction, pour approuver la politique de sécurité de l’information, pour assigner des rôles de sécurité et pour coordonner la sécurité dans l’organisme.

Chapitre 3 : Classification et contrôle des actifs

La norme préconise qu’un propriétaire soit identifié pour chaque actif principal (exemple: Données client, données achat, …) de façon à s’assurer qu’un niveau de protection approprié de cet actif soit mis en œuvre. Ce propriétaire d’information sera responsable de la mise en œuvre des contrôles appropriés et même si la réalisation des contrôles peut être déléguée, la responsabilité finale vis-à-vis de cet actif devra demeurer chez le propriétaire désigné.

Le processus de réalisation de l’inventaire des actifs est un aspect important de la gestion des risques. Un organisme doit pouvoir identifier ses actifs, ainsi que leur valeur et importance relatives.

Chapitre 4 : Sécurité liée au personnel

La norme ne se réduit pas à une norme technique, elle met beaucoup l’accent sur la culture de la sécurité de l’entreprise et notamment celle liée à son personnel, notamment lors de la procédure de recrutement, des contrats d’embauche et de la formation à la sécurité (connexions et déconnexion aux applicatifs, politique de mots de passe, signalement des incidents de sécurité, processus disciplinaire).

Chapitre 5 : Sécurité physique et de l’environnement

Sécurité Physique :

La sécurité physique est un sujet de fond dans la sécurité de l’information. La norme préconise la création de différents niveaux de sécurisation de zone, la mise en place de systèmes de contrôle d’accès, la séparation des zones de livraison…

Sécurité du matériel informatique :

La norme aborde les thèmes liés à la sécurité des serveurs et de leur environnement (gestion des alimentations électriques, politique pour limiter l’utilisation de boisson et de nourriture, procédure de sortie des matériels informatiques des locaux…)

Des points plus sensibles sont abordés comme par exemple : comment effacer définitivement les données ?

Chapitre 6 : Sécurité de l’exploitation et des réseaux

Dans ce chapitre, deux grands thèmes sont décrits :

  • les thèmes liés à la sécurisation de l’exploitation de l’information (évolutions des systèmes d’information, gérer les incidents de sécurité, séparation des fonctions à risques…)
  • la sécurité des réseaux au sens large véhiculant l’information, notamment toute la sécurité des échanges et les moyens associés (scellement, cryptographie, signature électronique…)

Chapitre 7 : Contrôles d’accès logique

Ce chapitre décrit la politique à mettre en œuvre pour structurer la gestion des accès au système d’information pour les utilisateurs de l’organisme, mais également pour les systèmes externes qui se connectent automatiquement à des applications.

Deux thèmes sont abordés :

  • la gestion des mots de passe
  • la gestion des accès logiques

Chapitre 8 : Développement et maintenance des systèmes d’information

Ce chapitre traite des infrastructures informatiques, des applications de l’entreprise et également des applications développées par les utilisateurs. Mais aussi de la politique sur l’utilisation des mesures cryptographiques : cette partie décrit l’ensemble du processus organisationnel à mettre en œuvre pour assurer une bonne utilisation du cryptage, des signatures numériques, des services de non répudiation et de la gestion des clés.

Chapitre 9 : Continuité d’activité

Quelles que soient les probabilités de risques, les dirigeants doivent pouvoir engager des moyens pour garantir la continuité de l’activité et en particulier, la permanence de la relation client. Sans système d’information, l’entreprise a en effet bien du mal à réorganiser ses processus. Cette conception dépasse la reprise sur le seul sinistre du système d’information : elle vise à réunir pour chaque collaborateur un emplacement de travail, un téléphone, et un poste de travail.

Chapitre 10 : La gestion de la conformité

Comme l’ISO 177999 est une norme internationale, l’identification de la législation applicable au pays est la première tâche. Il convient ensuite de définir explicitement et documenter les exigences légales, réglementaires et contractuelles pour chaque système d’information. (propriété intellectuelle, droits d’auteur, copyright des logiciels, protection des données personnelles…)

Présentation de la méthode EBIOS
(Expression des besoins et identification des objectifs de sécurité)

La méthode EBIOS a été développée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Les réflexions de cette méthode sont menées à un niveau davantage fonctionnel que technique et elle fournit les éléments nécessaires à la validation formelle par une autorité de la gestion, la surveillance et la revue des risques.

La méthode se présente en cinq étapes :

  1. L’étude du contexte
  2. L’étude des évènements redoutés
  3. L’étude des scénarios de menaces
  4. L’étude des risques
  5. L’étude des mesures de sécurité

1 – Étude du contexte

Objectif : définir précisément le contexte de l’étude et ses enjeux.

Cette étape permet de formaliser le cadre de gestion des risques, d’identifier, de délimiter et de décrire le périmètre de l’étude, ses enjeux, son contexte d’utilisation, ses contraintes spécifiques

Cette étape se décompose en trois sous-activités :
– Définir le cadre de la gestion des risques
– Préparer les métriques
– Identifier les biens

2 – Étude des évènements redoutés

Objectif : identifier de manière systématique les scénarios génériques que l’on souhaite éviter concernant le périmètre de l’étude.

Il permet tout d’abord de faire émerger tous les évènements redoutés en identifiant et combinant chacune de leurs composantes : on estime ainsi la valeur de ce que l’on souhaite protéger (les besoins de sécurité des biens essentiels), on met en évidence les sources de menaces auxquelles on est confronté et les conséquences (impacts) des sinistres.  Il permet également de recenser les éventuelles mesures de sécurité existantes et ré-estimer la gravité des évènements redoutés, une fois les mesures de sécurité appliquées.

3 – Étude des scénarios de menaces

Objectif : identifier de manière systématique les modes opératoires génériques qui peuvent porter atteinte à la sécurité des informations du périmètre de l’étude (scénarios de menaces).

Il permet tout d’abord de faire émerger tous les scénarios de menaces : on met en évidence les différentes menaces qui pèsent sur le périmètre de l’étude, les failles exploitables pour qu’elles se réalisent (les vulnérabilités des biens supports). Il permet également de recenser les éventuelles mesures de sécurité existantes et ré-estimer la vraisemblance des scénarios de menaces, une fois les mesures de sécurité appliquées.

4 – Étude des risques

Objectif : mettre en évidence de manière systématique les risques pesant sur le périmètre de l’étude, puis de choisir la manière de les traiter en tenant compte des spécificités du contexte.

Il s’agit ici d’identifier les scénarios réellement pertinents vis-à-vis du périmètre de l’étude. Il permet en outre de les qualifier explicitement en vue de les hiérarchiser et de choisir les options de traitement adéquates.

Cette étape est constitué de deux sous-activités :
– Apprécier les risques
– Identifier les objectifs de sécurité

5 – Étude des mesures de sécurité

Objectif : déterminer les moyens de traiter les risques et de suivre leur mise en œuvre.

Il permet de trouver un consensus sur les mesures de sécurité destinées à traiter les risques, d’en démontrer la bonne couverture, et enfin, d’effectuer la planification, la mise en œuvre et la validation du traitement.

Cette étape est constitué de deux sous-activités :
– Formaliser les mesures de sécurité à mettre en œuvre
– Mettre en œuvre les mesures de sécurité

De plus, cette méthode propose un certain nombre d’outils : Des guides pratiques pour mettre en oeuvre la méthode, un logiciel libre et gratuit, une formation, des études de cas et le club EBIOS, une association à but non lucratif qui permet de favoriser les échanges d’expériences, l’homogénéisation des pratiques et la vérification de la satisfaction des besoins des usagers.

L’année dernière, la méthode MEHARI (Méthode harmonisée d’analyse des risques) avait été étudiée. Faisons une comparaison de la méthode EBIOS et de MEHARI.

MEHARI vs EBIOS

EBIOS

MEHARI

Publié en 1997, créée en 1995

développée depuis 1995

Structure

Étude du contexte

1. L’identification des risques

Étude des événements redoutés

Étude des scénarios de menaces

Étude des risques

2. L’estimation des risques

Étude des mesures de sécurité

3. La gestion des risques

Outils

Guide pratique

Documents pratiques

Logiciel libre et gratuit

Logiciel gratuit

Formation

Vidéos

Etudes de cas

Outils de calculs Excel intégrés au logiciel

Club EBIOS

 

Finalement, on se rend compte que ces deux méthodes abordent les même sujets, mais peut être sous un angle un peu plus fonctionnel pour la méthode EBIOS et plus “managériale” pour la méthode MEHARI.

Un petit mot sur la “méthode” FEROS (Fiche d’Expression Rationnelle des Objectifs de Sécurité )

Lors de nos recherches, nous avons vu la “méthode FEROS” évoquée quasiment au même niveau que les méthodes EBIOS, MEHARI (ou MARION et MELISA, les méthodes “mères” de MEHARI), alors qu’une FEROS est en fait un document obligatoire (dans le cas de systèmes traitant des informations classifiées de défense) ou recommandé qui consiste à formaliser tous les éléments nécessaires à l’acceptation du système par une autorité. Il présente donc non seulement tous les objectifs de  sécurité du système étudié et les risques résiduels, mais aussi la démarche et l’argumentation qui a permis de les identifier.

De plus, la réalisation d’une FEROS est adaptée à l’utilisation de EBIOS, c’est donc ce qu’on pourrait considérer comme une annexe à la méthode EBIOS, même s’il est possible de réaliser une FEROS après avoir utilisé une autre méthode. En décidant de réaliser une FEROS, il faut cependant avoir utilisé une méthode d’audit de sécurité.

Pour conclure, si on sécurise un système d’information grâce à une méthode telle que MEHARI ou EBIOS, l’utilisation de la norme ISO 17799 pourrait faire l’objet d’une utilisation pour la vérification des bonnes pratiques des règles de sécurité établies grâce aux méthodes.

Le lecteur avide de savoir anglophone pourra s’intéresser à la norme OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), mais nous avons trouvé que l’étude de cette méthode n’était pas nécessaire pour cet article.

Sources :
Site de l’agence nationale de la sécurité de l’information
Wikipédia
Projet de sécurité des réseaux, Marc ROZENBERG, université d’Evry
Site du clusif (Club de la Sécurité de l’Information Français)

Plans de sécurité informatique de Jean-Baptiste CLAVEL et Adrien THIERY est mis à disposition selon les termes de la licence Creative Commons Attribution – Pas d’Utilisation Commerciale 3.0 non transposé