Utilisation de la méthode EBIOS : de l’organisation projet aux composants du SMSI (Système de Management de la Sécurité de l’Information)
Philippe TOURRON
Université de la Méditerranée
Matthieu GRALL
SGDN/ANSSI
Mots clefs
ssi, ebios, smsi, analyse de risques, gestion de risques, sécurité, iso 27001, iso 27005
Résumé
Mener une étude de risques SSI et au delà gérer les risques, amène à se poser la question du choix d'une démarche et d'une méthode. L'investissement nécessaire à l'emploi de méthodes, la difficulté de la gestion de projet associée et la dimension transversale de la SSI augmentent les interrogations sur l'adaptation d'une méthode comme EBIOS et l'assimilation des normes ISO SSI (2700x). Pour apporter des éléments concrets de réponses, nous présentons l'intérêt de la méthode EBIOS pour son approche métiers des besoins SSI et son évolution ISO 27005 vers une simplification de l'identification des risques par les événements redoutés. Pour illustrer son utilisation dans nos contextes Universitaires nous analysons deux modes d'usage : en analyse de risques pour une UFR et en production de PSSI pour un établissement. Identifier les impacts sur l'activité et les enjeux mais aussi définir le périmètre et la maille des biens informationnels et supports sont des étapes majeures pour la réussite de l'analyse de risques La gestion de projet associée est à adapter en fonction de freins et des leviers différents. Des compléments à la méthode sont utiles, notamment pour recueillir les besoins et choisir les mailles, mais aussi mesurer l'effet des mesures. La gestion de risque n'étant pas isolée de l'organisation des SI, son intégration assez naturelle à une démarche comme ITIL permet d'identifier les points de liaison et notamment l'animation du traditionnel PDCA d'amélioration continue par la revue d'incidents, les demandes de services, la gestion des changements et l'analyse des tableaux de bord de SSI. Cette intégration permet alors d'initier un système de management de la sécurité en cohérence avec l'ISO 27001.
Utilisation de la méthode EBIOS : de l’organisation projet aux composants du SMSI (Système de Management de la Sécurité de l’Information)
Philippe TOURRON
Université de la Méditerranée
Matthieu GRALL
SGDN/ANSSI
Mots clefs
ssi, ebios, smsi, analyse de risques, gestion de risques, sécurité, iso 27001, iso 27005
Résumé
Mener une étude de risques SSI et au delà gérer les risques, amène à se poser la question du choix d'une démarche et d'une méthode. L'investissement nécessaire à l'emploi de méthodes, la difficulté de la gestion de projet associée et la dimension transversale de la SSI augmentent les interrogations sur l'adaptation d'une méthode comme EBIOS et l'assimilation des normes ISO SSI (2700x). Pour apporter des éléments concrets de réponses, nous présentons l'intérêt de la méthode EBIOS pour son approche métiers des besoins SSI et son évolution ISO 27005 vers une simplification de l'identification des risques par les événements redoutés. Pour illustrer son utilisation dans nos contextes Universitaires nous analysons deux modes d'usage : en analyse de risques pour une UFR et en production de PSSI pour un établissement. Identifier les impacts sur l'activité et les enjeux mais aussi définir le périmètre et la maille des biens informationnels et supports sont des étapes majeures pour la réussite de l'analyse de risques La gestion de projet associée est à adapter en fonction de freins et des leviers différents. Des compléments à la méthode sont utiles, notamment pour recueillir les besoins et choisir les mailles, mais aussi mesurer l'effet des mesures. La gestion de risque n'étant pas isolée de l'organisation des SI, son intégration assez naturelle à une démarche comme ITIL permet d'identifier les points de liaison et notamment l'animation du traditionnel PDCA d'amélioration continue par la revue d'incidents, les demandes de services, la gestion des changements et l'analyse des tableaux de bord de SSI. Cette intégration permet alors d'initier un système de management de la sécurité en cohérence avec l'ISO 27001.