bandeau haut JRES 2009

Utilisation de la méthode EBIOS : de l’organisation projet aux composants du SMSI (Système de Management de la Sécurité de l’Information)

Philippe TOURRON

Université de la Méditerranée

Matthieu GRALL

SGDN/ANSSI

Mots clefs

ssi, ebios, smsi, analyse de risques, gestion de risques, sécurité, iso 27001, iso 27005

Résumé

Mener une étude de risques SSI et au delà gérer les risques, amène à se poser la question du choix d'une démarche et d'une méthode. L'investissement nécessaire à l'emploi de méthodes, la difficulté de la gestion de projet associée et la dimension transversale de la SSI augmentent les interrogations sur l'adaptation d'une méthode comme EBIOS et l'assimilation des normes ISO SSI (2700x). Pour apporter des éléments concrets de réponses, nous présentons l'intérêt de la méthode EBIOS pour son approche métiers des besoins SSI et son évolution ISO 27005 vers une simplification de l'identification des risques par les événements redoutés. Pour illustrer son utilisation dans nos contextes Universitaires nous analysons deux modes d'usage : en analyse de risques pour une UFR et en production de PSSI pour un établissement. Identifier les impacts sur l'activité et les enjeux mais aussi définir le périmètre et la maille des biens informationnels et supports sont des étapes majeures pour la réussite de l'analyse de risques La gestion de projet associée est à adapter en fonction de freins et des leviers différents. Des compléments à la méthode sont utiles, notamment pour recueillir les besoins et choisir les mailles, mais aussi mesurer l'effet des mesures. La gestion de risque n'étant pas isolée de l'organisation des SI, son intégration assez naturelle à une démarche comme ITIL permet d'identifier les points de liaison et notamment l'animation du traditionnel PDCA d'amélioration continue par la revue d'incidents, les demandes de services, la gestion des changements et l'analyse des tableaux de bord de SSI. Cette intégration permet alors d'initier un système de management de la sécurité en cohérence avec l'ISO 27001.

Evaluer cet article
Evaluation à destination du comité de programme et des auteurs, soyez constructifs :-)
Vous avez trouvé l'article : Mauvais Médiocre Bon Excellent
Vous avez trouvé la présentation : Mauvaise Médiocre Bonne Excellente
Remarques :

Retour

Utilisation de la méthode EBIOS : de l’organisation projet aux composants du SMSI (Système de Management de la Sécurité de l’Information)

Philippe TOURRON

Université de la Méditerranée

Matthieu GRALL

SGDN/ANSSI

Mots clefs

ssi, ebios, smsi, analyse de risques, gestion de risques, sécurité, iso 27001, iso 27005

Résumé

Mener une étude de risques SSI et au delà gérer les risques, amène à se poser la question du choix d'une démarche et d'une méthode. L'investissement nécessaire à l'emploi de méthodes, la difficulté de la gestion de projet associée et la dimension transversale de la SSI augmentent les interrogations sur l'adaptation d'une méthode comme EBIOS et l'assimilation des normes ISO SSI (2700x). Pour apporter des éléments concrets de réponses, nous présentons l'intérêt de la méthode EBIOS pour son approche métiers des besoins SSI et son évolution ISO 27005 vers une simplification de l'identification des risques par les événements redoutés. Pour illustrer son utilisation dans nos contextes Universitaires nous analysons deux modes d'usage : en analyse de risques pour une UFR et en production de PSSI pour un établissement. Identifier les impacts sur l'activité et les enjeux mais aussi définir le périmètre et la maille des biens informationnels et supports sont des étapes majeures pour la réussite de l'analyse de risques La gestion de projet associée est à adapter en fonction de freins et des leviers différents. Des compléments à la méthode sont utiles, notamment pour recueillir les besoins et choisir les mailles, mais aussi mesurer l'effet des mesures. La gestion de risque n'étant pas isolée de l'organisation des SI, son intégration assez naturelle à une démarche comme ITIL permet d'identifier les points de liaison et notamment l'animation du traditionnel PDCA d'amélioration continue par la revue d'incidents, les demandes de services, la gestion des changements et l'analyse des tableaux de bord de SSI. Cette intégration permet alors d'initier un système de management de la sécurité en cohérence avec l'ISO 27001.

Evaluer cet article
Evaluation à destination du comité de programme et des auteurs, soyez constructifs :-)
Vous avez trouvé l'article : Mauvais Médiocre Bon Excellent
Vous avez trouvé la présentation : Mauvaise Médiocre Bonne Excellente
Remarques :

Retour
planning_live.txt · Dernière modification: 2009/11/13 14:46 par etienne.meleard@cru.fr
8ème Journées Réseaux à Nantes: JRES 2009
Logo du CNRS - UREC
Logo de RENATER
Logo du CRU
Logo de l'INRIA
Logo de l'Université de Nantes
Logo de l'Université de Rennes1
Logo de l'Université de Rennes2