Ebios

logo

Objectifs

Apprendre à réaliser une analyse des risques de son système d'information.

Mettre en place une politique de sécurité.

Prérequis

Connaissance de base sur l'organisation des systèmes d'information.


Description

La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000.

Créée en 1995 par l’ANSSI et régulièrement mise à jour, la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) bénéficie de ses 20 ans d’expérience dans le domaine de la gestion du risque. Elle permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI).

Elle permet aussi de communiquer à leur sujet au sein de l’organisme et vis-à-vis de ses partenaires, constituant ainsi un outil complet de gestion des risques SSI. L’ANSSI et le Club EBIOS ont élaboré la version 2010 de la méthode EBIOS pour prendre en compte les retours d’expérience et les évolutions normatives et réglementaires.

Cette approche plus simple, plus claire, contient des exemples et des conseils. Elle offre la possibilité d’élaborer et d’assurer le suivi d’un plan d’actions relevant de la sécurité des systèmes d’information.

Elle est assortie d’une base de connaissances cohérente avec le référentiel général de sécurité, enrichie d’exemples concrets permettant d’élaborer des scénarios de risque pertinents pour votre organisme.

Elle comprend enfin une étude de cas type, permettant d’appréhender la méthode. Modulaire et conforme aux normes internationales ISO/IEC 31000, ISO/IEC 27005, ISO/IEC 27001, la méthode EBIOS reste la boîte à outils indispensable pour toute réflexion de sécurité de l’information :

  • pour construire son référentiel SSI

  • gestion des risques d’un organisme

  • mise en place d’un système de management de la sécurité de l’information

  • élaboration d’une doctrine, d’une stratégie, d’une politique, d’un plan d’actions, ou d’un tableau de bord SSI.


Plan du cours

Jour 1
  • Présentation d'EBIOS

    • Par qui? Et pourquoi? Comment EBIOS permet-elle de gérer les risques?

    • Une démarche itérative

    • Vocabulaire

    • Appréciation des risques

    • Les différents biens

    • Critère de sécurité

    • Gravité, Impact, Menace

  • Présentation des cinq modules de la méthode

    • Module 1: du contexte

      • Définir le cadre de la gestion des risques

      • Préparer les métriques

      • Identifier les biens

    • Module 2: Etude des événements redoutés

    • Module 3: Etude des scénarios et menaces

    • Module 4: Etude des risques

      • Apprécier les risques

      • Identifier les objectifs de sécurité

    • Module 5: Etude des meures de sécurité


Jour 2
  • Etude de cas