La méthode EBIOS
 

Créée en 1995 et maintenue par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) française, la méthode EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI) en se fondant sur une expérience éprouvée en matière de conseil SSI et d'assistance à maîtrise d'ouvrage. EBIOS® est largement utilisée dans le secteur public (l'ensemble des ministères et des organismes sous tutelle), dans le secteur privé (cabinets de conseil, petites et grandes entreprises), en France et à l'étranger (Union européenne, Québec, Belgique, Tunisie, Luxembourg,etc.) par de nombreux organismes en tant qu'utilisateurs ou bénéficiaires d'analyses de risques SSI.

EBIOS® peut être utilisée pour de nombreuses finalités et démarches sécuritaires, telles que l'élaboration de schémas directeurs, de politiques, de tableaux de bord SSI ou différents types de spécifications comme des fiches d'expressions rationnelles des objectifs de sécurité (FEROS), des profils de protections ou des cibles de sécurité (au sens de l'ISO 15408), des plans d'action ou toute autre forme de cahier des charges SSI. Elle garantit ainsi la cohérence globale des outils méthodologiques SSI et offre également la compatibilité avec les normes internationales ISO 13335 (GMITS) et l'ISO 17799.

La méthode peut être employée autant pour étudier des systèmes à concevoir que des systèmes existants. Dans le premier cas, elle permet de déterminer progressivement les spécifications sécuritaires en s'intégrant à la gestion de projet. Dans le second cas, elle prend en compte les mesures de sécurité existantes et intègre la sécurité à des systèmes en exploitation.

La méthode EBIOS® peut être adaptée au contexte de chacun et ajustée à ses outils et habitudes méthodologiques, tout en respectant la philosophie générale de la démarche. Sa flexibilité en fait une véritable boîte à outils pour les acteurs de la SSI. Ainsi, il est autant possible de réaliser une étude globale du système d'information complet d'un organisme que de réaliser une étude détaillée d'un système particulier (site Web, messagerie, gestion des concours,etc.). Il est également possible de n'employer certaines parties de la démarche lorsque l'on réalise, par exemple, une analyse de vulnérabilités (étude des menaces seulement) ou un recueil d'éléments stratégiques (étude du contexte, expression des besoins non détaillée, étude des menaces non détaillée). Les bases de connaissances d'EBIOS® présentent et décrivent des types d'entités, des méthodes d'attaques, des vulnérabilités, des objectifs de sécurité et des exigences de sécurité. Elles sont directement applicables à la plupart des secteurs, mais chacun peut aisément se les approprier et les adapter à son contexte particulier. De plus, la méthode dispose d'un logiciel libre d'assistance.

Retrouvez l'intégralité de la méthode, les meilleures pratiques qui en découlent et son logiciel en téléchargement dans les liens ci-dessous.

Utilisation

Cette section vous permettra de vous familiariser et d'utiliser les différentes fonctionnalités d' EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité) :

DECOUVRIR EBIOS

SE FORMER A EBIOS

PRATIQUER EBIOS
LE GUIDE

LES MEILLEURES PRATIQUES

LE LOGICIEL