EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode d’analyse et de gestion des risques informatiques et numériques développée et maintenue par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Elle permet d’identifier, d’évaluer et de traiter les risques liés aux systèmes d’information afin de garantir leur sécurité.
Sa dernière version, EBIOS Risk Manager v1.5, a été publiée par l’ANSSI en mars 2024.
🎯 A quoi sert EBIOS ?
EBIOS sert Ă :
- Identifier les risques : déterminer les événements redoutés susceptibles d’affecter le système d’information et les actifs critiques de l’organisation.
- Évaluer les risques : estimer la probabilité d’occurrence de ces événements et leur impact potentiel sur l’organisation.
- Traiter les risques : définir et mettre en œuvre des mesures de sécurité appropriées pour réduire ou maîtriser les risques identifiés.
- Communiquer sur les risques : fournir une vision claire et partagée des risques aux différentes parties prenantes.
- Justifier les choix de sécurité : expliquer et documenter les décisions prises en matière de sécurité.
- Être conforme aux réglementations : répondre aux exigences de certaines normes et réglementations (ex: RGPD, LPM).
Fonctionnement
Fonctionnement Fonctionnement d’EBIOS Risk Manager (la version actuelle) :
EBIOS RM s’articule autour de 5 étapes principales, structurées en 5 cahiers :
- Contexte : définition du périmètre de l’étude, identification des acteurs et de leurs attentes, description des objectifs de sécurité.
- Domaines d’activité : analyse des métiers et des processus supportés par le système d’information, identification des actifs importants pour l’organisation.
- Menaces : identification des menaces potentielles (attaques informatiques, erreurs humaines, catastrophes naturelles, etc.) et de leur vraisemblance.
- Vulnérabilités : analyse des faiblesses du système d’information qui pourraient être exploitées par les menaces.
- Risques et mesures de sécurité : croisement des menaces et des vulnérabilités pour identifier les scénarios de risques, évaluation de leur gravité et définition des mesures de sécurité à mettre en œuvre.
Exemple concret
Prenons l’exemple d’une entreprise qui utilise un site web de commerce en ligne.
- Actif important : la base de données clients.
- Menace : une attaque par injection SQL.
- Vulnérabilité : une mauvaise conception du formulaire de contact du site web.
- Scénario de risque : un attaquant exploite la vulnérabilité pour injecter du code SQL et accéder à la base de données clients.
- Impact potentiel : vol des données personnelles des clients, atteinte à la réputation de l’entreprise, pertes financières.
- Mesure de sécurité : mettre en place des contrôles d’entrée sur le formulaire de contact pour empêcher les injections SQL.
Concurrents d’EBIOS
Bien qu’EBIOS soit très répandue en France, d’autres méthodes d’analyse de risques existent :
- ISO 27005 : norme internationale pour la gestion des risques liés à la sécurité de l’information. EBIOS RM est désormais alignée sur cette norme.
- NIST Cybersecurity Framework : cadre de cybersécurité développé par le National Institute of Standards and Technology (NIST) aux États-Unis.
- OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) : méthode développée par le CERT (Computer Emergency Response Team) aux États-Unis.
- MEHARI (Méthode Harmonisée d’Analyse des Risques Informatiques) : méthode développée par le CLUSIF (Club de la Sécurité des Systèmes d’Information Français).
Pour en savoir plus, lisez l’article :
