Accueil > Glossaire Cybersécurité > EBIOS 🟦 Méthode

EBIOS 🟦 Méthode

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode d’analyse et de gestion des risques informatiques et numériques développée et maintenue par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Elle permet d’identifier, d’évaluer et de traiter les risques liés aux systèmes d’information afin de garantir leur sécurité.

Sa dernière version, EBIOS Risk Manager v1.5, a été publiée par l’ANSSI en mars 2024.

illustration EBIOS Risk Manager


🎯 A quoi sert EBIOS ?

EBIOS sert Ă  :

  • Identifier les risques : dĂ©terminer les Ă©vĂ©nements redoutĂ©s susceptibles d’affecter le système d’information et les actifs critiques de l’organisation.
  • Évaluer les risques : estimer la probabilitĂ© d’occurrence de ces Ă©vĂ©nements et leur impact potentiel sur l’organisation.
  • Traiter les risques : dĂ©finir et mettre en Ĺ“uvre des mesures de sĂ©curitĂ© appropriĂ©es pour rĂ©duire ou maĂ®triser les risques identifiĂ©s.
  • Communiquer sur les risques : fournir une vision claire et partagĂ©e des risques aux diffĂ©rentes parties prenantes.
  • Justifier les choix de sĂ©curitĂ© : expliquer et documenter les dĂ©cisions prises en matière de sĂ©curitĂ©.
  • ĂŠtre conforme aux rĂ©glementations : rĂ©pondre aux exigences de certaines normes et rĂ©glementations (ex: RGPD, LPM).

Google - Noto Color Emoji 15.0 (Animated) Fonctionnement 

Fonctionnement d’EBIOS Risk Manager (la version actuelle) :

EBIOS RM s’articule autour de 5 étapes principales, structurées en 5 cahiers :

  1. Contexte : définition du périmètre de l’étude, identification des acteurs et de leurs attentes, description des objectifs de sécurité.
  2. Domaines d’activité : analyse des métiers et des processus supportés par le système d’information, identification des actifs importants pour l’organisation.
  3. Menaces : identification des menaces potentielles (attaques informatiques, erreurs humaines, catastrophes naturelles, etc.) et de leur vraisemblance.
  4. Vulnérabilités : analyse des faiblesses du système d’information qui pourraient être exploitées par les menaces.
  5. Risques et mesures de sécurité : croisement des menaces et des vulnérabilités pour identifier les scénarios de risques, évaluation de leur gravité et définition des mesures de sécurité à mettre en œuvre.

 

Exemple concret

Prenons l’exemple d’une entreprise qui utilise un site web de commerce en ligne.

  • Actif important : la base de donnĂ©es clients.
  • Menace : une attaque par injection SQL.
  • VulnĂ©rabilitĂ© : une mauvaise conception du formulaire de contact du site web.
  • ScĂ©nario de risque : un attaquant exploite la vulnĂ©rabilitĂ© pour injecter du code SQL et accĂ©der Ă  la base de donnĂ©es clients.
  • Impact potentiel : vol des donnĂ©es personnelles des clients, atteinte Ă  la rĂ©putation de l’entreprise, pertes financières.
  • Mesure de sĂ©curitĂ© : mettre en place des contrĂ´les d’entrĂ©e sur le formulaire de contact pour empĂŞcher les injections SQL.

Concurrents d’EBIOS

Bien qu’EBIOS soit très répandue en France, d’autres méthodes d’analyse de risques existent :

  • ISO 27005 : norme internationale pour la gestion des risques liĂ©s Ă  la sĂ©curitĂ© de l’information. EBIOS RM est dĂ©sormais alignĂ©e sur cette norme.
  • NIST Cybersecurity Framework : cadre de cybersĂ©curitĂ© dĂ©veloppĂ© par le National Institute of Standards and Technology (NIST) aux États-Unis.
  • OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) : mĂ©thode dĂ©veloppĂ©e par le CERT (Computer Emergency Response Team) aux États-Unis.
  • MEHARI (MĂ©thode HarmonisĂ©e d’Analyse des Risques Informatiques) : mĂ©thode dĂ©veloppĂ©e par le CLUSIF (Club de la SĂ©curitĂ© des Systèmes d’Information Français).

 

Pour en savoir plus, lisez l’article :

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité