Retour d expérience EBIOS. Page 1



Documents pareils
Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

L analyse de risques avec MEHARI

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Créer un tableau de bord SSI

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

2012 / Excellence. Technicité. Sagesse

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

AUDIT CONSEIL CERT FORMATION

Excellence. Technicité. Sagesse

et développement d applications informatiques

Le concept FAH (ou ASP en anglais)

Les cyber risques sont-ils assurables?

Diplôme de Comptabilité et de Gestion. D é c r e t N d u 2 2 d é c e m b r e A r r ê t é d u 8 m a r s

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

En date du 11 décembre 2008

Prestations d audit et de conseil 2015

Plan de maîtrise des risques de la branche Retraite Présentation générale

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

APPLICATIONS MOBILES Catalogue de services Econocom-Osiatis

CHARTE INFORMATIQUE LGL

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Meilleures pratiques de l authentification:

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Certification ISO 9001 de la prise en charge médicamenteuse

Evelyne DUCROT. Spécialiste de l accompagnement du changement et des relations humaines

Mise en conformité de vos régimes santé, et prévoyance, êtes-vous prêts!

Annexe 1 à l'acte d'engagement. Bordereaux des prix (lot 2)

L équipement choisit devra être nomade, il servira aux visiteurs en déplacements et sera donc sujets à des limitations de tailles et de poids.

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Identification, évaluation et gestion des incidents

Sommaire. Introduction. Lancement produit. WhatsUp Companion. Démonstration produit Questions et réponses. Présentation Orsenna

LA DÉMARCHE DE VEILLE S.A. MARCHAND PREMIERE PARTIE : AUDIT SUR LA COMMUNICATION INTERNE

PLAN DE FORMATION TECHNICIEN(NE) D'ASSISTANCE EN INFORMATIQUE TAI

Qualité des données sur la chaine de valeur globale du reporting réglementaire, du Pilier 1 au Pilier 3 de Solvabilité 2

La sécurité des systèmes d information

Linux Expo Gestion des Identités et des Accès. Le 16 mars Arismore

Auditabilité des SI et Sécurité

Connaître les Menaces d Insécurité du Système d Information

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

La présentation qui suit respecte la charte graphique de l entreprise GMF

Les PGI. A l origine, un progiciel était un logiciel adapté aux besoins d un client.

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Sécurisation des données par CHIFFREMENT des PC. Utilisation de TrueCrypt

Objectif : Passer de l analyse métier et fonctionnelle à la définition des applications qui

Contrôlez et Maîtrisez votre environnement de messagerie Lotus Notes Domino

DÉPARTEMENT FORMATIONS 2015 FORMATION-RECRUTEMENT CATALOGUE. CONTACTS (+226)

INTITULE DU POSTE (1) EXPERT MEDICAL évolution des modèles de financement des établissements de santé (MCO et SSR)

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

des conditions de préparation et d organisation des travaux de votre Conseil d administration au cours de l exercice clos le 31 décembre 2013 ;

Créer un compte dans Prodouane, étape par étape

Technologie data distribution Cas d usage.

Être conforme à la norme PCI. OUI, c est possible!

Zimbra Collaboration 8.X

JOURNEES SYSTEMES & LOGICIELS CRITIQUES le 14/11/2000. Mise en Œuvre des techniques synchrones pour des applications industrielles

Traçabilité Du besoin à la mise en oeuvre

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

LES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

ORACLE PRIMAVERA PORTFOLIO MANAGEMENT

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

CERTIFICATION LA CERTIFICATION

Vers un nouveau modèle de sécurité

HySIO : l infogérance hybride avec le cloud sécurisé

ISO la norme de la sécurité de l'information

Maintenabilité d un parc applicatif

ALDEA ET SYSTEMES D INFORMATION

INDICATIONS DE CORRECTION

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Présentation de l Université Numérique de Paris Île-de-France

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Veille technologique - BYOD

Mobilité et Soutien Logistique des SDIS Vers plus d efficience et d agilité

Panorama général des normes et outils d audit. François VERGEZ AFAI

D2IE GUIDE DE L INTELLIGENCE ECONOMIQUE POUR LA RECHERCHE. Juin 2012

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Initiation à la sécurité

INSTITUT LIMAYRAC. enseignement supérieur Toulouse. Vincent de Prato BTS Informatique de Gestion. Option Administrateur de Réseaux Locaux

Documentation d information technique spécifique Education. PGI Open Line PRO

SAGICAP Votre partenaire conseil en capital investissement et gestion d actifs

UE 8 Systèmes d information de gestion Le programme

Créa. sites Web. d'experience. business. process outsourcing. Demande de devis sur Optimiser métiers, réduire libérer

DDO/D2OM/DPMI Séminaire ACORS SMI Septembre Quitter sommaire préc. suiv.

BI CONSULTING. Présentation de l offre. Mai La Synthèse et le Pilotage en réponse aux besoins des métiers

MANAGEMENT PAR LA QUALITE ET TIC

S8 - INFORMATIQUE COMMERCIALE

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

La gestion forestière et le SIG. Forum ESRI oct. 2007

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Single Sign-on (Gestion des accès sécurisés)

s é c u r i t é Conférence animée par Christophe Blanchot

Transcription:

Page 1

Deux types d utilisation de la méthode EBIOS : Déroulement de toutes les activités de la méthode 1. Etude du contexte 1.1 Etude de l organisme 1.2 Etude du système-cible 1.3 Détermination de la cible Seulement respect des principes EBIOS RÉFLEXION PRÉALABLE 2. Besoins de sécurité 2.1 Fiches de besoin 2.2 Synthèse des besoins 2.3 Mode d exploitation 3. Etude des menaces 3.1 Origine des menaces 3.2 Vulnérabilités 3.3 Formalisation des menaces EXPRESSION DES BESOINS DE SÉCURITÉ ÉTUDE DES MENACES 4 Objectifs de sécurité 4.1 Confrontation menaces / besoins 4.2 Formalisation des objectifs de sécurité 4.3 Détermination des niveaux de sécurité IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ 5. Exigences de sécurité 5.1 Détermination des exigences fonctionnelles 5.2 Détermination des exigences d assurance Page 2

Déroulement de toutes les activités de la méthode 2. Besoins de sécurité 2.1 Fiches de besoin 2.2 Synthèse des besoins 1. Etude du contexte 1.1 Etude de l organisme 1.2 Etude du système-cible 1.3 Détermination de la cible 3. Etude des menaces 3.1 Origine des menaces 3.2 Vulnérabilités 3.3 Formalisation des menaces 4 Objectifs de sécurité 4.1 Confrontation menaces / besoins 4.2 Formalisation des objectifs de sécurité 4.3 Détermination des niveaux de sécurité 5. Exigences de sécurité 5.1 Détermination des exigences fonctionnelles 5.2 Détermination des exigences d assurance Etude de sécurité relative à un système applicatif à développer ou en cours de développement : pour l Administration, les organismes sous tutelle, les banques CC et FEROS les collectivités locales le service de transport autres Objectifs de sécurité (pas de formalisme CC, Utilisation de la norme ISO 17799) Etude de sécurité dans le cadre d une consultation pour achat d un système (équipements et progiciels) Seulement les 3 premières phases pas d objectifs de sécurité Le fournisseur doit préciser la couverture des scénarios de risque Page 3

Seulement respect des principes EBIOS EXPRESSION DES BESOINS DE SÉCURITÉ RÉFLEXION PRÉALABLE IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ ÉTUDE DES MENACES Elaboration d une PSSI Elaboration d un référentiel Elaboration d un schéma directeur Elaboration d une cible de sécurité Elaboration d un SSRS Audit : Evaluation du niveau de sécurité Audit intrusif Cartographie des risques métier Page 4

Elaboration d une PSSI, d un référentiel Typologie Métrique entreprise 2. Besoins de sécurité 2.1 Fiches de besoin 2.2 Synthèse des besoins 2.3 Mode d exploitation 1. Etude du contexte 1.1 Etude de l organisme 1.2 Etude du système-cible 1.3 Détermination de la cible 3. Etude des menaces 3.1 Origine des menaces 3.2 Vulnérabilités 3.3 Formalisation des menaces Modélisation Macroscopique (processus) Méthodes d attaque, Grandes vulnérabilités 4 Objectifs de sécurité 4.1 Confrontation menaces / besoins 4.2 Formalisation des objectifs de sécurité 4.3 Détermination des niveaux de sécurité 5. Exigences de sécurité 5.1 Détermination des exigences fonctionnelles 5.2 Détermination des exigences d assurance Principes de sécurité Règles de sécurité Page 5

Elaboration d un schéma directeur Typologie Métrique entreprise 2. Besoins de sécurité 2.1 Fiches de besoin 2.2 Synthèse des besoins 2.3 Mode d exploitation 1. Etude du contexte 1.1 Etude de l organisme 1.2 Etude du système-cible 1.3 Détermination de la cible 3. Etude des menaces 3.1 Origine des menaces 3.2 Vulnérabilités 3.3 Formalisation des menaces Modélisation Macroscopique (processus) Méthodes d attaque, Grandes vulnérabilités 4 Objectifs de sécurité 4.1 Confrontation menaces / besoins 4.2 Formalisation des objectifs de sécurité 4.3 Détermination des niveaux de sécurité 5. Exigences de sécurité 5.1 Détermination des exigences fonctionnelles 5.2 Détermination des exigences d assurance Pas de formalisation CC Plan d action Page 6

Evaluation du niveau de sécurité : Elaboration d un référentiel, Audit de conformité, Plan d action 1. Etude du contexte 1.1 Etude de l organisme 1.2 Etude du système-cible 1.3 Détermination de la cible Missions, enjeux, Contexte d utilisation, Organisation - Acteurs, Architecture 2. Besoins de sécurité 2.1 Fiches de besoin 2.2 Synthèse des besoins 2.3 Mode d exploitation 3. Etude des menaces 3.1 Origine des menaces 3.2 Vulnérabilités 3.3 Formalisation des menaces 4 Objectifs de sécurité 4.1 Confrontation menaces / besoins 4.2 Formalisation des objectifs de sécurité 4.3 Détermination des niveaux de sécurité Pas de formalisme CC, Objectifs techniques et organisationnels 5. Audit des dispositifs et des procédures Constats techniques et organisationnels Identification des écarts Evaluation du niveau de sécurité (métrique) 6. Plan d action 5. Exigences de sécurité 5.1 Détermination des exigences fonctionnelles 5.2 Détermination des exigences d assurance Page 7

Audit intrusif 1. Etude du contexte 1.1 Etude de l organisme 1.2 Etude du système-cible 1.3 Détermination de la cible Contexte d utilisation, Architecture 2. Besoins de sécurité 2.1 Fiches de besoin 2.2 Synthèse des besoins 2.3 Mode d exploitation 3. Etude des menaces 3.1 Origine des menaces 3.2 Vulnérabilités 3.3 Formalisation des menaces Etude détaillée des menaces Elaboration de scénarios d attaque 5. Tests intrusifs Tests en fonction des scénarios d attaque pertinents 4 Objectifs de sécurité 4.1 Confrontation menaces / besoins 4.2 Formalisation des objectifs de sécurité 4.3 Détermination des niveaux de sécurité 5. Exigences de sécurité 5.1 Détermination des exigences fonctionnelles 5.2 Détermination des exigences d assurance Page 8

Cartographie des risques métier Identification des biens 2. Besoins de sécurité 2.1 Fiches de besoin 2.2 Synthèse des besoins 2.3 Mode d exploitation 1. Etude du contexte 1.1 Etude de l organisme 1.2 Etude du système-cible 1.3 Détermination de la cible 3. Etude des menaces 3.1 Origine des menaces 3.2 Vulnérabilités 3.3 Formalisation des menaces Modélisation Macroscopique (processus métier) Caractérisation des menaces Expression des risques métier 4 Objectifs de sécurité 4.1 Confrontation menaces / besoins 4.2 Formalisation des objectifs de sécurité 4.3 Détermination des niveaux de sécurité 5. Exigences de sécurité 5.1 Détermination des exigences fonctionnelles 5.2 Détermination des exigences d assurance Page 9

Deux remarques de fond sur l outil EBIOS v2.0 Le logiciel est bâti sur une logique de validation à plusieurs niveaux, étape après étape : Plusieurs intervenants, un valideur. Des traitements automatiques qui n ont lieu que si les validations ont été effectuées. Obligation de valider tous les items pour obtenir les tableaux de synthèse. Pas de possibilité de saisir ou modifier les données de synthèse. Les tableaux de synthèse ne donne pas une VUE synthétique de l étape concernée : Synthèse des besoins de sécurité, Synthèse des menaces, Synthèse des risques. Page 10

Synthèse des besoins de sécurité Page 11

Proposition sur l outil EBIOS v2.0 Commercial Comptable Ingénieur Secrétaire Besoins de sécurité Commentaires Eléments essentiels D I C D I C D I C D I C D I C F.CONTX 1 4 0 2 4 0 1 4 0 2 4 0 F.CPTA 2 4 0 1 4 0 2 4 0 I.CONTRAT 2 4 1 2 4 1 I.CONTX 2 4 1 2 4 1 2 4 1 I.DEVIS 2 4 1 2 4 1 I.FACT 2 4 1 2 4 1 Synthèse des besoins de sécurité Page 12

Synthèse des menaces Page 13

OMEGA DSS E.Pilote E.Util_externe E.Util_interne E.Admin E.Site E.Intranet E.X25 E.RTC E.Système E.Appli E.Messagerie E.Office E.serveur E.Bureau E.Portable Potentiel d attaque Opportunité Retour d expérience EBIOS Matériels Logiciels Réseaux Sites Personnels Organis ation Menaces D I C Vulnérabilités Proposition sur l outil EBIOS v2.0 M.Piege_log x x x 4 4 Absence de 4 4 4 Liaison de 4 3 4 Locaux acce 4 M.Piege_mat x x x 4 4 Synthèse des menaces Non contrôl Non respect M.Ecoute_site x 4 4 Absence de 4 M.Incendie_log x x 4 2 Non respect Absence de M.Vol_mat_orga x x 4 2 Absence de Disque dur Non respect M.Telecom_phy x 4 1 Accès physi Défaut expl M.Telecom_per x 3 1 Absence de Méconnaiss M.Dispo_sup x 2 1 Supports Page 14

Synthèse des risques Page 15

I.FACT I.DEVIS I.CONTX I.CONTRAT F.CPTA F.CONTX Opportunité Maximum des besoins de sécurité concernés Retour d expérience EBIOS Proposition sur l outil EBIOS v2.0 Menaces Risques Piègeage de logiciels R.Piegeage D 2 2 2 2 2 2 2 2 Un intrus piège le logiciel du fait d une action sur le système I 4 2 4 4 4 4 4 4 d exploitation C Vol de matériels R.Vol_mat D 2 4 2 2 2 2 2 2 Du fait de la facilité de pénétrer dans les locaux, un intrus dérobe I un portable hébergeant des données confidentielles. C 3 4 0 0 0 3 1 1 Synthèse des risques Page 16

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back