Sécurité de système

informatique

MEHARI

La méthode de gestion des risques

Bureau assistance et conseil Réaliser par:

Mr. IDRISS
[email protected]

Sécurité de système informatique -2024- https://cyber.gouv.fr 1

 Sécurité de système
informatique
Programme

Définition du méthode d’EBIOS

Module 1 – Etude du contexte
Module 2 – Expression des besoins de sécurité
Module 3 – Etude des menaces
Module 4 – Identification des objectifs de sécurité
Module 5 – Détermination des objectifs de sécurité
Module 6 – Exemple

Sécurité de système informatique -2024- https://cyber.gouv.fr 2

 Sécurité de système
informatique
Programme

Définition du méthode d’EBIOS

Module 1 – Etude du contexte

Module 2 – Expression des besoins de sécurité

Module 3 – Etude des menaces

Module 4 – Identification des objectifs de sécurité

Module 5 – Détermination des objectifs de sécurité

Module 6 – Exemple

Sécurité de système informatique -2024- https://cyber.gouv.fr 3

 Sécurité de système
informatique Définition

 Méthode EBIOS est une méthode d’analyser de risque qui peut-être appliqué sur une
système a concevoir ou existantes

 Elle permet déterminer les actions de sécurité a prendre en considération vis-vis du

système et ses ressources

Sécurité de système informatique -2024- https://cyber.gouv.fr 4

 Sécurité de système
informatique Démarcher

Sécurité de système informatique -2024- https://cyber.gouv.fr 5

 Sécurité de système
informatique
Programme
Définition du méthode d’EBIOS

Module 1 – Etude du contexte

Module 2 – Expression des besoins de sécurité

Module 3 – Etude des menaces

Module 4 – Identification des objectifs de sécurité

Module 5 – Détermination des objectifs de sécurité

Module 6 – Exemple

Sécurité de système informatique -2024- https://cyber.gouv.fr 6

 Sécurité de système Etude de contexte
informatique

 Objectif général de l’activités

 Savoir ce qui est dans le champ de l’étude et ce qui ne l’est pas
 Délimiter le cadre d’etude

 Principales question a se poser

 Qu’est-ce qui est à l’origine de l’étude (motif, événement…) ?
Cadrer l’étude des risques  Quel est l’objectif de l’étude (son but et les livrables attendus) ?
 Comment organiser le travail (actions, rôles, charges…)?

 Que sait-on du contexte (externe et interne) ?

Décrire le contexte général  Comment les risques sont-ils gérés actuellement ?

 Quelles sont les limites du périmètre étudié ?

Délimiter le périmètre de l’étude  Qui doit participer à l’étude ??

Sécurité de système informatique -2024- https://cyber.gouv.fr 7

 Sécurité de système
informatique
Programme

Définition du méthode d’EBIOS

Module 1 – Etude du contexte

Module 2 – Expression des besoins de sécurité

Module 3 – Etude des menaces

Module 4 – Identification des objectifs de sécurité

Module 5 – Détermination des objectifs de sécurité

Module 6 – Exemple

Sécurité de système informatique -2024- https://cyber.gouv.fr 8

 Sécurité de système
informatique Expression de besoins de sécurité
 Objectif général de l’activités
 Obtenir les besoins de sécurité exprimé en terme (CADI)
 Obtenir une liste hiérarchisé des besoins avec un degré de gravité(0 a 4 )
 Principales question a se poser

 Quels sont les besoins de sécurité de chaque bien essentiel ?

Analyser tous les événements  Quelles sources de menaces peuvent les affecter ?
redoutés  Quels seraient les impacts si l’événement se produisait ?
 Quelle serait la gravité d’un tel événement ?

Évaluer chaque événement  Quelle est la hiérarchie des événements redoutés identifiés ?
redouté

Sécurité de système informatique -2024- https://cyber.gouv.fr 9

 Sécurité de système
informatique
Programme
Définition du méthode d’EBIOS

Module 1 – Etude du contexte

Module 2 – Expression des besoins de sécurité

Module 3 – Etude des menaces

Module 4 – Identification des objectifs de sécurité

Module 5 – Détermination des objectifs de sécurité

Module 6 – Exemple

Sécurité de système informatique -2024- https://cyber.gouv.fr 10

 Sécurité de système
informatique Étude de Menacé
 Objectif général de l’activités
 Identifier les différentes menaces possible en se basant sur les vulnérabilité du système
 Obtenir une liste hiérarchisé toute scenarios de menaces possibles

 Principales question a se poser

 Quelles menaces peuvent s’exercer sur chaque bien support ?

 Quelles sources de menaces peuvent en être à l’origine ?
Analyser tous les scénarios de
 Quelles sont les vulnérabilités potentiellement utilisables ?
menaces  Y a-t-il des prérequis pour que la menace se réalise ?

Évaluer chaque scénario de  Quelle est la hiérarchie des scénarios de menaces identifiés ?
menace

Sécurité de système informatique -2024- https://cyber.gouv.fr 11

 Sécurité de système
informatique
Programme
Définition du méthode d’EBIOS

Module 1 – Etude du contexte

Module 2 – Expression des besoins de sécurité

Module 3 – Etude des menaces

Module 4 – Identification des objectifs de sécurité

Module 5 – Détermination des objectifs de sécurité

Module 6 – Exemple

Sécurité de système informatique -2024- https://cyber.gouv.fr 12

 Sécurité de système
informatique
Identification de objectifs De sécurité
 Objectif général de l’activités
 Connaître les choix de traitement de chaque risque

 Principales question a se poser

Choisir les options de traitement  Comment choisit-on de traiter chaque risque (réduire,
de chaque risque transférer, éviter, prendre) ?

 Quels risques resteraient si les objectifs étaient satisfaits ?

Analyser les risques résiduels

Sécurité de système informatique -2024- https://cyber.gouv.fr 13

 Sécurité de système
informatique
Programme
Définition du méthode d’EBIOS

Module 1 – Etude du contexte

Module 2 – Expression des besoins de sécurité

Module 3 – Etude des menaces

Module 4 – Identification des objectifs de sécurité

Module 5 – Détermination des objectifs de sécurité

Module 6 – Exemple

Sécurité de système informatique -2024- https://cyber.gouv.fr 14

 Sécurité de système
informatique
Determination des objectif De sécurité
 Objectif général de l’activités
 Connaître le politique de sécurité en mettre place en se basant sur le norme national
Et internationale.

 Obtenir la liste de contre mesuré vis-à-vis du menace

https://www.dgssi.gov.ma https://www.iso.org

Sécurité de système informatique -2024- https://cyber.gouv.fr 15

 Sécurité de système
informatique
Determination des objectif De sécurité
 Principales question a se poser

Déterminer les mesures de  Quelles mesures doivent être mise en place ?

 Servent-elles à la prévention, la protection, ou la récupération ?
sécurité
 Sur quels biens supports reposent-elles ?

Sécurité de système informatique -2024- https://cyber.gouv.fr 16

 Sécurité de système
informatique Intégration sécurité

• Expression • Formalisation • Développement • Déploiement • Fin du projet

Phases

des besoins Besoins du logiciel

Fonctionnels

Etude/ Conception Implémentation Exploitation Fin de vie

initialisation
Sécurité

• Consultation • Proposition • Pris compte • Test intrusion • Archivage des

de équipe De mesure de des bonnes Informations (
sécurité sécurité pratique fichier log)

Sécurité de système informatique -2024- https://cyber.gouv.fr 17

 Sécurité de système
informatique Intégration sécurité
système existant

https://www.cvedetails.com

Sécurité de système informatique -2024- https://cyber.gouv.fr 18

 Sécurité de système
informatique
Programme
Définition du méthode d’EBIOS

Module 1 – Etude du contexte

Module 2 – Expression des besoins de sécurité

Module 3 – Etude des menaces

Module 4 – Identification des objectifs de sécurité

Module 5 – Détermination des objectifs de sécurité

Module 6 – Exemple

Sécurité de système informatique -2024- https://cyber.gouv.fr 19

 Sécurité de système
informatique Exemple

Un raid surprise a dû être annulé avant-hier à cause d'un soldat israélien qui avait mis à jour
son statut Facebook pour indiquer "mercredi nous nettoyons Qatanah, et jeudi, si dieu le
veut, nous rentrons à la maison". Le soldat a depuis été relevé de son poste de combat.

Source de menaceSoldat israélien

MenaceDivulgation
Bien supportSoldat israélien
VulnérabilitéMaladroit, étourdi…
Bien essentielInformations sur un raid surprise
Critère de sécuritéConfidentialité
Besoin de sécuritéSecret Défense
Impact Annulation du raid et perte d’une ressource

Sécurité de système informatique -2024- https://cyber.gouv.fr 20

 Sécurité de système
informatique Référence

 https://www.dgssi.gov.ma

 https://www.cvedetails.com
 [email protected]

 https://cyber.gouv.fr
 https://club-ebios.org

Sécurité de système informatique -2024- https://cyber.gouv.fr 21

 Sécurité de système
informatique Conclusion

 Pour aller plus loin…

 Les guide
 La méthodologie
 Les bases de connaissances
 Etude de cas @RCHIMED
 Club EBIOS

Sécurité de système informatique -2024- https://cyber.gouv.fr 22