[audit sécurité des systèmes d’information]

30

[Audit Sécurité des Sy stèmes d’Information]

LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES

Module 2 :

Etude des événements redoutés

Module 1 : Etude du contexte

Module 3 :

Etude des scénarios de menaces

Module 4 :

Etude des risques

Module 5 :

Etude des mesures de sécurité

A) La Méthode EBIOS Développée dans les années 90 sous l’autorité de l’agence française ANSSI (Agence nationale de la sécurité des systèmes d’information), cette méthode est l’«Expression des Besoins et Identification des Objectifs de Sécurité». Elle permet d’apprécier, de traiter et communiquer sur les risques au sein d’un SMSI. L’ANSSI et le Club EBIOS proposent en libre accès sur leur site web toute la documentation ainsi qu’un logiciel libre facilitant l’utilisation de la méthode. L’approche de la méthode est itérative, chaque module peut être révisé, amélioré et tenu à jour de manière continue. EBIOS se compose de cinq modules représentés dans la figure ci-dessous :

Les cinq modules de la méthode EBIOS

Module 1 : il concerne l’étude du contexte. Il s’agit de détailler l’organisation, les missions, les contraintes et les métiers pour rendre applicable et cohérent le choix des objectifs de sécurité. Le point suivant consiste à identifier les fonctions estimées sensibles, la perte, le dysfonctionnement ou la divulgation d’informations qui peuvent avoir des répercussions sur le bon fonctionnement de l’organisme. Enfin, on répertorie sous forme de matrice les entités techniques propres au SMSI (matériel, logiciels, réseaux) ainsi que les entités organisationnelles (groupes de collaborateurs) pour établir les liens entre les éléments essentiels et les entités. Module 2 : il concerne l’étude des événements redoutés. Cette étape permet de définir les besoins de sécurité des éléments essentiels précédemment identifiés. On quantifie les besoins sur une échelle de 0 à 4 à l’aide d’un questionnaire que l’on