31
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
adresse aux collaborateurs de l’organisme. Les besoins sont sélectionnés sur des critères de sécurité tels que la disponibilité, l’intégrité, la confidentialité et la non- répudiation ainsi que sur des critères d’impacts (interruption de services, dommages matériels). Module 3 : consiste à étudier les scénarios de menaces. Estimer, évaluer les menaces (incendie, perte d’alimentation électrique, divulgation d’information etc.) et identifier les objectifs de sécurité qu’il faut atteindre pour les traiter. EBIOS fournit une liste de menaces que l’on associe aux éléments essentiels définis dans le module 1. Puis on attribue à chaque élément un niveau de vulnérabilité sur une échelle de 0 à 4. Module 4 : il vise à étudier les risques. Cette étape permet de dresser une cartographie des risques. Elle explique aussi comment traiter le risque. Estimer, évaluer les risques puis identifier les objectifs de sécurité à atteindre pour les traiter. Module 5 : il concerne l’étude des mesures de sécurité. Cette dernière étape explique comment appliquer les mesures de sécurité à mettre en œuvre, comment planifier la mise en œuvre de ces mesures et comment valider le traitement des risques résiduels. En conclusion, la méthode EBIOS par son caractère exhaustif, permet de formaliser tout le SMSI et son environnement. Cette méthode contribue à formuler une politique de sécurité du système d’information. C’est une des méthodes pour mettre en œuvre le cadre défini par l’ISO/CEI 27005. Elle répond aux exigences de l’ISO/CEI 27001 et peut exploiter les mesures de sécurité de l’ISO/CEI 27002.