Analyser les risques de son SI avec la méthode EBIOS 2010
Créée en 1995, la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode d’analyse de risques qui fournit une vision complète des enjeux de la SSI (sécurité des SI).
L’organisation de la méthode EBIOS 2010 :
-
EBIOS 2010 est découpée en cinq modules :
x l’étude du contexte
x l’étude des événements redoutés
x l’étude des scénarios de menaces
x l’étude des risques
x l’étude des mesures de sécurité
Les différences avec EBIOS 2004 :
-
Faites évoluer vos exigences grâce au cycle itératif
En s’appuyant sur le retour d’expérience de ses utilisateurs et sur les évolutions normatives et réglementaires, EBIOS 2010 s’appuie désormais sur un cycle itératif d’amélioration continue, contrairement à la version précédente linéaire. Le cycle itératif répond aux évolutions des contraintes et des exigences métiers des structures soucieuses d’assurer un suivi de leur gestion des risques. Il permet aussi d’affiner l’implémentation de la méthode progressivement. Les délais nécessaires à une première analyse des risques peuvent donc être réduit en abaissant dans un premier temps ces exigences pour converger vers des objectifs atteignables.
-
La simplification des guides et l’harmonisation de la terminologie
La dernière version de la méthode EBIOS a consisté à :
x faire converger le vocabulaire vers les normes internationales ISO 27001, ISO 27005, ISO Guide 73 et ISO 31000 (avec le retrait de l’ISO 15408)
x regrouper les guides d’utilisation précédemment intitulés « Présentation, Démarche et Techniques » en un seul guide méthodologique, simplifier les activités difficiles à mettre en œuvre et les compléter pour gérer efficacement les risques
x regrouper les guides d’utilisation précédemment intitulés bases de connaissances pour l’appréciation des risques et bases de connaissances pour le traitement des risques en un seul guide de bases de connaissances et réviser son contenu
x mettre en évidence les avantages, les parties prenantes, les actions de communication et concertation, et les actions de surveillance et revue dans les descriptions des activités
Conclusion
Avec la version 2010 d’EBIOS, l’application de la méthode a été largement optimisée pour une meilleure compréhension et un meilleur usage grâce à une refonte de sa présentation, à son mode itératif et à l’intégration du nouveau vocabulaire normatif de la SSI.