1 Étude des risques
Pour réaliser l'étude des risques SSI, la structure de travail prévue est la suivante
: ..... L'importance relative des scénarios de menaces précédemment analysés ...
Part of the document
Document de travail du [DATE]
Historique des modifications
|Dat|Objet de la modification |Statut |
|e | | |
| | | |
Table des matières
1 Étude des risques 3
Étude du contexte 3
Le cadre de la gestion des risques 3
Les métriques utilisées 7
Les biens identifiés 9
Étude des événements redoutés 12
Événements redoutés 12
Évaluation des événements 12
Étude des scénarios de menaces / menaces 13
Scénarios de menaces 13
Évaluation des scénarios de menaces 13
Étude des risques 14
Les risques 14
Évaluation des risques : 15
Les objectifs de sécurité : 16
Étude des mesures de sécurité 17
Les mesures de sécurité : une défense en profondeur pour réduire les
risques 17
Risques résiduels 18
Plan d'action 19
Homologation de sécurité 19
2 Livrables émanant de l'étude EBIOS 20
Fiche d'expression rationnelle des objectifs de sécurité (FEROS) 20
Politique de sécurité (PSSI) 20
Dossier des risques résiduels 20
Décision d'homologation 20
3 Annexe : liste détaillée des scénarii de menaces 21
Étude des risques
Étude du contexte
Le cadre de la gestion des risques
1 Objectif de l'étude
2 Plan d'action
Pour réaliser l'étude des risques SSI, la structure de travail prévue est
la suivante :
|Activités d'EBIOS |Res|Res|Res|Documents à produire |Res|Dur|
| |pon|pon|pon| |sou|ée |
| |sab|sab|sab| |rce|(en|
| |le |le |le | |s |jou|
| |pro|Tec|de | |est|rs)|
| |jet|hni|l'é| |imé| |
| | |que|tud| |es | |
| | | |e | |(en| |
| | | | | |h.j| |
| | | | | |) | |
|1.2 - Préparer les métriques | | | | | | |
|1.3 - Identifier les biens | | | | | | |
|2.1 - Apprécier les événements | | | | | | |
|redoutés | | | | | | |
|3.1 - Apprécier les scénarios de | | | | | | |
|menaces | | | | | | |
|4.1 - Apprécier les risques | | | | | | |
|4.2 - Identifier les objectifs de | | | |FEROS | | |
|sécurité | | | | | | |
|5.1 - Formaliser les mesures à | | | |PSSI | | |
|mettre en ?uvre | | | | | | |
|5.2 - Mettre en ?uvre les mesures | | | |Décision | | |
|de sécurité | | | |d'homologation | | |
Légende : R = Réalisation ; A = Approbation ; C = Consultation ; I =
Information
3 Sujet de l'étude
4 Enjeux
5 Paramètres à prendre en compte
Un ensemble de contraintes à prendre en compte a été identifié :
o Les références qui impacteront l'étude des risques de sécurité sont
les suivantes :
| | |
| | |
o Les contraintes qui impacteront l'étude des risques de sécurité sont
les suivantes :
| | |
| | |
o Les hypothèses qui impacteront l'étude des risques de sécurité sont
les suivantes :
| | |
| | |
6 Les sources de menaces
Les sources de menaces contre lesquelles on souhaite s'opposer sont
suivantes :
|Types de sources de menaces |Retenu ou non |Exemples |
|Source humaine interne, | | |
|malveillante, avec de faibles | | |
|capacités | | |
|Source humaine interne, | | |
|malveillante, avec des | | |
|capacités importantes | | |
|Source humaine interne, | | |
|malveillante, avec des | | |
|capacités illimitées | | |
|Source humaine externe, | | |
|malveillante, avec de faibles | | |
|capacités | | |
|Source humaine externe, | | |
|malveillante, avec des | | |
|capacités importantes | | |
|Source humaine externe, | | |
|malveillante, avec des | | |
|capacités illimitées | | |
|Source humaine interne, sans | | |
|intention de nuire, avec de | | |
|faibles capacités | | |
|Source humaine interne, sans | | |
|intention de nuire, avec des | | |
|capacités importantes | | |
|Source humaine interne, sans | | |
|intention de nuire, avec des | | |
|capacités illimitées | | |
|Source humaine externe, sans | | |
|intention de nuire, avec de | | |
|faibles capacités | | |
|Source humaine externe, sans | | |
|intention de nuire, avec des | | |
|capacités importantes | | |
|Source humaine externe, sans | | |
|intention de nuire, avec des | | |
|capacités illimitées | | |
|Code malveillant d'origine | | |
|inconnue | | |
|Phénomène naturel | | |
|Catastrophe naturelle ou | | |
|sanitaire | | |
|Activité animale | | |
|Événement interne | | |
Les métriques utilisées
1 Les critères de sécurité retenus : disponibilité, intégrité et
confidentialité
Afin d'exprimer les besoins de sécurité, les critères de sécurité retenus
sont les suivants :
|Critères de |Définitions |
|sécurité | |
|Disponibilité |Propriété d'accessibilité au moment voulu des biens |
| |essentiels. |
|Intégrité |Propriété d'exactitude et de complétude des biens |
| |essentiels. |
|Confidentialité|Propriété des biens essentiels de n'être accessibles |
| |qu'aux utilisateurs autorisés. |
2 Échelle de disponibilité
L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en
termes de disponibilité :
|Niveaux de |Description détaillée de l'échelle |
|l'échelle | |
|Journée |Le bien essentiel doit être disponible dans la journée |
|demi-journée |Le bien essentiel doit être disponible dans la |
| |demi-journée. |
|30 minutes |Le bien essentiel doit être disponible dans la |
| |demi-heure. |
3 Échelle d'intégrité
L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en
termes d'intégrité :
|Niveaux de |Description détaillée de l'échelle |
|l'échelle | |
|Négligeable |Le bien essentiel peut ne pas être intègre. |
|Acceptable |Le bien essentiel peut ne pas être intègre, mais son |
| |altération doit être détectée ou suffisamment faible |
| |pour ne pas gêner les opérationnels. |
|Intègre |Le bien essentiel doit être parfaitement intègre. |
4 Échelle de confidentialité
L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en
termes de confidentialité