1 Étude des risques

Pour réaliser l'étude des risques SSI, la structure de travail prévue est la suivante
: ..... L'importance relative des scénarios de menaces précédemment analysés ...

Part of the document









































Document de travail du [DATE]









Historique des modifications


|Dat|Objet de la modification |Statut |
|e | | |
| | | |


Table des matières


1 Étude des risques 3

Étude du contexte 3

Le cadre de la gestion des risques 3

Les métriques utilisées 7

Les biens identifiés 9

Étude des événements redoutés 12

Événements redoutés 12

Évaluation des événements 12

Étude des scénarios de menaces / menaces 13

Scénarios de menaces 13

Évaluation des scénarios de menaces 13

Étude des risques 14

Les risques 14

Évaluation des risques : 15

Les objectifs de sécurité : 16

Étude des mesures de sécurité 17

Les mesures de sécurité : une défense en profondeur pour réduire les
risques 17

Risques résiduels 18

Plan d'action 19

Homologation de sécurité 19

2 Livrables émanant de l'étude EBIOS 20

Fiche d'expression rationnelle des objectifs de sécurité (FEROS) 20

Politique de sécurité (PSSI) 20

Dossier des risques résiduels 20

Décision d'homologation 20

3 Annexe : liste détaillée des scénarii de menaces 21


Étude des risques


Étude du contexte


Le cadre de la gestion des risques


1 Objectif de l'étude



2 Plan d'action

Pour réaliser l'étude des risques SSI, la structure de travail prévue est
la suivante :

|Activités d'EBIOS |Res|Res|Res|Documents à produire |Res|Dur|
| |pon|pon|pon| |sou|ée |
| |sab|sab|sab| |rce|(en|
| |le |le |le | |s |jou|
| |pro|Tec|de | |est|rs)|
| |jet|hni|l'é| |imé| |
| | |que|tud| |es | |
| | | |e | |(en| |
| | | | | |h.j| |
| | | | | |) | |
|1.2 - Préparer les métriques | | | | | | |
|1.3 - Identifier les biens | | | | | | |
|2.1 - Apprécier les événements | | | | | | |
|redoutés | | | | | | |
|3.1 - Apprécier les scénarios de | | | | | | |
|menaces | | | | | | |
|4.1 - Apprécier les risques | | | | | | |
|4.2 - Identifier les objectifs de | | | |FEROS | | |
|sécurité | | | | | | |
|5.1 - Formaliser les mesures à | | | |PSSI | | |
|mettre en ?uvre | | | | | | |
|5.2 - Mettre en ?uvre les mesures | | | |Décision | | |
|de sécurité | | | |d'homologation | | |


Légende : R = Réalisation ; A = Approbation ; C = Consultation ; I =
Information

3 Sujet de l'étude







4 Enjeux



5 Paramètres à prendre en compte

Un ensemble de contraintes à prendre en compte a été identifié :

o Les références qui impacteront l'étude des risques de sécurité sont
les suivantes :


| | |
| | |


o Les contraintes qui impacteront l'étude des risques de sécurité sont
les suivantes :


| | |
| | |


o Les hypothèses qui impacteront l'étude des risques de sécurité sont
les suivantes :


| | |
| | |
6 Les sources de menaces

Les sources de menaces contre lesquelles on souhaite s'opposer sont
suivantes :

|Types de sources de menaces |Retenu ou non |Exemples |
|Source humaine interne, | | |
|malveillante, avec de faibles | | |
|capacités | | |
|Source humaine interne, | | |
|malveillante, avec des | | |
|capacités importantes | | |
|Source humaine interne, | | |
|malveillante, avec des | | |
|capacités illimitées | | |
|Source humaine externe, | | |
|malveillante, avec de faibles | | |
|capacités | | |
|Source humaine externe, | | |
|malveillante, avec des | | |
|capacités importantes | | |
|Source humaine externe, | | |
|malveillante, avec des | | |
|capacités illimitées | | |
|Source humaine interne, sans | | |
|intention de nuire, avec de | | |
|faibles capacités | | |
|Source humaine interne, sans | | |
|intention de nuire, avec des | | |
|capacités importantes | | |
|Source humaine interne, sans | | |
|intention de nuire, avec des | | |
|capacités illimitées | | |
|Source humaine externe, sans | | |
|intention de nuire, avec de | | |
|faibles capacités | | |
|Source humaine externe, sans | | |
|intention de nuire, avec des | | |
|capacités importantes | | |
|Source humaine externe, sans | | |
|intention de nuire, avec des | | |
|capacités illimitées | | |
|Code malveillant d'origine | | |
|inconnue | | |
|Phénomène naturel | | |
|Catastrophe naturelle ou | | |
|sanitaire | | |
|Activité animale | | |
|Événement interne | | |


Les métriques utilisées


1 Les critères de sécurité retenus : disponibilité, intégrité et
confidentialité

Afin d'exprimer les besoins de sécurité, les critères de sécurité retenus
sont les suivants :

|Critères de |Définitions |
|sécurité | |
|Disponibilité |Propriété d'accessibilité au moment voulu des biens |
| |essentiels. |
|Intégrité |Propriété d'exactitude et de complétude des biens |
| |essentiels. |
|Confidentialité|Propriété des biens essentiels de n'être accessibles |
| |qu'aux utilisateurs autorisés. |


2 Échelle de disponibilité

L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en
termes de disponibilité :

|Niveaux de |Description détaillée de l'échelle |
|l'échelle | |
|Journée |Le bien essentiel doit être disponible dans la journée |
|demi-journée |Le bien essentiel doit être disponible dans la |
| |demi-journée. |
|30 minutes |Le bien essentiel doit être disponible dans la |
| |demi-heure. |


3 Échelle d'intégrité

L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en
termes d'intégrité :

|Niveaux de |Description détaillée de l'échelle |
|l'échelle | |
|Négligeable |Le bien essentiel peut ne pas être intègre. |
|Acceptable |Le bien essentiel peut ne pas être intègre, mais son |
| |altération doit être détectée ou suffisamment faible |
| |pour ne pas gêner les opérationnels. |
|Intègre |Le bien essentiel doit être parfaitement intègre. |


4 Échelle de confidentialité

L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en
termes de confidentialité