EBIOS : la méthode et le club des utilisateurs

Cet article présente le rôle du club EBIOS dans l’évolution de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) qui permet de faire des analyses de sécurité de systèmes d’information. La documentation complète (plaquettes et divers manuels) sur la méthode est disponible sur le site gouvernemental de la DCSSI  (http://www.ssi.gouv.fr),.

Présentation rapide de la  méthode EBIOS

EBIOS est une méthode pour conduire des analyses de sécurité. Elle a été créée en 1995 et maintenue par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI) du gouvernement français. Toutes les informations sur la méthode sont disponibles en français, anglais, allemand et espagnol sur le site de la DCSSI.

La méthode EBIOS s’utilise pour analyser la sécurité de systèmes d’information à concevoir ou en opération.

• Dans le premier cas, elle permet de déterminer les besoins de sécurité à demander dans le cadre d’une analyse de faisabilité ou des spécifications de sécurité à inclure dans un cahier des charges de réalisation du système.
• Dans le second cas, elle permet d’estimer les risques et d’élaborer un plan de sécurité.

La méthode EBIOS peut aussi être utilisée pour l'élaboration de schémas directeurs, de politiques de sécurité, de tableaux de bord sécurité ou différents types de spécifications de sécurité comme des Fiches d'Expressions Rationnelles des Objectifs de Sécurité (FEROS) conformément à la réglementation française, des profils de protections ou des cibles de sécurité (au sens de l'ISO 15408), des plans d'action ou toute autre forme de cahier des charges de sécurité.

Les principes de la méthode EBIOS

L’application complète de la méthode se fait en cinq étapes successives décrites dans le schéma suivant.

	Etude du contexte
Expression des besoins de sécurité		Etude des menaces
	Identification des objectifs de sécurité
	Détermination des exigences de sécurité

En fonction de la complexité du système considéré ou de l’avancement du projet (avant projet, appel d’offre, analyse…), toutes les étapes peuvent être déroulées ou non.

Par exemple, dans le cadre d’une étude de sécurité menée par une maîtrise d’ouvrage avec l’aide d’experts sécurité, la méthode peut se dérouler de la façon suivante :

• Etape 1 : Etude du contexte

Réflexion préalable de la maîtrise d’ouvrage pour décrire tous les éléments pouvant affecter le choix des objectifs de sécurité du système : son environnement, son but, son fonctionnement, ses contraintes financières, contractuelles, légales et les hypothèses prises.

• Etape 2 : Expression des besoins de sécurité

Avec le support de la maîtrise d’ouvrage, il est procédé à une appréciation globale des risques pouvant affecter le système et à la définition d’une échelle des mesure de l’impact de ces risques. Ces mesures sont utilisées pour estimer les besoins de sécurité des éléments essentiels du système en terme de disponibilité, d'intégrité, de confidentialité, d’auditabilité…

• Etape 3 : Etude des menaces

C’est la description conjointe par les professionnels de la sécurité et les responsables des opérations des menaces pesant sur le système à partir d’un catalogue de méthodes d'attaque, d’éléments malveillants, de vulnérabilités exploitables et d’opportunité de mise en œuvre.

• Etape 4 : Identification des objectifs de sécurité

Les risques pesant sur le système sont formalisés en confrontant les menaces aux besoins de sécurité. La maîtrise d’ouvrage peut alors exprimer les objectifs de sécurité qu’elle veut se donner pour les couvrir, en cohérence avec les hypothèses, règles de sécurité, références réglementaires, mode d'exploitation et contraintes identifiées tout au long de l’étude. Cet ensemble constitue le cahier des charges de sécurité du système.

• Etape 5 : Détermination des exigences de sécurité

Les exigences de sécurité résultent du raffinement des objectifs de sécurité et peuvent être implémentées au moyen d’une organisation, de locaux, de matériels ou de logiciels. Les exigences fonctionnelles de sécurité permettent de réaliser les objectifs de sécurité et les exigences d'assurance sécurité permettent d'augmenter la confiance envers leur réalisation. Les exigences de sécurité sont le plus souvent exprimées par les maîtrises d’œuvre, durant ou après appel d’offre.

Le logiciel EBIOS

Un logiciel gratuit est disponible sur simple demande auprès de la DCSSI conseil.dcssi_[at]_sgdn.pm.gouv.fr ou http://www.ssi.gouv.fr/fr/confiance/ebiosv2-logiciel-demande.html. Ce logiciel  permet de réaliser des analyses de risques EBIOS et de réutiliser les très nombreuses bases de connaissances qui accompagnent la méthode EBIOS.  Le logiciel est édité sous une licence libre. L’utilisation de l’outil permet de  comprendre la méthode.

De par la documentation fournie, la méthode peut s’appliquer aussi sans l’aide de l’outil.

Le club EBIOS

Afin de partager les expériences et d'améliorer la méthode et son outillage, la DCSSI a créé un club EBIOS en 2003. Ce club informel  a permis de réunir régulièrement une communauté d'utilisateurs soucieux de contribuer au développement de la méthode et de disposer des dernières informations à son sujet. Le club peut être contacté à ebios.dcssi_[at]_sgdn.pm.gouv.fr.

Du fait de son succès, le club EBIOS est en cours structuration sous forme d’association, avec charte de déontologie et règlement intérieur. Une première assemblée générale est prévue pour fin 2007.

Les activités du club EBIOS

Les participants aux réunions du club EBIOS représentent la grande diversité des utilisateurs :

• maîtrise d’ouvrage industrielle, d’administration française…
• sociétés de conseil d'assistance aux maîtrises d'ouvrage…

Plus de 70 experts sécurité sont inscrits au club EBIOS.

Sous l’impulsion de la DCSSI et des divers membres du club EBIOS, la méthode EBIOS a évolué vers la compatibilité avec les normes internationales telles que l'ISO 13335 (GMITS), l'ISO 15408 (critères communs) et l'ISO 27002.

Puis en fonction des expériences des participants, le club EBIOS a élaboré une série de fiches indiquant les meilleures pratiques pour utiliser EBIOS pour

• l’élaboration d'un schéma directeur de sécurité des systèmes d'information (SDSSI)
• l’élaboration d'une politique de sécurité des systèmes d'information (PSSI) 
• la rédaction d'une fiche d'expression rationnelle des objectifs de sécurité (FEROS)
• la rédaction d'un SSRS OTAN (System-specific Security Requirement Statement)
• la rédaction d'un profil de protection (PP) 
• la rédaction d'une cible de sécurité pour un produit 
• la rédaction d'une cible de sécurité pour un système d'information 
• l’élaboration d'une politique de certification (PC) 
• la mise en place d'un système de gestion de la sécurité des systèmes (ISO 27001).

Ces fiches sont à la disposition du public sur le site de la DCSSI.

D’autres fiches sont en cours d’élaboration :

• la gestion de la continuité des activités
• l’élaboration d’un schéma directeur SSI (SDSSI)
• l’utilisation du concept de défense en profondeur
• l'appréciation des risques liés à la continuité des activités (BIA – Business Impact Analysis).

Enfin d’autres travaux sont en cours autour de la méthode elle-même :

• la labellisation EBIOS de personnes et de sociétés
• un modèle de coût d’EBIOS

Dynamique du club EBIOS

A partir d’expériences passées, des experts sécurité de l’administration française ont élaboré la méthode EBIOS. Ce travail initial n’a été possible que par l’engagement initial très fort de l’administration à travers la DCSSI. 

Puis les premiers utilisateurs de la méthode se sont emparés de la méthode.

Dans un premier temps, ces utilisateurs ont partagé leur expérience dans le club EBIOS. Leurs échanges ont permis de confronter la méthode à la réalité des pratiques, en particulier aux contraintes économiques ou contractuelles, afin d’adapter la méthode à la complexité des relations industrielles. 

D’autre part, chaque réunion du groupe s’accompagne de présentation très enrichissante d’un ou deux retours d'expériences. L’animateur principal du groupe a aussi fortement contribué à cette dynamique.

A son tour, la dynamique du club EBIOS a permis à la DCSSI de promouvoir la méthode EBIOS dans les comités internationaux de normalisation 2700x, en particulier au niveau de la future norme ISO 27005 sur la Gestion des Risques. Celle-ci présente de nombreuses similitudes avec la méthode EBIOS, ce qui représente un avantage pour les utilisateurs actuels de la méthode.

In fine, la méthode EBIOS devrait encore évoluer vers une conformité totale avec la 27005 (Gestion des Risques) et devenir une des méthodes applicables dans un système de gestion de la sécurité informatique compatible ISO 27001.