Méthode EBIOS 2010 – Mines-Télécom Paris
Objectif et présentation
Référence : FCQ65.
Maîtriser la méthode EBIOS afin d’avoir un outil de négociation et d’arbitrage dans le processus SSI compatible avec les normes de la série ISO/IEC 27000. Unifier le vocabulaire, les concepts et l’interprétation du système. Sensibiliser, responsabiliser et impliquer tous les acteurs.
La méthode EBIOS évalue et traite les risques relatifs à la sécurité des SI.
Compatible avec les outils de la sécurité des SI existants, les administrations et le secteur privé l’utilisent. La méthode identifie les objectifs et exigences de sécurité faisant suite à l’appréciation des risques, hiérarchise les risques et décline les objectifs et les exigences de sécurité. Elle permet également de réaliser un schéma directeur SSI, une politique de sécurité et un plan d’action SSI. Elle définit une fiche d’expression rationnelle des objectifs de sécurité, des documents de spécification adaptés à la maîtrise d’œuvre, et un profil de protection ou cible de sécurité.
Programme
Comprendre les concepts de la gestion des risques et les grands principes de mise en oeuvre de la méthode EBIOS :
- Savoir distinguer les principaux référentiels normatifs et méthodologiques
- Savoir distinguer les éléments constitutifs d’un risque SSI
- Savoir estimer un risque SSI
- Prendre conscience qu’EBIOS est une boîte à outils et qu’il faut l’employer comme telle :
- On devra l’employer de manière différente selon les finalités de l’étude
- On l’utilisera avec souplesse selon les parties prenantes et pratiques existantes
- Des rebouclages sont à prévoir pour enrichir progressivement l’étude
- Facteur de succès : l’implication des parties prenantes
Comprendre comment réunir les éléments nécessaires pour adapter la gestion des risques au contexte particulier du sujet de l’étude :
- Connaître les différents outils du module
- Apprendre à se poser les bonnes questions
- Savoir identifier les éléments nécessaires à la réalisation de l’étude et faire émerger un consensus sur ces éléments
Comprendre comment identifier et estimer une partie des éléments constitutifs des risques : les événements redoutés :
- Connaître les différents outils du module
- Apprendre à se poser les bonnes questions
- Savoir identifier, estimer et évaluer les événements redoutés, et faire émerger un consensus au sein d’un groupe
Savoir identifier puis estimer les scénarios de menaces :
- Connaître les différents outils du module
- Apprendre à se poser les bonnes questions
- Savoir identifier, estimer, puis évaluer les scénarios de menaces et faire émerger un consensus dans le groupe sur ces scénarios de menace
- Comprendre comment affiner l’étude des scénarios de menaces
Comprendre comment apprécier les risques et choisir la manière de les traiter :
- Connaître les différents outils du module
- Apprendre à se poser les bonnes questions
- Savoir construire et présenter les risques
- Savoir choisir la manière dont chaque risque doit être traité et identifier les risques résiduels
Savoir déterminer les traitements appropriés des risques, les planifier et suivre leur mise en œuvre :
- Connaître les différents outils du module
- Apprendre à se poser les bonnes questions
- Savoir déterminer des mesures de sécurité applicables à l’organisme, nécessaires et suffisantes. Savoir présenter et justifier les propositions de traitement
- Savoir élaborer un plan d’action
Synthèse et conclusion.
Localisation
Institut Mines-Télécom
Télécom ParisTech
46 Rue Barrault
75013 Paris
01 45 81 80 80
Volume horaire
Public pré-requis
Personne impliquée dans la sécurité des systèmes d'information (SSI) et amenée à mettre en œuvre la méthode EBIOS. De manière plus générale, toute personne qui, dans son activité ou ses missions, est amenée à évaluer les risques sur un composant ou sur l'ensemble d'un SI, puis à définir des exigences pour traiter ces risques.
Une connaissance préalable de la sécurité des réseaux et des SI.
