Présentation d'Ebios
Ebios fait partie d'une série de guides méthodologiques publiée par la DCSSI. Cette méthode, qui est notamment préconisée dans l'administration française peut être obtenue par simple demande à la DCSSI.
EBIOS se positionne plutôt au niveau du système d'information (existant ou à développer) qu'au niveau de l'entreprise. Les concepts et les idées exposés sont clairement exprimés même si le vocabulaire utilisé est assez différent des autres méthodes de sécurité.
Les guides EBIOS comprennent la description de la démarche, les techniques, la base de connaissances (menaces génériques, vulnérabilités spécifiques, classes de fonctionnalités et répertoires des fiches spécimen).
EBIOS se focalise vraiment sur la notion de besoins de sécurité (lié au périmètre étudié) mais ne procède à aucune analyse du niveau de sécurité de l'entreprise (audit ou questionnaire). Il n'y a donc pas de préconisation de mesures de sécurité adaptée au contexte de l'entreprise.
|
 |
|
|
Un logiciel en support d'EBIOS
Un logiciel d'assistance est disponible auprès de la DCSSI. Ce logiciel donne accès aux bases de connaissances standard (et la possibilité de les enrichir).
Les bases de connaissances d'EBIOS présentent et décrivent des types d'entités, des contraintes, des vulnérabilités, des méthodes d'attaques, des vulnérabilités, des objectifs de sécurité et des exigences de sécurité. Elles sont directement applicables, mais elles peuvent également être complétées en tenant compte des contraintes (légales, réglementaires) du secteur d'activité.
Il faut savoir que le source du programme, le programme exécutable et la documentation utilisateur seront ensuite mis à disposition (modèle de licence GPL) de tous ceux qui le souhaitent, au même titre que les documents méthodologiques publiés par le SCSSI. Il sont donc libre d'emploi et les utilisateurs sont incités à l'améliorer. |
Domaines sécurité
