Fabien
25 nov. 2004 à 22:22
Bonsoir,
La méthode ebios est une methode d'analyse des risques qui permet de déterminer les failles du système sous son aspect global.
Il ne faut pas prendre en compte que l'aspect technique comme tu semble vouloir le faire. Il faut aussi prendre en compte les menaces dues aux faiblesses humaines (défaut de moralité, inexpérience, vengeance, etc..), les déficiences de sécurité (infrastructure [imaginons que le coeur de ton système soit dans les sous sols, mais que tu sois sur le bord d'une rivière, en cas d'inondation, c'est fini], fermeture des locaux, vol du matériel, laisser passer, habilitation à entrer dans une pièce, droit d'en connaitre, surveillance de locaux sensible [relevant du secret industriel], etc...).
Tu vois la SSI est un domaine global qui ne se limite pas à mettre en place un firewall, mais, en revanche, de déterminer les faiblesses du système, les assaillants et leur niveau de "dangerosité", les solutions à appliquer en fonction de l'importance des risques encourus, en cherchant l'équilibre, bien sur, entre la sécurité et la bourse du patron.
je pourrais encore disserter, mais je crois que cette méthode est suffisament complexe, mais o combien complete pour déboucher sur un résultat d'analyse complet.
Je te conseille donc de lire la méthode et de l'appliquer.
Il existe un programme en html ou xml, je me souviens plus, qui permet de conduire l'analyse jusqu'en bout, et qui génère automatiquement la documentation en fonction de l'analyse que tu auras mené.
Bonne conduite de projet à toi.
Merci encore !
Nous devons conduire une étude EBIOS très bientôt. Puis-je bénéficier de votre expérience passée.
En fait, il faut introduire les questionnaires. La base de connaissance disponible avec le logiciel n'est pas alimentée. Merci de m'aider
En terme d'étude sécuritaire, et notamment sur l'utilisation d'Ebios, il est impératif de bine déterminer le périmètre de l'étude ainsi que son contexte. C'est l'étape primordiale. Si tu la loupe, c'est l'ensemble de l'étude qui est par terre.
Pour ma part, je conseille souvent de procéder à plusieurs études et de les regrouper ensuite. Par exemple, tu effectue une première étude d'un point de vue plus sécurité physique (géographie, risques sismiques et autres, accès, ...). Tu peux ensuite effectuer une autre étude sur le système accès plus sur l'informatique (réseau, logiciel, ...) dans laquelle tu pourra "omettre" la partie physique (en fait, tu mentionne juste qu'elle est traitée par ailleurs).
L'avantage est sur deux points (à mon avis) :
1- l'étude est simplifiée car elle porte sur moins de points.
2- en cas d'évolution, il suffit soit de modifier une étude pour que la modif soit prise en compte (évolution des bâtiments par ex), soit de faire une étude spécifique sur l'évolution (intégration d'un nouvel applicatif métier par ex).
Bonne chance pour la suite.