Analyses de risques (EBIOS) Analyses de risques (EBIOS)

Objectifs

L’objectif d’une analyse de risque est d’identifier fonctionnellement les menaces qui pèsent sur des biens identifiés comme importants. Ensuite, l’impact et la vraisemblance de ces menaces, ainsi que l’efficacité des mesures de protection sont évalués afin de présenter un calcul de risque compréhensible par tous, pouvant être communiqué ou donner lieu à des mesures de sécurité supplémentaires.

De nombreuses méthodes de calcul de ce risque existent. La norme EBIOS présente l’avantage d’être un standard de l’administration française tout en présentant des équivalences avec la norme ISO 27005. Son appréciation qualitative du risque lui permet d’être rapidement transposable sur la plupart des projets.

Méthodologies

Chaque projet fera l’objet d’une démarche d’analyse de risque propre. Ainsi, le déroulé suivant s’applique distinctement à chaque projet.

La démarche est calquée sur la norme EBIOS, telle que proposée par l’ANSSI. Le respect strict de la démarche garantit la crédibilité et la reproductibilité des conclusions. Nous rappelons que la démarche d’analyse de risque est un processus itératif à renouveler régulièrement afin d’en améliorer la précision, l’exhaustivité et sa validité par rapport à un environnement de menace en constante évolution.

Les conclusions issues de l’analyse de risque ne sont pas définitives mais visent à donner le point de vue de la sécurité de l’application et à établir un plan d’action.

Voici les différentes étapes de notre analyse :

1. Pré-requis
La documentation projet et la disponibilité des interlocuteurs identifiés sont nécessaires pour préparer le démarrage du processus d’analyse.

2. Préparation et établissement du contexte
Cette étape permet à l’analyste d’appréhender et comprendre le contexte. Les grands objectifs sont fixés, avec la méthode d’analyse ainsi que les différents interlocuteurs.

3. Recueil d’informations
L’objectif est d’inventorier de la manière la plus exhaustive possible les actifs, les menaces, les vulnérabilités et les impacts.

4. Évaluation du risque
Sur la base des éléments collectés précédemment, le calcul du risque peut être réalisé et confronté au seuil d’acceptation de l’organisation.

Livrables

Le rapport présentera les mesures et plan d’action à mettre en œuvre :

Calcul du risque initial
Inventaire et évaluation des mesures de sécurité
Calcul du risque résiduel
Choix de traitement (acceptation) et conclusion
Approbation des risques et des mesures de sécurité préconisées

Cookies strictement nécessaires

Ces cookies permettent de détecter votre langue, de conserver vos choix en matière de cookies, de mémoriser si vous avez fermé une fenêtre « pop-up » et de mesurer l’audience du site. Ces cookies permettent la fourniture du site et sont donc strictement nécessaires au fonctionnement de ce dernier et ne peuvent pas être désactivés.

PHPSESSID, pll_language, tarteaucitron, matchadform, _pk_id.26.b623, MATOMO_SESSID

Toujours actifs

Cookies vidéos Youtube

Ces cookies sont déposés par des entités tierces et permettent le bon fonctionnement des vidéos YouTube insérées sur le présent site. Attention : le refus de ces cookies peut avoir une incidence sur le fonctionnement des vidéos. Vous pouvez refuser ou accepter l’utilisation des cookies de cette catégorie

Google Youtube

Cookies statistiques et marketing

Ces cookies permettent de comprendre comment les visiteurs interagissent avec le site afin d’améliorer le service et le confort de navigation. Vous pouvez refuser ou accepter l’utilisation des cookies de cette catégorie :

Cookies statistiques et marketing