Analyse de risque EBIOS - ISO 27005

Objectifs

Analyse de risque EBIOS - ISO 27005

L'objectif d'une analyse de risque est d'identifier fonctionnellement les menaces qui pèsent sur des biens identifiés comme importants. Ensuite, l'impact et la vraisemblance de ces menaces, ainsi que l'efficacité des mesures de protection sont évalués afin de présenter un calcul de risque compréhensible par tous, pouvant être communiqué ou donner lieu à des mesures de sécurité supplémentaires.

De nombreuses méthodes de calcul de ce risque existent. La norme EBIOS présente l'avantage d'être un standard de l'administration française tout en présentant des équivalences avec la norme ISO 27005. Son appréciation qualitative du risque lui permet d'être rapidement transposable sur la plupart des projets.

Demande d'informations

Méthodologies

Chaque projet fera l'objet d'une démarche d'analyse de risque propre. Ainsi, le déroulé suivant s'applique distinctement à chaque projet.

La démarche est calquée sur la norme EBIOS, telle que proposée par l'ANSSI. Le respect strict de la démarche garantit la crédibilité et la reproductibilité des conclusions. Nous rappelons que la démarche d'analyse de risque est un processus itératif à renouveler régulièrement afin d'en améliorer la précision, l'exhaustivité et sa validité par rapport à un environnement de menace en constante évolution.

Les conclusions issues de l'analyse de risque ne sont pas définitives mais visent à donner le point de vue de la sécurité de l'application et à établir un plan d'action.

Voici les différentes étapes de notre analyse :

1. Pré-requis
La documentation projet et la disponibilité des interlocuteurs identifiés sont nécessaires pour préparer le démarrage du processus d'analyse.

2. Préparation et établissement du contexte
Cette étape permet à l'analyste d'appréhender et comprendre le contexte. Les grands objectifs sont fixés, avec la méthode d'analyse ainsi que les différents interlocuteurs.

3. Recueil d'informations
L’objectif est d'inventorier de la manière la plus exhaustive possible les actifs, les menaces, les vulnérabilités et les impacts.

4. Évaluation du risque
Sur la base des éléments collectés précédemment, le calcul du risque peut être réalisé et confronté au seuil d'acceptation de l'organisation.


Livrables

Le rapport présentera les mesures et plan d'action à mettre en œuvre :

  • Calcul du risque initial
  • Inventaire et évaluation des mesures de sécurité
  • Calcul du risque résiduel
  • Choix de traitement (acceptation) et conclusion
  • Approbation des risques et des mesures de sécurité préconisées