Pour qui ?
Ce module s’adresse :
- aux concepteurs d’applications (Direction Générale, Direction R&D, Chefs de Produits, Chefs de Projets, Direction Juridique, Directions métier) ;
- aux DSI et RSSI en charge de leur exploitation et de leur sécurisation ;
- aux entités en charge de vérifier la conformité au RGS.
Pourquoi ?
Parce qu’un système non sécurisé est un risque réel tant pour son fournisseur que pour ses utilisateurs… Mais aussi parce qu’un système sur-sécurisé est coûteux et inefficace, une analyse fine des risques et des solutions est un outil indispensable à la mise en œuvre de la dématérialisation.
Que ce soit en amont de la réalisation d’un système ou pour un système déjà existant, la méthode EBIOS (Étude des Besoins et Identification des Objectifs de Sécurité) définie par l’ANSSI permet l’analyse des risques et la détermination des mesures de sécurisation à mettre en œuvre pour garantir au système le niveau de sécurité adéquat.
Parce que le respect du RGS est une obligation pour toutes les collectivités publiques.
La démarche
Étude du contexte :
Identifier les entités et les éléments essentiels.
Expression des besoins de sécurité :
- Définir les besoins de sécurité de chaque élément essentiel selon les différents critères (intégrité, disponibilité, confidentialité…).
- Estimer l’impact d’un non-respect de ces besoins.
Étude des menaces :
- Identifier les sources possibles des menaces et leurs différents types (naturel, humain, environnemental).
- Identifier les causes des menaces (accidentelles, délibérées) et les méthodes d’attaque possibles.
- Identifier les vulnérabilités face à chaque méthode d’attaque.
Expression des objectifs de sécurité :
- Déterminer le risque lié à chaque menace.
- Déterminer les objectifs de sécurité visant à couvrir les vulnérabilités.
Déterminer les exigences de sécurité :
Déterminer les mesures concrètes visant à répondre aux objectifs de sécurité (mesures fonctionnelles, mesures d’assurance).
Une démarche collective :
Le travail doit être réalisé en petits groupes afin de favoriser l’expression de chacun des acteurs du projet.
Une démarche quantifiée :
À chaque étape, la criticité est estimée et quantifiée afin de vérifier que le périmètre essentiel est couvert. Il est admissible que des risques faibles demeurent – à condition qu’ils aient été identifiés et volontairement pris !
Les livrables
Les livrables sont les suivants :
- le rapport de l’étude, comportant les matrices d’analyse et les exigences concrètes de sécurité ;
- une ou plusieurs fiches FEROS (Fiche d’Expression Rationnelle des Objectifs de Sécurité) permettant la mise en œuvre efficace des mesures décidées, et leur contrôle aisé a posteriori.
Les gains
Les gains principaux à attendre d’une telle mission sont :
- une vision objective sur les risques ;
- une démarche pragmatique de sécurisation qui va à l’essentiel sans fermer les yeux sur les risques résiduels ;
- une expression des objectifs de sécurité concrète et exploitable ;
- une démarche standard et reconnue ;
- pour les collectivités publiques, la prise en compte du RGS dans le cadre de l’étude.
La durée
De 20 à 100 hommes.jours selon le projet.
Un exemple de mission
Ineris : téléservice reseaux-et-canalisations.gouv.fr