Sécurité Système/Résau/Methode Ebios
silversurfer34
-
gastonssi -
gastonssi -
Bonjour tous,
Je dois effectuer un audit de sécurité d'une société selon la methode EBIOS (http://www.ssi.gouv.fr/fr/confiance/ebios.html). A part tester le réseau,firewall, droit d'accès....que pouvez vous me conseiller comme operations à effectuer ?
Aussi,je suis à la recherche de logiciel performant pour analyser le réseau (paquet,flux....),si vous pouvez me conseiller ?
Merci d'avance à tous !
Je dois effectuer un audit de sécurité d'une société selon la methode EBIOS (http://www.ssi.gouv.fr/fr/confiance/ebios.html). A part tester le réseau,firewall, droit d'accès....que pouvez vous me conseiller comme operations à effectuer ?
Aussi,je suis à la recherche de logiciel performant pour analyser le réseau (paquet,flux....),si vous pouvez me conseiller ?
Merci d'avance à tous !
A voir également:
- Sécurité Système/Résau/Methode Ebios
- Question de sécurité - Guide
- Restauration systeme windows 10 - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Vous avez besoin d'une autorisation de la part de système pour modifier ce dossier - Guide
2 réponses
Bonsoir,
La méthode ebios est une methode d'analyse des risques qui permet de déterminer les failles du système sous son aspect global.
Il ne faut pas prendre en compte que l'aspect technique comme tu semble vouloir le faire. Il faut aussi prendre en compte les menaces dues aux faiblesses humaines (défaut de moralité, inexpérience, vengeance, etc..), les déficiences de sécurité (infrastructure [imaginons que le coeur de ton système soit dans les sous sols, mais que tu sois sur le bord d'une rivière, en cas d'inondation, c'est fini], fermeture des locaux, vol du matériel, laisser passer, habilitation à entrer dans une pièce, droit d'en connaitre, surveillance de locaux sensible [relevant du secret industriel], etc...).
Tu vois la SSI est un domaine global qui ne se limite pas à mettre en place un firewall, mais, en revanche, de déterminer les faiblesses du système, les assaillants et leur niveau de "dangerosité", les solutions à appliquer en fonction de l'importance des risques encourus, en cherchant l'équilibre, bien sur, entre la sécurité et la bourse du patron.
je pourrais encore disserter, mais je crois que cette méthode est suffisament complexe, mais o combien complete pour déboucher sur un résultat d'analyse complet.
Je te conseille donc de lire la méthode et de l'appliquer.
Il existe un programme en html ou xml, je me souviens plus, qui permet de conduire l'analyse jusqu'en bout, et qui génère automatiquement la documentation en fonction de l'analyse que tu auras mené.
Bonne conduite de projet à toi.
La méthode ebios est une methode d'analyse des risques qui permet de déterminer les failles du système sous son aspect global.
Il ne faut pas prendre en compte que l'aspect technique comme tu semble vouloir le faire. Il faut aussi prendre en compte les menaces dues aux faiblesses humaines (défaut de moralité, inexpérience, vengeance, etc..), les déficiences de sécurité (infrastructure [imaginons que le coeur de ton système soit dans les sous sols, mais que tu sois sur le bord d'une rivière, en cas d'inondation, c'est fini], fermeture des locaux, vol du matériel, laisser passer, habilitation à entrer dans une pièce, droit d'en connaitre, surveillance de locaux sensible [relevant du secret industriel], etc...).
Tu vois la SSI est un domaine global qui ne se limite pas à mettre en place un firewall, mais, en revanche, de déterminer les faiblesses du système, les assaillants et leur niveau de "dangerosité", les solutions à appliquer en fonction de l'importance des risques encourus, en cherchant l'équilibre, bien sur, entre la sécurité et la bourse du patron.
je pourrais encore disserter, mais je crois que cette méthode est suffisament complexe, mais o combien complete pour déboucher sur un résultat d'analyse complet.
Je te conseille donc de lire la méthode et de l'appliquer.
Il existe un programme en html ou xml, je me souviens plus, qui permet de conduire l'analyse jusqu'en bout, et qui génère automatiquement la documentation en fonction de l'analyse que tu auras mené.
Bonne conduite de projet à toi.
Bonjour,
Ayant refait une etude ebios recement, j'ai pu beneficier des aides mis en ligne sur le site de la SSI
http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html
et vous trouverez en même temps le logiciel EBIOS.
Avant de commencer l'etude, il faut commencer par repondre aux questionnaires. Et bien sur poser ces questions aux personnes concernées par le systeme-cible.
Le questionnaire existe deja dans la base de donnée (on peut rajouter des questions si on le souhaite).
Ayant refait une etude ebios recement, j'ai pu beneficier des aides mis en ligne sur le site de la SSI
http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html
et vous trouverez en même temps le logiciel EBIOS.
Avant de commencer l'etude, il faut commencer par repondre aux questionnaires. Et bien sur poser ces questions aux personnes concernées par le systeme-cible.
Le questionnaire existe deja dans la base de donnée (on peut rajouter des questions si on le souhaite).
Merci encore !
Nous devons conduire une étude EBIOS très bientôt. Puis-je bénéficier de votre expérience passée.
En fait, il faut introduire les questionnaires. La base de connaissance disponible avec le logiciel n'est pas alimentée. Merci de m'aider
En terme d'étude sécuritaire, et notamment sur l'utilisation d'Ebios, il est impératif de bine déterminer le périmètre de l'étude ainsi que son contexte. C'est l'étape primordiale. Si tu la loupe, c'est l'ensemble de l'étude qui est par terre.
Pour ma part, je conseille souvent de procéder à plusieurs études et de les regrouper ensuite. Par exemple, tu effectue une première étude d'un point de vue plus sécurité physique (géographie, risques sismiques et autres, accès, ...). Tu peux ensuite effectuer une autre étude sur le système accès plus sur l'informatique (réseau, logiciel, ...) dans laquelle tu pourra "omettre" la partie physique (en fait, tu mentionne juste qu'elle est traitée par ailleurs).
L'avantage est sur deux points (à mon avis) :
1- l'étude est simplifiée car elle porte sur moins de points.
2- en cas d'évolution, il suffit soit de modifier une étude pour que la modif soit prise en compte (évolution des bâtiments par ex), soit de faire une étude spécifique sur l'évolution (intégration d'un nouvel applicatif métier par ex).
Bonne chance pour la suite.