• Connaitre les vulnérabilités d’un système d’information est nécessaire mais pas suffisant. Pour se protéger efficacement il faut disposer d’une vision complète de la situation à risque : vulnérabilités, mesures, menaces, impacts. Cette vision complète est donnée par les méthodes d’analyse de risques et d’évaluation de la sécurité. Le socle méthodologique mondial dans ce domaine gravite autour des normes ISO2700x : ISO27001, ISO27002 et ISO27005.

    EGERIE met en œuvre différentes méthodes d’analyse de risque normalisées, qui sont les suivantes.

  • La méthode EBIOS Risk Manager (2018)


    La méthode EBIOS adopte une approche de management du risque partant du plus haut niveau (grades missions de l'objet étudié) pour descendre progressivement aux éléments métiers et techniques, en étudiant les chemins d'attaque possibles. Elle vise à obtenir une synthèse entre "conformité" et "scénarios" en repositionnant ces deux approches complémentaires là où elles apportent le plus de valeur ajoutée. La nouvelle méthode EBIOS adopte une démarche itérative plus pragmatique et rythmée autour de cinq ateliers. EGERIE développe actuellement un module spécifiquement destiné à la mise en oeuvre de la nouvelle méthode EBIOS (EBIOS Risk Manager). Ce module permettra d’adresser les 5 ateliers d’EBIOS Risk Manager. En savoir plus
  • La méthode EBIOS


    Le logiciel EGERIE Risk Manager est compatible avec toutes les versions de la méthode EBIOS (V2, 2010 et la future version en cours de développement) La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI). Elle permet aussi de communiquer à leur sujet au sein de l’organisme et vis-à-vis de ses partenaires afin de contribuer au processus de gestion des risques SSI. Créée en 1995 par l’ANSSI et régulièrement mise à jour, la méthode EBIOS bénéficie de 15 ans d’expérience dans le domaine de la gestion du risque.Revoir le webinaire EBIOS

  • La norme ISO27001


    EGERIE supporte aussi le déploiement d’une démarche ISO 27001 à travers sa solution Risk Manager.

    La norme ISO27001 décrit le développement d’un SMSI (Système de Management de la Sécurité de l’Information) comme un processus, à la manière de la norme ISO 9001 qui décrit le processus qualité. ISO27001, comme ISO9001 se fondent sur le modèle classique « Plan- Do- Check- Act » (PDCA). Ce modèle rappelle que la sécurité est un processus itératif incluant successivement la préparation et la planification du SMSI. De plus, ISO27001 reflète les principes des ligne directrices de l'OCDE régissant la sécurité des systèmes et réseaux d'information. La certification ISO27001 vérifie que le SMSI rencontre bien les besoins de sécurité de l'entreprise. Cette certification est réalisée par un auditeur accrédité. L'auditeur vérifie, sur base du SMSI, que la sélection de contre-mesures est appropriée et qu'elle a été documentée à la suite d'une analyse de risques formelle ; il vérifie aussi que les contre-mesures ont été mises en œuvre correctement et complètement. C'est à l'auditeur de juger de la validité de l'application de la norme et du bien-fondé des contre-mesures. Revoir le webinaire ISO27001

    Les normes ISO27005 & ISO27002


    La norme ISO27005 décrit les grandes lignes d'une gestion des risques dans une perspective de mise en place d'un système de management de la sécurité de l’information. Construite en cohérence avec le couple de standards ISO27001 et ISO27002 et reprenant le vocabulaire définit dans ISO27000, la norme ISO27005 est la norme de référence pour conduire une analyse de risque cyber et mettre en place un processus de gestion des risques sur la base d’un système de management fondé sur la logique d'amélioration continue PDCA (Plan, Do, Check, Act) :

    • - Plan : Identification des risques, évaluation des risques et définition des actions de réduction des Risques.
    • - Do : Exécution de ces actions
    • - Check : Contrôle du résultat
    • - Act : Révision de la politique de traitement des risques selon ces résultats.

    En complément à la norme ISO27005, la norme ISO27002 fournit une série de « bonnes pratiques » en matière de sécurité. Les bonnes pratiques (« Business Best Practices ») permettent à l'entreprise de réagir efficacement et rapidement à toute circonstance sans devoir réinventer les principes de sécurité et les solutions techniques ex nihilo !


  • La méthode MEHARI


    MEHARI, proposée par le CLUSIF, est une méthode d'analyse de risques qui prend en compte les aspects tant organisationnels que techniques de la sécurité informatique. MEHARI permet de réaliser un audit de sécurité qui débouche sur une évaluation des niveaux de risque dans une série de domaines : organisation générale, sécurité physique, sécurité logique, sécurité applicative, etc. Cette évaluation permet ensuite de sélectionner les mesures de sécurité qui comblent les failles de manière optimale, c'est-à-dire, qui égalisent les niveaux de risque dans les divers domaines à un niveau homogène et acceptable.
  • La méthode CRAMM


    CRAMM est une méthode de gestion du risque imposée par le gouvernement britannique. Elle est lourde et, exhaustive (plus de 3000 points de contrôle) et donc encore une fois, adaptée à de grosses entreprises uniquement (il y a 550 clients dans le monde). Pour donner suite à la création de la version 2002 de BS7799-2, la société Siemens (anciennement Insight Consulting) a créé une nouvelle version (CRAMM Version 5) qui vise également à la certification BS7799.
  • La conformité LPM pour les OIV


    EGERIE permet aux industriels et aux autorités de défense d’établir les documents nécessaires et indispensables aux processus d’homologation de sécurité.
    • - Pour les membres de l’OTAN, EGERIE Risk Manager produit directement les « énoncés des impératifs de sécurité de système » (SSRS).
    • - Pour la règlementation France, EGERIE Risk Manager produit les fiches FEROS (fiche d’expression rationnelle des objectifs de sécurité) et la conformité LPM pour les OIV.
    Revoir le webinaire OIV
  • La Directive NIS


    La directive Network and Information System Security (NIS) a pour objectif d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne. Elle a été adoptée le 6 juillet 2016. La (NIS) vise à la mise en place d’une coopération efficace européenne et la protection des activités économiques et sociétales critiques, pour faire face collectivement aux risques de cyberattaques.