Den EBIOS metode er en IT risikovurdering metode, som er udviklet i 1995 af den centrale Information Systems Security Department (DCSSI) og vedligeholdes af National Information Systems Security Agency (Anssi) der efterfulgte ham i 2009. Det undergik en udvikling i 2010 og derefter blev omdøbt til EBIOS Risk Manager.
EBIOS-metoden gør det muligt at vurdere sikkerhedsrisici ved informationssystemer (enheder og sårbarheder, angrebsmetoder og truende elementer, væsentlige elementer og sikkerhedsbehov osv.) For at bidrage til deres behandling ved at specificere de sikkerhedskrav, der skal indføres, at forberede hele den sikkerhedsmappe, der er nødvendig for accept af risiciene, og til at levere de elementer, der er nyttige til kommunikationen vedrørende risiciene. Det er kompatibelt med standarderne ISO 15408 ( fælles kriterier ), ISO / CEI 27005 (risikovurdering af informationssystem) og ISO 31000 (virksomhedsrisikostyring).
EBIOS bruges i vid udstrækning i den offentlige sektor (alle ministerier og organisationer under tilsyn), i den private sektor (konsulentfirmaer, små og store virksomheder), i Frankrig og i udlandet (EU, Quebec, Belgien, Tunesien, Luxembourg ...), af mange organisationer som brugere eller modtagere af ISS- risikoanalyser .
EBIOS giver en metode til opbygning af en sikkerhedspolitik baseret på en risikoanalyse baseret på forretningskonteksten og de sårbarheder, der er relateret til dens IS . Processen er derfor fælles for alle, men resultaterne af hvert trin tilpasses.
Dette vigtige trin sigter mod at identificere målsystemet globalt og lokalisere det i dets miljø. Især gør det det muligt for systemet at specificere problemerne, konteksten for dets anvendelse, de missioner eller tjenester, det skal levere, og de anvendte midler.
Scenen er opdelt i tre aktiviteter:
Dette trin bidrager til estimeringen af risiciene og til definitionen af risikokriterierne. Det giver systembrugere mulighed for at udtrykke deres sikkerhedsbehov for de funktioner og information, de håndterer. Disse sikkerhedsbehov udtrykkes i henhold til forskellige sikkerhedskriterier såsom tilgængelighed, integritet og fortrolighed. Udtrykket af behov er baseret på udvikling og anvendelse af en skala af behov og identifikation af uacceptable påvirkninger for organisationen.
Scenen er opdelt i to aktiviteter:
Dette trin består af en oversigt over scenarier, der kan påvirke komponenterne i IS. En trussel kan karakteriseres efter sin type (naturlig, menneskelig eller miljømæssig) og / eller efter årsag (utilsigtet eller bevidst).
Disse trusler formaliseres ved at identificere deres komponenter: de angrebsmetoder, som organismen udsættes for, de truende elementer, der kan bruge dem, de sårbarheder, der kan udnyttes på systemets enheder og deres niveau.
Et truende element kan påvirke væsentlige elementer ved at udnytte sårbarhederne i de enheder, som de er baseret på, med en bestemt angrebsmetode. Sikkerhedsmål er at dække sårbarheder.
Approachimplementeringsteamet skal specificere de forventede sikkerhedsfunktioner. Det team, der er ansvarligt for at implementere fremgangsmåden, skal derefter demonstrere, at sikkerhedsmålene er fuldt dækket af funktionskravene og forsikringskravene.
Indtil opdateringen i 2010 gjorde gratis software det muligt at registrere alle resultaterne af en undersøgelse og producere de nødvendige resumédokumenter.
Det er nu forældet og ikke længere tilgængeligt til download.
CFSSI (ANSSI træningscenter) organiserer kurser i EBIOS-metoden for den franske offentlige sektor. Online træning i risikostyring er i gang.
Den Anssi tilbyder også en uddannelse af undervisere til at overføre viden og undgå enhver tendens i udbredelsen og anvendelsen af metoden.
Klubben for store brugere af EBIOS-metoden blev oprettet i 2003 for at samle et ekspertfællesskab, dele erfaringer og forbedre metoden og dens værktøjer.