Méthode EBIOS

La norme ISO/IEC 27005 décrit les grandes étages de la gestion des risques en sécurité des systèmes d'information sans spécifier une méthode particulière d'analyse de risques. La partie analyse de risques est traitée au travers de la méthode EBIOS prônée par l'ANSSI.

EBIOS est une méthode d'appréciation et de traitement des risques. La méthode peut couvrir aussi bien un système déjà existant que s'inscrire dans une démarche d'amélioration. La démarche méthodologique proposée par EBIOS apporte une vision globale et cohérente de la Sécurité du Système d'Information (SSI). Ainsi, elle fournit un vocabulaire et des concepts communs (notamment ISO 15408 dans EBIOS V2), elle permet d'être exhaustif et de déterminer des objectifs de sécurité adaptés au travers de cinq étapes. Elle permet d'impliquer l'ensemble des acteurs du Système d'Information (SI) dans la problématique de sécurité.

Cette méthode permet d'assurer une adéquation technique et financière de la sécurité avec les enjeux de l'entreprise. Cette démarche est celle recommandée par la norme ISO/IEC 27005 et permet une évaluation des risques résiduels aprés mise en oeuvre des mesures de sécurité capable de réduire les risques à un niveau admissible pour l'entreprise.