O método EBIOS é um método de avaliação de risco de TI, desenvolvido em 1995 pelo Departamento Central de Segurança de Sistemas de Informação (DCSSI) e mantido pela Agência Nacional de Segurança de Sistemas de Informação (ANSSI) que assumiu em 2009. Ele evoluiu em 2010 e foi então renomeado para EBIOS Risk Manager.
O método EBIOS permite avaliar os riscos de segurança dos sistemas de informação (entidades e vulnerabilidades, métodos de ataque e elementos ameaçadores, elementos essenciais e necessidades de segurança, etc.), para contribuir para o seu tratamento especificando os requisitos de segurança a implementar, preparar todo o arquivo de segurança necessário à aceitação dos riscos e fornecer os elementos úteis à comunicação dos riscos. É compatível com os padrões ISO 15408 ( critérios comuns ), ISO / CEI 27005 (avaliação de risco do sistema de informação) e ISO 31000 (gerenciamento de risco empresarial).
EBIOS é amplamente utilizado no setor público (todos os ministérios e organizações sob supervisão), no setor privado (empresas de consultoria, pequenas e grandes empresas), na França e no exterior (União Europeia, Quebec, Bélgica, Tunísia, Luxemburgo ...), por muitas organizações como usuárias ou beneficiárias das análises de risco do ISS .
O EBIOS fornece um método para construir uma política de segurança baseada em uma análise de risco baseada no contexto de negócios e nas vulnerabilidades relacionadas ao seu IS . O processo é, portanto, comum a todos, mas os resultados de cada etapa são personalizados.
Esta etapa essencial visa identificar globalmente o sistema de destino e localizá-lo em seu ambiente. Em particular, permite especificar para o sistema as questões, o contexto da sua utilização, as missões ou serviços que deve prestar e os meios utilizados.
O estágio é dividido em três atividades:
Esta etapa contribui para a estimativa dos riscos e para a definição dos critérios de risco. Ele permite que os usuários do sistema expressem suas necessidades de segurança para as funções e informações com que lidam. Essas necessidades de segurança são expressas de acordo com vários critérios de segurança, como disponibilidade, integridade e confidencialidade. A expressão das necessidades baseia-se no desenvolvimento e utilização de uma escala de necessidades e na identificação de impactos inaceitáveis para a organização.
O estágio é dividido em duas atividades:
Esta etapa consiste em um inventário de cenários que podem afetar os componentes do SI. Uma ameaça pode ser caracterizada de acordo com seu tipo (natural, humana ou ambiental) e / ou de acordo com sua causa (acidental ou deliberada).
Essas ameaças são formalizadas pela identificação de seus componentes: os métodos de ataque aos quais o organismo está exposto, os elementos ameaçadores que podem utilizá-los, as vulnerabilidades que podem ser exploradas nas entidades do sistema e em seu nível.
Um elemento ameaçador pode afetar elementos essenciais, explorando as vulnerabilidades das entidades nas quais eles se baseiam com um método de ataque específico. Os objetivos de segurança são cobrir vulnerabilidades.
A equipe de implementação da abordagem deve especificar os recursos de segurança esperados. A equipe responsável pela implementação da abordagem deve então demonstrar que os objetivos de segurança estão totalmente cobertos pelos requisitos funcionais e pelos requisitos de seguro.
Até a atualização de 2010, o software livre possibilitava registrar todos os resultados de um estudo e produzir os documentos sumários necessários.
Agora está obsoleto e não está mais disponível para download.
O CFSSI (centro de treinamento ANSSI) organiza cursos de treinamento no método EBIOS para o setor público francês. O treinamento online sobre gestão de riscos está em andamento.
A ANSSI também oferece um treinamento de treinadores para transferir conhecimento e evitar qualquer desvio na disseminação e uso do método.
O clube de grandes usuários do método EBIOS foi criado em 2003 com o objetivo de reunir uma comunidade de especialistas, compartilhar experiências e aprimorar o método e suas ferramentas.