3. De nos jours les entreprises sont plus en plus connectés tant en interne que
dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques.
De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs
fournisseurs clients partenaires et administrateur .on peut pas négliger les
menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de
sécurité obligatoire.
Introduction
4. Un audit de sécurité consiste à s'appuyer sur un tiers de confiance
(généralement une société spécialisée en sécurité informatique) afin de
valider les moyens de protection mis en œuvre.
l'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de
sécurité est correctement appliquée et que l'ensemble des dispositions prises
forme un tout cohérent.
Audit de sécurité
5. Le Club de la Sécurité de l'Information Français (CLUSIF) est une
association à but non lucratif d'entreprises et de collectivités réunies en
groupes de réflexion et d'échanges autour de différents domaines de la
sécurité de l'information : gestion des risques, politiques de sécurité, etc.
Organisme d’audit de sécurité : CLUSIF
6. Méthode de gestion de risques de type Méhari octave, EBIOS …
La méthode harmonisée d'analyse des risques (MEHARI) est une méthode
visant à la sécurisation informatique d'une entreprise ou d'un organisme. Elle
a été développée et proposée par le CLUSIF…
Méthode d’audit de sécurité : MEHARI
7. Mehari fournit un cadre méthodologique, des outils et des bases de
connaissance pour :
analyser les enjeux majeurs .
étudier les vulnérabilités .
réduire la gravité des risques .
piloter la sécurité de l'information .
But de la méthode
8. Analyser les enjeux majeurs :
Dans MEHARI, on appelle " Analyse des enjeux de la sécurité " :
L'identification des dysfonctionnements potentiels pouvant être
causés ou favorisés par un défaut de sécurité,
L'évaluation de la gravité de ces dysfonctionnements.
Cette analyse des enjeux vise à :
Etre sélectif dans les moyens à mettre en œuvre pour la sécurité de
l'information et ne pas engager de dépenses là où les enjeux sont
faibles.
Éviter des contraintes inutiles aux utilisateurs
Définir les priorités
But de la méthode
9. Etudier les vulnérabilités :
L'analyse des vulnérabilités revient à identifier les faiblesses et les défauts
des mesures de sécurité. En pratique, il s'agit d'une évaluation de la qualité
de mesures de sécurité.
Cette analyse des vulnérabilités permet de :
Corriger les points faibles inacceptables par des plans d'action
immédiats.
Évaluer l'efficacité des mesures mises en place et garantir leur
efficacité.
préparer l'analyse des risques induits par les faiblesses mises en
évidence.
Se comparer à l'état de l'art ou aux normes en usage.
But de la méthode
10. réduire la gravité des risques :
Cette analyse des risques vise, le plus souvent :
Définir les mesures les mieux adaptées au contexte et aux enjeux : il
peut s'agir d'une démarche de management traditionnel par " politique
de sécurité " orientée et alimentée par une analyse de risques.
Mettre en place un management des risques et garantir que toutes les
situations de risques critiques ont été identifiées et prises en compte : il
s'agit alors d'une politique de management de la sécurité par le
management des risques.
But de la méthode
11. piloter la sécurité de l'information :
Dans ce domaine, MEHARI apporte :
Un cadre adapté à différentes démarches et différentes sortes de
management de la sécurité :
Les modes de pilotage de la sécurité peuvent évoluer avec le temps
Les demandes du management peuvent évoluer en fonction de la
maturité de l’entreprise
Une variété d’indicateurs et de synthèses :
Niveaux de vulnérabilités et de risques,
relatifs aux points de contrôles ISO 17799:2005 (repris dans ISO
27001),
tableau de bord des risques critiques.
But de la méthode
12. Mehari s'articule autour de 3 types de livrables :
le Plan Stratégique de Sécurité (PSS)
les Plans Opérationnels de Sécurité (POS)
le Plan Opérationnel d'Entreprise (POE)
Démarche de la méthode
13. le Plan Stratégique de Sécurité (PSS) :
Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les
métriques permettant de les mesurer. C'est à ce stade que le niveau de
gravité des risques encourus par l'entreprise est évalué. Il définit la politique
de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs.
Démarche de la méthode
14. les Plans Opérationnels de Sécurité (POS) :
Les Plans Opérationnels de Sécurité définissent pour chaque site les
mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils élaborent
des scénarios de compromission et audite les services du SI. Sur la base de
cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée
permettant par la suite d'exprimer les besoins de sécurité, et par la même les
mesures de protections nécessaires. Enfin, une planification de la mise à
niveau de la sécurité du SI est faite.
Démarche de la méthode
15. le Plan Opérationnel d'Entreprise (POE):
Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par
l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios
de catastrophe contre lesquels il faut se prémunir.
Démarche de la méthode
16. RISICARE est une approche associée à un outillage, s'appuyant sur la
méthode Mehari 2010 et qui permet d'améliorer la productivité et la justesse
d'une démarche de gestion des risques.
Mehari les outils : RISICARE
17. Risicare s'appuie sur les caractéristiques suivantes :
L'utilisation de la méthode Mehari développée au sein du CLUSIF
comme modèle d'analyse des risques.
La possibilité de personnaliser les bases de connaissances, voire de
construire ses propres bases de connaissances.
Une relation entre un audit de l'existant et la quantification de
scénarios de risques.
Une prise en compte exhaustive et automatique des multiples
possibilités de survenance de ces scénarios.
L'élaboration de plans d'action cohérents optimisant la réduction de
l'ensemble des risques.
Une aide en ligne très développée avec l'accès à un ensemble de
rubriques méthodologiques et techniques.
Caractéristiques de Risicare
18. Conclusion
EBIOS MEHARI
Publié en 1997, créée en 1995 développée depuis 1995
Structure
Étude du contexte
1. L’identification des risquesÉtude des événements redoutés
Étude des scénarios de menaces
Étude des risques 2. L’estimation des risques
Étude des mesures de sécurité 3. La gestion des risques
Outils
Guide pratique Documents pratiques
Logiciel libre et gratuit Logiciel gratuit
Formation Vidéos
Etudes de cas
Outils de calculs Excel intégrés au
logiciel
Club EBIOS
Finalement, on se rend compte que ces deux méthodes abordent les même sujets, mais peut être
sous un angle un peu plus fonctionnel ,la méthode EBIOS et plus “managériale” que la méthode
MEHARI.