Vous êtes sur la page 1sur 114

TELECOM MEDA NETWORK8

CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young


Mthodologie daudit
audit rglementaire
11 fvrier 2003
CGEY/TMN/SC/V 0.2
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 2
Plan de la prsentation
Mthodologie daudit interne (20)
Dfinition & enjeux
Dmarche
Livrables types
organisation type
Ncessit dun rfrentiel
Etat de lart > audit classique
Norme > audit
rfrentiel rglementaire > audit rglementaire
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 3
Plan de la prsentation
Audit rglementaire (ou la ncessit dun rfrentiel) (25)
Dfinition du terme rglementaire en scurit informatique ?
Etat du droit en matire lgal et jurisprudentielle (exemple de rfrentiel)
Primtre
Interne : salaris et personnel
Externe : tiers de confiance, sous-traitant, co-traitant, clients
Externe dlictueux
Suivi
Urgence prservation des preuves
Audits de certification (Label tiers de tl-sauvegarde de lAFAQ, accrditation
des autorits de certificats,
hbergeur de donnes mdicales, mesure du dcompte du temps de travail)
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 4
Plan de la prsentation
Audit scurit
Les normes de fait
MARION, orient retour dexprience
(prsente par France Tlcom) 20
vocation dE-bios comme expression de besoin par le Clusif
MEHARI , orient thorie
Prsent par le Clusif 30
Complmentarit de Mehari et Marion
Questions / rponses & retours dexprience
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 5
Plan de Prsentation de lAudit Marion 1/3
Description de la mthode
Contexte de droulement chez FT
Motivation
Prparatifs Choix des questions
Droulement: les diffrentes phases
Dclinaison, consolidation, synthse, restitution
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 6
Plan de Prsentation de lAudit Marion 2/3
Apports
Lanalyse froid, quelle pertinence de laudit ?
Illustration des forces et faiblesses
Elaboration des plans dactions adquats
Quelles possibilits de suivi et de comparaison ?
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 7
Plan de Prsentation de lAudit Marion 3/3
Ressentis aprs lAudit
Quelle suite ?
Conclusions
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 8
Dfinition - primtre
Laudit interne est une activit indpendante et objective qui donne
une organisation une assurance sur le degr de matrise de ses
oprations, lui apporte ses conseils pour les amliorer, et contribue
crer de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une
approche systmatique et mthodique, ses processus de management
des risques, de contrle, et de gouvernement dentreprise, et en faisant
des propositions pour renforcer leur efficacit.
Source: : IfAcI - Institut de lAudit Interne 2001 version franaise de la dfinition internationale, approuve le 21 mars 2000
par le Conseil dAdministration de lInstitut de lAudit Interne.
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 9
Laudit : contrle du contrle interne
Processus
Contrle dun processus
Audit : photo des forces et faiblesses dun processus ou dun
ensemble de processus un instant t
permet de contrler la matrise des processus concerns
Efficience
Efficacit
Source: : IfAcI - Institut de lAudit Interne 2001 version franaise de la dfinition internationale, approuve le 21 mars 2000
par le Conseil dAdministration de lInstitut de lAudit Interne.
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 10
Audit Interne
Audit oprationnel
Audit dentit
Contrle Interne
Self-audit
Full audit
Audit scurit
Audit rglementaire
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 11
Prsentation de la dmarche
1
Restitution
Restitution
4
Prsenter la restitution
Prsenter la restitution
Recommandations
Recommandations
Rdiger rapport et note
Rdiger rapport et note
Lancement de la
mission
Lancement de la
mission
Echantillon
des acteurs
concerns
Echantillon
des acteurs
concerns
Base
de connaissance
CGE&Y
Programme
de travail
Programme
de travail
Identification des causes
Identification des causes
Rdiger les CR entretien
Rdiger les CR entretien
Identification des
risques apparents
Identification des
risques apparents
Plan dapproche
Plan dapproche
Interroger les acteurs
Interroger les acteurs
Synthtiser les constats
Synthtiser les constats
Alternatives
Alternatives
Lettre de |ancement
Hatr|ce
2
3
Phase analyse.
Phase terrain
Phase initiale
Lettres de sa|s|e
Tab|eau des forces et
fa|b|esses effect|ves
Rapport
Note de synthese
L|ste des recommandat|ons
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 12
Plan dapproche
Inventaire des risques apparents
Analyse
FRAP : Feuille de Rvlation et dAnalyse de Problmes (outil de lIFACI) :
Constat
Consquence
Cause principale du problme
Recommandation sur la cause du problme
Diagramme des causes
Liste des recommandations
Que mettre en uvre ?
la cible
Dans quel ordre ?
Matrice de Mc-Kinsey (Attraits / Atouts)
Rapport et restitution
Livrables de la mission
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 13
Organisation dune mission daudit
Base de rfrence
Auditeurs
Consultant :
Consultant Senior :
Expert technique :
Auditeurs
Consultant :
Consultant Senior :
Expert technique :
Direction de Mission
Sponsor :
Chef de projet :
Direction de Mission
Sponsor :
Chef de projet :
(*) Sous rserve de leur disponibilit au moment de l'tude.
Demandeur
Sponsor :
Direction oprationnelle
Direction support : Contrle de gestion, direction financire
Conseil dadministration
Demandeur
Sponsor :
Direction oprationnelle
Direction support : Contrle de gestion, direction financire
Conseil dadministration
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 14
LAUDIT MARION
Mthode dAnalyse des Risques
Informatiques Optimiss par Niveau
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 15
Annexes
Autre retour dexprience
Risk management
Exemple de pratiques
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 16
Plan anti-fraude
moyen terme
Minimisation
des principales
fraudes
Exemple de livrables : matrice de Mac-Kinsey
Elev Moyen Faible
Niveau de risque de fraude
Respect confidentialit
du client
Mauvais
payeur
Roaming
Intrusion
dans les services
E
l
e
v

M
o
y
e
n
F
a
i
b
l
e
Moyens et ressources
de protection de la fraude
Fiabilit de la
facturation des
nouveaux services
Faiblesses propres
aux normes
Recouvrement
Scurit des
transactions de
m-commerce
Piratage
de contenu
Virus
Cet outil permet de qualifier et prioriser
les risques potentiels ou avrs
E
X
E
M
P
L
E
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young | 17
Ordre du jour (initial)
Mthodologie daudit & audit rglementaire
Audit interne & mthodologie
Audit rglementaire
Audit normatif
Protection des donnes personnelles
Proprit intellectuelle
Mthodologies daudit scurit
MARION (France Tlcom ? )
MEHARI (Clusif)
Retours dexprience
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young
Mthodologie daudit
& audit rglementaire
11 fvrier 2003
V 3.2
Proprietary and Confidential - CLUSIR Rhne-Alpes 2
Proposition dordre du jour
Mthodologie daudit interne (20)
Dfinition - typologie daudit
Mthodologie daudit et exemple de livrables
Organisation dune mission daudit
A chaque type daudit, son rfrentiel
Audit rglementaire (25)
Le pralable ncessaire : ltat du droit
Primtre de laudit rglementaire
Les suites de laudit rglementaire
Proprietary and Confidential - CLUSIR Rhne-Alpes 3
Proposition dordre du jour
Audit scurit, des normes de fait (45)
MARION
MEHARI
Chronologie des mthodes
dautres mthodes (EBIOS, MELISA)
Questions - rponses & retours dexprience
Proprietary and Confidential - CLUSIR Rhne-Alpes 4
Contributeurs
Annie Dupont JAA
Responsable du comit Mthodes du CLUSIF
Raphal Peuchot Lamy Lexel
Walid Driss France Telecom
Christophe Jaskolski Cap Gemini Ernst & Young
Proprietary and Confidential - CLUSIR Rhne-Alpes 5
Dfinition
Laudit interne est une activit indpendante et objective qui donne
une organisation une assurance sur le degr de matrise de ses
oprations, lui apporte ses conseils pour les amliorer, et contribue
crer de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une
approche systmatique et mthodique, ses processus de management
des risques, de contrle, et de gouvernement dentreprise, et en
faisant des propositions pour renforcer leur efficacit.
Source: : IfAcI - Institut de lAudit Interne 2001 version franaise de la dfinition internationale, approuve le 21 mars 2000
par le Conseil dAdministration de lInstitut de lAudit Interne.
Proprietary and Confidential - CLUSIR Rhne-Alpes 6
Laudit, contrle du contrle interne
Processus
Contrle dun processus
Audit
photo des forces et faiblesses dun processus ou dun
ensemble de processus un instant t
permet de contrler la matrise des processus concerns
efficience
efficacit
Source: : IfAcI - Institut de lAudit Interne 2001 version franaise de la dfinition internationale, approuve le 21 mars 2000
par le Conseil dAdministration de lInstitut de lAudit Interne.
Proprietary and Confidential - CLUSIR Rhne-Alpes 7
Audit Interne
Audit oprationnel
Audit dentit
Contrle Interne
Self-audit
Full audit
Audit scurit
Audit rglementaire
Proprietary and Confidential - CLUSIR Rhne-Alpes 8
Mthodologie daudit
1
Restitution
Restitution
4
Prsenter la restitution
Prsenter la restitution
Recommander
Recommander
Rdiger rapport et note
Rdiger rapport et note
Lancement de la
mission
Lancement de la
mission
Echantillon
des acteurs
concerns
Echantillon
des acteurs
concerns ase de
conna|ssance
Programme
de travail et
de vrification
Programme
de travail et
de vrification
Identifier les causes, les risques
Identifier les causes, les risques
Constater les forces et
faiblesses
Constater les forces et
faiblesses
Identification des
risques apparents
et des enjeux
Identification des
risques apparents
et des enjeux
Plan dapproche
Plan dapproche
Interroger les acteurs
Interroger les acteurs
Vrifier
Vrifier
Synthtiser les constats
Synthtiser les constats
Lettre de |ancement
Ana|yse 8w0T
Hatr|ce de Hc K|nsey
2
3
Phase analyse
Phase terrain
Phase initiale
Lettres de sa|s|e
Tab|eau des forces et
fa|b|esses effect|ves
Rapport
Note de synthese
L|ste des recommandat|ons
6R entret|en
Proprietary and Confidential - CLUSIR Rhne-Alpes 9
Plan dapproche
Inventaire des risques apparents
Analyse
FRAP : Feuille de Rvlation et dAnalyse de Problmes (outil de lIFACI)
constat, consquence, cause principale du problme
recommandation
Diagramme des causes
Liste des recommandations
Que mettre en uvre ?
la cible
Dans quel ordre ?
Matrice de Mc-Kinsey (Attraits / Atouts)
Rapport et restitution
Exemples de livrables
Proprietary and Confidential - CLUSIR Rhne-Alpes 10
Organisation dune mission daudit
Base de rfrence
Auditeurs
Consultant :
Consultant Senior :
Expert technique :
Auditeurs
Consultant :
Consultant Senior :
Expert technique :
Direction de Mission
Sponsor :
Chef de projet :
Direction de Mission
Sponsor :
Chef de projet :
(*) Sous rserve de leur disponibilit au moment de l'tude.
Demandeur
Sponsor :
Direction oprationnelle
Direction support : Contrle de gestion, direction financire
Conseil dadministration
Demandeur
Sponsor :
Direction oprationnelle
Direction support : Contrle de gestion, direction financire
Conseil dadministration
Proprietary and Confidential - CLUSIR Rhne-Alpes 11
Rfrentiel, un pr-requis
pour des objectifs clairs
pour un primtre prcis
Plusieurs sortes de rfrentiel
Ltat de lart
Audit oprationnel, audit interne
La Norme
Audit de certification
le cadre rglementaire ou juridique
Audit rglementaire
A chaque type daudit, son rfrentiel
Proprietary and Confidential - CLUSIR Rhne-Alpes 12
Les normes de fait
MARION, oriente retour dexprience
prsente par France Tlcom (20 )
MEHARI , oriente thorie
Dautres mthodes (EBIOS, MELISA)
Chronologie des mthodes
Prsente par le Clusif (30 )
Questions / rponses & retours dexprience
Audit scurit
Proprietary and Confidential - CLUSIR Rhne-Alpes 13
connaissance des fondamentaux
la veille lgale :
ex : le droit des salaris en volution
ex : l'activit nouvelle d'hbergeurs de donnes mdicales
ex : le projet de loi pour la confiance dans l'conomie numrique
Le pralable ncessaire : l'tat du droit
Proprietary and Confidential - CLUSIR Rhne-Alpes 14
Sources internes d'inscurit juridique
l'encadrement de l'usage d'Internet et les droits des salaris
les outils de dcompte du temps de travail
le respect des droits de proprit intellectuelle des tiers
Sources contractuelles d'inscurit juridique
prestataires informatiques
le cas de la prestation d'intrusion informatique
l'exemple de l'outil de signature lectronique
le stockage de donnes distance
Sources externes d'inscurit juridique
les intrusions informatiques et leurs consquences
les actions pnales et civiles
Primtre de l'audit rglementaire
Proprietary and Confidential - CLUSIR Rhne-Alpes 15
les prconisations de mise en conformit lgale
la gestion des incidents
Les suites de l'audit rglementaire
Proprietary and Confidential - CLUSIR Rhne-Alpes 16
Laudit MARION 1/2
Description de la mthode
Contexte de droulement chez FT
Motivation
Prparatifs et choix des questions
Droulement
Mthode dAnalyse des Risques Informatiques
Optimiss par Niveau
Proprietary and Confidential - CLUSIR Rhne-Alpes 17
Laudit MARION 2/2
Apports
Illustration des forces et faiblesses
Quelles possibilits de suivi et de comparaison ?
Ressentis aprs lAudit
Conclusions
Proprietary and Confidential - CLUSIR Rhne-Alpes 18
Description de la mthode
Mthode utilise : MARION CC 97
Rfrentiel DACR : 234 questions sur 667, pour 11 des 24
facteurs de la mthode complte
Lvaluation de la rponse se fait sur une chelle de 0 4
0 (Non, ou constat dabsence des lments de rponses)
1 (Non, mais , avec constat de trace dlments de rponse)
2 (Oui, mais , avec constat de manques)
3 (sans objet, non applicable)
4 (Oui, constat defficacit)
Proprietary and Confidential - CLUSIR Rhne-Alpes 19
Contexte de droulement
Unit de Supervision et dExploitation Informatique
Assure des prestations dhbergement, exploitation, supervision,
soutien
- pour des utilisateurs du SI interne FT ou des filiales
- pour des clients externes
7 USEI en France
Proprietary and Confidential - CLUSIR Rhne-Alpes 20
Motivation
Objectifs
Connatre ltat de scurit oprationnelle pour chaque site
Accs physique
Accs logique
Constituer un rfrentiel de dpart pour amliorer la scurit
Rendre ce rfrentiel utilisable dans le cadre de la certification qualit
Aider les USEI prioriser leurs actions
Comparer les niveaux atteints par domaine ou mtier, avec les autres
USEI
Proprietary and Confidential - CLUSIR Rhne-Alpes 21
Prparatifs Choix des questions
L'ORGANISATION GENERALE LE PERSONNEL INFORMATIQUE
LES CONTROLES PERMANENTS LES PLANS INFORMATIQUES ET DE SECURITE
LA REGLEMENTATION ET L'AUDIT LA SECURITE LOGIQUE DE BASE
LES FACTEURS SOCIO-ECONOMIQUES LA SECURITE DES TELECOMMUNICATIONS
L'ENVIRONNEMENT DE BASE LA PROTECTION DES DONNEES
LES CONTRLES D'ACCES PHYSIQUE L'ARCHIVAGE / DESARCHIVAGE
LA POLLUTION
LE TRANSFERT DES SUPPORTS
INFORMATIQUES
LES CONSIGNES DE SECURITE PHYSIQUE LA SAUVEGARDE
LA SECURITE SPECIFIQUE INCENDIE LE SUIVI DE L'EXPLOITATION
LA SECURITE SPECIFIQUE DEGAT DES EAUX LA MAINTENANCE
LA FIABILITE DE FONCT. DES MATERIELS LES PROCEDURES DE RECETTE
LES SYSTEMES ET PROCEDURES DE
SECOURS
LA GESTION DES PROJETS ET DES
DEVELOPPEMENTS
LES PROTOCOLES UTILISATEURS-
INFORMATICIENS
LES CONTROLES PROGRAMMES
LA SECURITE DES PROGICIELS
Proprietary and Confidential - CLUSIR Rhne-Alpes 22
Apports restitution sous forme de rosace, Exemple
Proprietary and Confidential - CLUSIR Rhne-Alpes 23
Apports - restitution graphique en mode aires

Facteurs
Proprietary and Confidential - CLUSIR Rhne-Alpes 24
Forces et Faiblesses
Forces
laboration par un groupement dexperts
Riche dun fort retour sur exprience
Possibilit de benchmarking
comparatif inter-units dune mme entreprise
comparatif inter-socits pour mme mtier
chelle de comparaison de fait
Faiblesses
Pas forcment adapte au contexte FT
Les questions ne donnent pas toujours lieu une valuation
objective
Peu adapt aux applications en ligne et e-commerce
Proprietary and Confidential - CLUSIR Rhne-Alpes 25
Ressentis
Bilan global
Trs bon accueil et trs bonne participation des intervenants USEI
Participation ingale des intervenants extrieurs
Impact notable de la diversit des sites (historique, vocation initiale, utilisation)
sur les rsultats
Proprietary and Confidential - CLUSIR Rhne-Alpes 26
Conclusions
Rflexions sur lutilisation de loutil de pilotage incorpor
dans la mthode Marion
Migration vers la mthode CC98 ?
Loutil est un bon lment de base
Mais pas assez souple et ne tient pas compte de la diversit et
de lvolution
Autres alternatives ? (MEHARI)
Proprietary and Confidential - CLUSIR Rhne-Alpes 27
MEHARI *
Pourquoi MEHARI ?
Le modle du risque
La mthode MEHARI
Les applications de MEHARI
* Mthode Harmonise dAnalyse
des Risques
CLUSIF
Marque dpose par le CLUSIF
Proprietary and Confidential - CLUSIR Rhne-Alpes 28
Pourquoi MEHARI au sicle dernier
MARION
PME
Micro
Proprietary and Confidential - CLUSIR Rhne-Alpes 29
Pourquoi MEHARI au 21
me
sicle
Proprietary and Confidential - CLUSIR Rhne-Alpes 30
Pourquoi MEHARI ?
MARION :
Dveloppe sous lgide de lAPSAD (dbut des annes 1980)
Pas de lien formel entre la vulnrabilit et les risques encourus
Plus de mise jour par la commission METHODES depuis 1997
MEHARI
Dveloppe par le CLUSIF (commission METHODES) (fin des annes 1990)
Liens formels entre la gravit des scnarios de sinistres et ltat de
vulnrabilit
Mthode oprationnelle depuis 1997 et mise jour par la commission
MEHARI Distribue
MARION Centralise
Mthode Architecture
Proprietary and Confidential - CLUSIR Rhne-Alpes 31
Analyse de risque en systmes distribus
Comment se droule un sinistre ?
Peut - on dfinir le risque ?
Comment traquer le maillon faible ?
Pourquoi MEHARI ?
Proprietary and Confidential - CLUSIR Rhne-Alpes 32
BIENS ou ACTIFS
sont la CIBLE de
MENACE POTENTIELLE
qui se CONCRETISE
par une
AGRESSION
qui DECLENCHE une
DETERIORATION
qui PROVOQUE des
DEGATS
qui OCCASIONNENT
des
PERTES
CAUSES
CONSEQUENCES
LE MODELE DU RISQUE
Proprietary and Confidential - CLUSIR Rhne-Alpes 33
LE MODELE DU RISQUE
Le fait quun vnement puisse empcher de
maintenir une situation donne
et
maintenir un objectif dans des conditions fixes
et
satisfaire une finalit programme
Proprietary and Confidential - CLUSIR Rhne-Alpes 34
LE MODELE DU RISQUE
La capacit du risque
pour quun tel vnement adverse se produise,
se traduit par la notion de
potentialit du risque
Limportance de ses consquences se traduit par la notion
dimpact
Proprietary and Confidential - CLUSIR Rhne-Alpes 35
LE MODELE DU RISQUE
3 types de Risques
Exposition naturelle
Intention de l'agresseur
Possibilit de sinistre
3 types de Mesures
Mesures structurelles
Mesures dissuasives
Mesures prventives
CAUSES
Accident
Erreur
Malveillance
Proprietary and Confidential - CLUSIR Rhne-Alpes 36
LE MODELE DU RISQUE
3 types d'Effets
Dtriorations
Dysfonctionnements
Pertes finales
3 types de Mesures
Mesures de protection
Mesures palliatives
Mesures de rcupration
CONSEQUENCES
Disponibilit
Intgrit
Confidentialit
Proprietary and Confidential - CLUSIR Rhne-Alpes 37
Mesures
Structurelles
rduisent
Exposition
Naturelle
Mesures
Dissuasives
rduisent
Intention de
lagresseur
Mesures
Prventives
rduisent
Possibilit
de sinistre
caractrise
caractrise
caractrise
Potentialit
Mesures de
Protection
rduisent
Gravit des
Dtriorations
Mesures
Palliatives
rduisent
Gravit des
Dysfonctions
Mesures de
Rcupration
rduisent
Gravit des
Pertes finales
caractrise
caractrise
caractrise
Impact
GRAVIT
LE MODELE DU RISQUE
Proprietary and Confidential - CLUSIR Rhne-Alpes 38
4 = risques insupportables
3 = risques inadmissibles
2 = risques tolrs
Potentialit et Impact spcifie la Gravit du risque
Impact
4 3 2 1
3 2 1 0 1
4 3 2 1 2
4 3 2 1 3
4 3 2 2 4
Potentialit
LE MODELE DU RISQUE
Proprietary and Confidential - CLUSIR Rhne-Alpes 39
LE MODELE DU RISQUE
<scnario type> = <consquences - causes - origines>
La typologie dcrit :
les types de dtriorations ou de dgts
les vnements qui ont pu conduire au droulement du scnario
les origines qui compltent la description des types d'agression
Proprietary and Confidential - CLUSIR Rhne-Alpes 40
Pour tudier le scnario, il faut
identifier lensemble des ressources
qui ont particip au
droulement du scnario,
depuis son origine jusqu' son aboutissement
LE MODELE DU RISQUE
Proprietary and Confidential - CLUSIR Rhne-Alpes 41
LE MODELE DU RISQUE
Technique
Architecture Rx & Tlcom
Exploitation Rx & Tlcom
Systmes opratoires
Production informatique
Applicatifs
Dveloppement
Organisationnel
Entit
Gographique
Site
Locaux
Ressources rparties en 9 Domaines de scurit
Proprietary and Confidential - CLUSIR Rhne-Alpes 42
LE MODELE DU RISQUE
La reconnaissance des VALEURS DE L'ENTREPRISE est un
pralable toute action dans le domaine de la scurit.
Les mesures de scurit ont un cot et l'effort investi doit l'tre en
fonction de ce que l'on veut protger.
1 Analyser les ressources
selon les 3 critres D, I, C
2 Classifier les ressources
selon des seuils de gravit dfinis sur une chelle de 1 4
Proprietary and Confidential - CLUSIR Rhne-Alpes 43
BIENS ou ACTIFS
sont la CIBLE de
MENACE POTENTIELLE
qui se CONCRETISE par une
AGRESSION
qui DECLENCHE une
DETERIORATION
qui PROVOQUE des
DEGATS
PERTES
qui OCCASIONNENT des
Mesures
Structurelles
Dissuasives
Prventives
Protection
Palliatives
Rcupration
Q
u
a
l
i
t

des
S
e
r
v
i
c
e
s
de
S

c
u
r
i
t

P
O
T
E
N
T
I
A
L
I
T
E
I
M
P
A
C
T
G
R
A
V
I
T

des
S
C

N
A
R
I
O
S
Causes
Consquences
LE MODELE DU RISQUE
Proprietary and Confidential - CLUSIR Rhne-Alpes 44
Plan Stratgique de Scurit (PSS)
Plan(s) Oprationnel(s) de Scurit (POS)
Plan Oprationnel d'Entreprise (POE)
3 Plans = 3 Phases
LA METHODE MEHARI
Proprietary and Confidential - CLUSIR Rhne-Alpes 45
LA METHODE MEHARI
Direction Gnrale
P O S (1 n)
P S S
P O E
Oprationnel
Indicateurs
Tableau de Bord
Mtriques
Objectifs
Vulnrabilit
Gravit
Plan daction
Politique
Charte
Proprietary and Confidential - CLUSIR Rhne-Alpes 46
LA METHODE MEHARI
Fixer les objectifs de scurit
Mettre en vidence les enjeux
Dfinir la politique de scurit
Etablir la charte de management
Mtrique des risques G = A
(I,
P)
Apprciation des risques
Classification des Ressources
Seuils de gravit
Rgles Gnrales et
Spcifiques - Solutions
Droits et Devoirs du
Personnel et de l'Entreprise
le Plan Stratgique de Scurit
Proprietary and Confidential - CLUSIR Rhne-Alpes 47
LA METHODE MEHARI
Spcifier le domaine et les outils
Auditer le niveau de scurit
Evaluer la gravit des scnarios
Exprimer les besoins de scurit
Primtre et niveau de dtail
Elaboration des scnarios
Validation de la classification
Audit des services et s/s services
Consolidation des rsultats par site
Dtermination des gravits
Potentialit / Impact / Gravit
Mesures spcifiques
Mesures gnrales
Planifier les actions de scurit
Mesures spcifiques et
prioritaires
Autres mesures hirarchises
Plans Oprationnels de Scurit
Proprietary and Confidential - CLUSIR Rhne-Alpes 48
LA METHODE MEHARI
Choix des scnarios
Elaboration des indicateurs
Synthse de l'entreprise
Couverture des types
d'impact et de cause
Ressources critiques
Risques graves - Impact
Synthse par
Scnario, Unit, Entreprise
Plan Oprationnel dEntreprise
Proprietary and Confidential - CLUSIR Rhne-Alpes 49
LA METHODE MEHARI
Les ouvrages du CLUSIF (Franais et Anglais)
la Mthode, le cas pratique, les indicateurs de scurit
Les Bases de Connaissances
12 Familles de scnarios
Services de scurit
Questionnaire de vulnrabilit
Des grilles de calcul
Le logiciel RISICARE
module de formatage des bases et de personnalisation
module danalyse de vulnrabilit et des risques
Proprietary and Confidential - CLUSIR Rhne-Alpes 50
LA METHODE MEHARI
Objectifs de scurit
Mtrique des risques
G = A (I,P)
Primtre
Domaine Couvert
Audit de
l existant
Classification des
ressources
Enjeux
valuation de la
Gravit des scnarios
Expression des besoins
de scurit
Plan d Actions
I
n
d
i
c
a
t
e
u
r
s
T
a
b
l
e
a
u
d
e
B
o
r
d
Politique de
scurit
Charte de
Management
Proprietary and Confidential - CLUSIR Rhne-Alpes 51
LA METHODE MEHARI
CLUB UTILISATEUR
ouvert aux non membres du CLUSIF
1 runion / trimestre depuis 09/2001
Compatibilit MEHARI - BS7799-2
respect de la dmarche BS
choix des objectifs des scurit en fonction des risques
analyse des risques et expressions des besoins de scurit
rsultats r-utilisables et optimiss en fonction des risques
correspondance des bases de connaissances MEHARI avec le
BS7799-2 et ISO/IEC 17799:1999
Proprietary and Confidential - CLUSIR Rhne-Alpes 52
LA METHODE MEHARI
Ses applications
Plan Stratgique de Scurit
Plan(s) Oprationnel(s) de Scurit
Traitement dune famille de scnario
Traitement dun risque spcifique (A, E, M)
Traitement dun critre de scurit (D, I, C)
Traitement dun scnario particulier
Traitement dune application oprationnelle
Traitement dun projet
Proprietary and Confidential - CLUSIR Rhne-Alpes 53
AUTRES METHODES
DCSSI
Proprietary and Confidential - CLUSIR Rhne-Alpes 54
AUTRES METHODES
DGA/DCN
Proprietary and Confidential - CLUSIR Rhne-Alpes 55
1984 1989 1992 1993
1998 2000
2003
MELISA
DGA
DCN
MELISA V1
CF6
MELISA V2
CF6
MELISAMV3
CF6
MARION
APSAD
CLUSIF
MARION
CC PMS
CLUSIF
MARION
CC PMS
CLUSIF
MARION
CC PMS
CLUSIF
MEHARI V1
CLUSIF
MEHARI V2
CLUSIF
MEHARI V3
CLUSIF
CHRONOLOGIE DES METHODES
Le risque
informatique

Proprietary and Confidential - CLUSIR Rhne-Alpes 56
Questions - rponses
Merci de votre attention
Commission METHODES
annie.dupont@clusif.asso.fr
Site web MEHARI : www.clusif.asso.fr/mehari
TELECOM MEDA NETWORK8
CGEY/TMNF/SC/CJ Proprietary and Confidential | Cap Gemini Ernst & Young
Mthodologie daudit
& audit rglementaire
11 fvrier 2003
V 3.2
Proprietary and Confidential - CLUSIR Rhne-Alpes 2
Proposition dordre du jour
Mthodologie daudit interne (20)
Dfinition - typologie daudit
Mthodologie daudit et exemple de livrables
Organisation dune mission daudit
A chaque type daudit, son rfrentiel
Audit rglementaire (25)
Le pralable ncessaire : ltat du droit
Primtre de laudit rglementaire
Les suites de laudit rglementaire
Proprietary and Confidential - CLUSIR Rhne-Alpes 3
Proposition dordre du jour
Audit scurit, des normes de fait (45)
MARION
MEHARI
Chronologie des mthodes
dautres mthodes (EBIOS, MELISA)
Questions - rponses & retours dexprience
Proprietary and Confidential - CLUSIR Rhne-Alpes 4
Contributeurs
Annie Dupont JAA
Responsable du comit Mthodes du CLUSIF
Raphal Peuchot Lamy Lexel
Walid Driss France Telecom
Christophe Jaskolski Cap Gemini Ernst & Young
Proprietary and Confidential - CLUSIR Rhne-Alpes 5
Dfinition
Laudit interne est une activit indpendante et objective qui donne
une organisation une assurance sur le degr de matrise de ses
oprations, lui apporte ses conseils pour les amliorer, et contribue
crer de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une
approche systmatique et mthodique, ses processus de management
des risques, de contrle, et de gouvernement dentreprise, et en
faisant des propositions pour renforcer leur efficacit.
Source: : IfAcI - Institut de lAudit Interne 2001 version franaise de la dfinition internationale, approuve le 21 mars 2000
par le Conseil dAdministration de lInstitut de lAudit Interne.
Proprietary and Confidential - CLUSIR Rhne-Alpes 6
Laudit, contrle du contrle interne
Processus
Contrle dun processus
Audit
photo des forces et faiblesses dun processus ou dun
ensemble de processus un instant t
permet de contrler la matrise des processus concerns
efficience
efficacit
Source: : IfAcI - Institut de lAudit Interne 2001 version franaise de la dfinition internationale, approuve le 21 mars 2000
par le Conseil dAdministration de lInstitut de lAudit Interne.
Proprietary and Confidential - CLUSIR Rhne-Alpes 7
Audit Interne
Audit oprationnel
Audit dentit
Contrle Interne
Self-audit
Full audit
Audit scurit
Audit rglementaire
Proprietary and Confidential - CLUSIR Rhne-Alpes 8
Mthodologie daudit
1
Restitution
Restitution
4
Prsenter la restitution
Prsenter la restitution
Recommander
Recommander
Rdiger rapport et note
Rdiger rapport et note
Lancement de la
mission
Lancement de la
mission
Echantillon
des acteurs
concerns
Echantillon
des acteurs
concerns ase de
conna|ssance
Programme
de travail et
de vrification
Programme
de travail et
de vrification
Identifier les causes, les risques
Identifier les causes, les risques
Constater les forces et
faiblesses
Constater les forces et
faiblesses
Identification des
risques apparents
et des enjeux
Identification des
risques apparents
et des enjeux
Plan dapproche
Plan dapproche
Interroger les acteurs
Interroger les acteurs
Vrifier
Vrifier
Synthtiser les constats
Synthtiser les constats
Lettre de |ancement
Ana|yse 8w0T
Hatr|ce de Hc K|nsey
2
3
Phase analyse
Phase terrain
Phase initiale
Lettres de sa|s|e
Tab|eau des forces et
fa|b|esses effect|ves
Rapport
Note de synthese
L|ste des recommandat|ons
6R entret|en
Proprietary and Confidential - CLUSIR Rhne-Alpes 9
Plan dapproche
Inventaire des risques apparents
Analyse
FRAP : Feuille de Rvlation et dAnalyse de Problmes (outil de lIFACI)
constat, consquence, cause principale du problme
recommandation
Diagramme des causes
Liste des recommandations
Que mettre en uvre ?
la cible
Dans quel ordre ?
Matrice de Mc-Kinsey (Attraits / Atouts)
Rapport et restitution
Exemples de livrables
Proprietary and Confidential - CLUSIR Rhne-Alpes 10
Organisation dune mission daudit
Base de rfrence
Auditeurs
Consultant :
Consultant Senior :
Expert technique :
Auditeurs
Consultant :
Consultant Senior :
Expert technique :
Direction de Mission
Sponsor :
Chef de projet :
Direction de Mission
Sponsor :
Chef de projet :
(*) Sous rserve de leur disponibilit au moment de l'tude.
Demandeur
Sponsor :
Direction oprationnelle
Direction support : Contrle de gestion, direction financire
Conseil dadministration
Demandeur
Sponsor :
Direction oprationnelle
Direction support : Contrle de gestion, direction financire
Conseil dadministration
Proprietary and Confidential - CLUSIR Rhne-Alpes 11
Rfrentiel, un pr-requis
pour des objectifs clairs
pour un primtre prcis
Plusieurs sortes de rfrentiel
Ltat de lart
Audit oprationnel, audit interne
La Norme
Audit de certification
le cadre rglementaire ou juridique
Audit rglementaire
A chaque type daudit, son rfrentiel
Proprietary and Confidential - CLUSIR Rhne-Alpes 12
Les normes de fait
MARION, oriente retour dexprience
prsente par France Tlcom (20 )
MEHARI , oriente thorie
Dautres mthodes (EBIOS, MELISA)
Chronologie des mthodes
Prsente par le Clusif (30 )
Questions / rponses & retours dexprience
Audit scurit
Proprietary and Confidential - CLUSIR Rhne-Alpes 13
connaissance des fondamentaux
la veille lgale :
ex : le droit des salaris en volution
ex : l'activit nouvelle d'hbergeurs de donnes mdicales
ex : le projet de loi pour la confiance dans l'conomie numrique
Le pralable ncessaire : l'tat du droit
Proprietary and Confidential - CLUSIR Rhne-Alpes 14
Sources internes d'inscurit juridique
l'encadrement de l'usage d'Internet et les droits des salaris
les outils de dcompte du temps de travail
le respect des droits de proprit intellectuelle des tiers
Sources contractuelles d'inscurit juridique
prestataires informatiques
le cas de la prestation d'intrusion informatique
l'exemple de l'outil de signature lectronique
le stockage de donnes distance
Sources externes d'inscurit juridique
les intrusions informatiques et leurs consquences
les actions pnales et civiles
Primtre de l'audit rglementaire
Proprietary and Confidential - CLUSIR Rhne-Alpes 15
les prconisations de mise en conformit lgale
la gestion des incidents
Les suites de l'audit rglementaire
Proprietary and Confidential - CLUSIR Rhne-Alpes 16
Laudit MARION 1/2
Description de la mthode
Contexte de droulement chez FT
Motivation
Prparatifs et choix des questions
Droulement
Mthode dAnalyse des Risques Informatiques
Optimiss par Niveau
Proprietary and Confidential - CLUSIR Rhne-Alpes 17
Laudit MARION 2/2
Apports
Illustration des forces et faiblesses
Quelles possibilits de suivi et de comparaison ?
Ressentis aprs lAudit
Conclusions
Proprietary and Confidential - CLUSIR Rhne-Alpes 18
Description de la mthode
Mthode utilise : MARION CC 97
Rfrentiel DACR : 234 questions sur 667, pour 11 des 24
facteurs de la mthode complte
Lvaluation de la rponse se fait sur une chelle de 0 4
0 (Non, ou constat dabsence des lments de rponses)
1 (Non, mais , avec constat de trace dlments de rponse)
2 (Oui, mais , avec constat de manques)
3 (sans objet, non applicable)
4 (Oui, constat defficacit)
Proprietary and Confidential - CLUSIR Rhne-Alpes 19
Contexte de droulement
Unit de Supervision et dExploitation Informatique
Assure des prestations dhbergement, exploitation, supervision,
soutien
- pour des utilisateurs du SI interne FT ou des filiales
- pour des clients externes
7 USEI en France
Proprietary and Confidential - CLUSIR Rhne-Alpes 20
Motivation
Objectifs
Connatre ltat de scurit oprationnelle pour chaque site
Accs physique
Accs logique
Constituer un rfrentiel de dpart pour amliorer la scurit
Rendre ce rfrentiel utilisable dans le cadre de la certification qualit
Aider les USEI prioriser leurs actions
Comparer les niveaux atteints par domaine ou mtier, avec les autres
USEI
Proprietary and Confidential - CLUSIR Rhne-Alpes 21
Prparatifs Choix des questions
L'ORGANISATION GENERALE LE PERSONNEL INFORMATIQUE
LES CONTROLES PERMANENTS LES PLANS INFORMATIQUES ET DE SECURITE
LA REGLEMENTATION ET L'AUDIT LA SECURITE LOGIQUE DE BASE
LES FACTEURS SOCIO-ECONOMIQUES LA SECURITE DES TELECOMMUNICATIONS
L'ENVIRONNEMENT DE BASE LA PROTECTION DES DONNEES
LES CONTRLES D'ACCES PHYSIQUE L'ARCHIVAGE / DESARCHIVAGE
LA POLLUTION
LE TRANSFERT DES SUPPORTS
INFORMATIQUES
LES CONSIGNES DE SECURITE PHYSIQUE LA SAUVEGARDE
LA SECURITE SPECIFIQUE INCENDIE LE SUIVI DE L'EXPLOITATION
LA SECURITE SPECIFIQUE DEGAT DES EAUX LA MAINTENANCE
LA FIABILITE DE FONCT. DES MATERIELS LES PROCEDURES DE RECETTE
LES SYSTEMES ET PROCEDURES DE
SECOURS
LA GESTION DES PROJETS ET DES
DEVELOPPEMENTS
LES PROTOCOLES UTILISATEURS-
INFORMATICIENS
LES CONTROLES PROGRAMMES
LA SECURITE DES PROGICIELS
Proprietary and Confidential - CLUSIR Rhne-Alpes 22
Apports restitution sous forme de rosace, Exemple
Proprietary and Confidential - CLUSIR Rhne-Alpes 23
Apports - restitution graphique en mode aires

Facteurs
Proprietary and Confidential - CLUSIR Rhne-Alpes 24
Forces et Faiblesses
Forces
laboration par un groupement dexperts
Riche dun fort retour sur exprience
Possibilit de benchmarking
comparatif inter-units dune mme entreprise
comparatif inter-socits pour mme mtier
chelle de comparaison de fait
Faiblesses
Pas forcment adapte au contexte FT
Les questions ne donnent pas toujours lieu une valuation
objective
Peu adapt aux applications en ligne et e-commerce
Proprietary and Confidential - CLUSIR Rhne-Alpes 25
Ressentis
Bilan global
Trs bon accueil et trs bonne participation des intervenants USEI
Participation ingale des intervenants extrieurs
Impact notable de la diversit des sites (historique, vocation initiale, utilisation)
sur les rsultats
Proprietary and Confidential - CLUSIR Rhne-Alpes 26
Conclusions
Rflexions sur lutilisation de loutil de pilotage incorpor
dans la mthode Marion
Migration vers la mthode CC98 ?
Loutil est un bon lment de base
Mais pas assez souple et ne tient pas compte de la diversit et
de lvolution
Autres alternatives ? (MEHARI)
Proprietary and Confidential - CLUSIR Rhne-Alpes 27
MEHARI *
Pourquoi MEHARI ?
Le modle du risque
La mthode MEHARI
Les applications de MEHARI
* Mthode Harmonise dAnalyse
des Risques
CLUSIF
Marque dpose par le CLUSIF
Proprietary and Confidential - CLUSIR Rhne-Alpes 28
Pourquoi MEHARI au sicle dernier
MARION
PME
Micro
Proprietary and Confidential - CLUSIR Rhne-Alpes 29
Pourquoi MEHARI au 21
me
sicle
Proprietary and Confidential - CLUSIR Rhne-Alpes 30
Pourquoi MEHARI ?
MARION :
Dveloppe sous lgide de lAPSAD (dbut des annes 1980)
Pas de lien formel entre la vulnrabilit et les risques encourus
Plus de mise jour par la commission METHODES depuis 1997
MEHARI
Dveloppe par le CLUSIF (commission METHODES) (fin des annes 1990)
Liens formels entre la gravit des scnarios de sinistres et ltat de
vulnrabilit
Mthode oprationnelle depuis 1997 et mise jour par la commission
MEHARI Distribue
MARION Centralise
Mthode Architecture
Proprietary and Confidential - CLUSIR Rhne-Alpes 31
Analyse de risque en systmes distribus
Comment se droule un sinistre ?
Peut - on dfinir le risque ?
Comment traquer le maillon faible ?
Pourquoi MEHARI ?
Proprietary and Confidential - CLUSIR Rhne-Alpes 32
BIENS ou ACTIFS
sont la CIBLE de
MENACE POTENTIELLE
qui se CONCRETISE
par une
AGRESSION
qui DECLENCHE une
DETERIORATION
qui PROVOQUE des
DEGATS
qui OCCASIONNENT
des
PERTES
CAUSES
CONSEQUENCES
LE MODELE DU RISQUE
Proprietary and Confidential - CLUSIR Rhne-Alpes 33
LE MODELE DU RISQUE
Le fait quun vnement puisse empcher de
maintenir une situation donne
et
maintenir un objectif dans des conditions fixes
et
satisfaire une finalit programme
Proprietary and Confidential - CLUSIR Rhne-Alpes 34
LE MODELE DU RISQUE
La capacit du risque
pour quun tel vnement adverse se produise,
se traduit par la notion de
potentialit du risque
Limportance de ses consquences se traduit par la notion
dimpact
Proprietary and Confidential - CLUSIR Rhne-Alpes 35
LE MODELE DU RISQUE
3 types de Risques
Exposition naturelle
Intention de l'agresseur
Possibilit de sinistre
3 types de Mesures
Mesures structurelles
Mesures dissuasives
Mesures prventives
CAUSES
Accident
Erreur
Malveillance
Proprietary and Confidential - CLUSIR Rhne-Alpes 36
LE MODELE DU RISQUE
3 types d'Effets
Dtriorations
Dysfonctionnements
Pertes finales
3 types de Mesures
Mesures de protection
Mesures palliatives
Mesures de rcupration
CONSEQUENCES
Disponibilit
Intgrit
Confidentialit
Proprietary and Confidential - CLUSIR Rhne-Alpes 37
Mesures
Structurelles
rduisent
Exposition
Naturelle
Mesures
Dissuasives
rduisent
Intention de
lagresseur
Mesures
Prventives
rduisent
Possibilit
de sinistre
caractrise
caractrise
caractrise
Potentialit
Mesures de
Protection
rduisent
Gravit des
Dtriorations
Mesures
Palliatives
rduisent
Gravit des
Dysfonctions
Mesures de
Rcupration
rduisent
Gravit des
Pertes finales
caractrise
caractrise
caractrise
Impact
GRAVIT
LE MODELE DU RISQUE
Proprietary and Confidential - CLUSIR Rhne-Alpes 38
4 = risques insupportables
3 = risques inadmissibles
2 = risques tolrs
Potentialit et Impact spcifie la Gravit du risque
Impact
4 3 2 1
3 2 1 0 1
4 3 2 1 2
4 3 2 1 3
4 3 2 2 4
Potentialit
LE MODELE DU RISQUE
Proprietary and Confidential - CLUSIR Rhne-Alpes 39
LE MODELE DU RISQUE
<scnario type> = <consquences - causes - origines>
La typologie dcrit :
les types de dtriorations ou de dgts
les vnements qui ont pu conduire au droulement du scnario
les origines qui compltent la description des types d'agression
Proprietary and Confidential - CLUSIR Rhne-Alpes 40
Pour tudier le scnario, il faut
identifier lensemble des ressources
qui ont particip au
droulement du scnario,
depuis son origine jusqu' son aboutissement
LE MODELE DU RISQUE
Proprietary and Confidential - CLUSIR Rhne-Alpes 41
LE MODELE DU RISQUE
Technique
Architecture Rx & Tlcom
Exploitation Rx & Tlcom
Systmes opratoires
Production informatique
Applicatifs
Dveloppement
Organisationnel
Entit
Gographique
Site
Locaux
Ressources rparties en 9 Domaines de scurit