Mthode

Signification Mthode d'valuation de la vulnrabilit rsiduelle des systmes d'information Mthodologie d'Analyse de Risques Informatiques Oriente par Niveaux CCTA Risk Analysis and Management Method

Anne de cration

Auteur

Melissa

Clusif

Marion

1980

Clusif

Cramm

1986

siemens

Mehari

Mthode Harmonise d'Analyse de Risques

1995

Clusif

Ebios

Expression des Besoins et Identification des Objectifs de Scurit

1995

DCSSI

Octave

Operationally Critical Threat, Asset, and Vulnerability Evaluation

1999

universit de carnegie Mellon

Cobra

Consultative, Objective and Bifunctional Risk Analysis

2001

C&A systems security limited Organisation internationale de normalisation

Iso

International Organization for Standardization

2005

Feros

Fiche d'Expression Rationnelle des Objectifs de Scurit

SCSSI

Cobit

Control objectives for information and technology

ISACA

Caractristiques

Elle a t abandonne au profit de MEHARI

Fonctionne par questionnaires dbouchant sur 27 indicateurs rpartis en 6 catgories. 2 phases (audit des vulnrabilits et analyse des risques) permettent la dfinition et la mise en uvre de plans d'actions personnaliss. Elle comprend des outils d'aide et des bases de connaissances (questionnaires, scnarios de risques etc.) pour soutenir des responsables de la scurit de l'information pour crer rapidement, entre autres, les politiques de scurit de l'information adquates. Succde la mthode Marion. S'articule autour de 3 plans. Permet dsormais d'apprcier les risques au regard des objectifs "business" de l'entreprise

Permet de construire une politique de scurit en fonction d'une analyse des risques qui repose sur le contexte de l'entreprise et des vulnrabilits lies son SI. La dmarche est commune tous, mais les rsultats de chaque tape sont personnaliss.

Les trois phases de la mthode permet de dfinir les valeurs mises en danger, les risques les plus redoutables ainsi que la vulnrabilit de la dfense en sappuyant sur une base de connaissances standard (standard catalogue of information) comprise dans la mthode. partir de ces rsultats, la mthode permet de dvelopper une stratgie de rduction des risques et de la mettre en uvre. Elle est conue pour tre applique de lintrieur, cest--dire par le personnel plutt que par des experts de lexterne

Identifie les menaces, les vulnrabilits et les expositions de systeme. Elle mesure le degr de risque rel pour chaque secteur ou aspect d'un systeme, et lie directement ceci a l'impact potentiel d'affaires Notamment dploye au sein de l'administration franaise, cette mthode comprend une base de connaissances et un recueil de bonnes pratiques. Elle est tlchargeable sur le site de la DCSSI et s'accompagne d'un logiciel. Pas une mthode proprement parler mais un document permettant une autorit donne (secteur secret dfense notamment) de dfinir le niveau d'engagement de sa responsabilit dans l'application d'une politique de scurit. Mthode accessible tous, dans un langage simple. Les outils fournis permettent la mesure des performances mais la mthode est aujourd'hui davantage assimile une mthode de governance des SI.