MST RSEAUX ET SYSTMES INFORMATIQUE |Scurit des

systmes dinformations

ifs entre les mthodes daudit d

Table des matires

Introduction............................................................................................................ 3
Cest quoi un audit de scurit :............................................................................. 4
Mthodes et normes daudit de la scurit des informations :...............................4
Les normes.......................................................................................................... 4
Les mthodes...................................................................................................... 4
Comparatifs entre mthodes daudit :....................................................................5
La norme ISO/IEC 27005..................................................................................... 5
La mthode EBIOS :............................................................................................ 5
La mthode MEHARI............................................................................................ 6
La mthode OCTAVE :.......................................................................................... 7
La mthode CRAMM :.......................................................................................... 7
La mthode COBIT :............................................................................................ 8
La mthode ITIL :................................................................................................ 8
Les critres de choix pour les mthodes daudit :...............................................9
Conclusion............................................................................................................ 10

Introduction
Tous systmes dinformation (SI) doivent faire face de multiples
menaces susceptibles d'exploiter leur vulnrabilit, surtout avec
louverture aux rseaux externes. Pour y remdi une politique de
traitement des risques doit tre mise en place.
Lanalyse des risques alors consiste identifier les dangers, les
valuer, les dfinir et mettre en uvre des mesures de protection
adaptes.
LAudit de scurit fait partie des mthodes de contrle les plus
courantes quant ce concept crucial pour la survie et le bon
fonctionnement des entreprises, notamment pour les plus sensibles
d'entre elles.

Cest quoi un audit de scurit :

Laudit en informatique est une mission d'valuation de conformit
par rapport une politique de scurit ou dfaut par rapport un
ensemble de rgles de scurit.
L'audit de scurit fait partie des mthodes de contrle les plus
courantes quant ce concept crucial pour la survie et le bon
fonctionnement des entreprises, notamment pour les plus sensibles
d'entre elles.
Tout d'abord, un audit de scurit se caractrise par une collecte
d'informations au cur de l'entreprise, considr comme une entit
scuriser et dote de mesures de scurit tester, organiser et contrler.
L'audit de scurit se dfinit ds lors comme la mise en pratique d'une
mthode complexe permettant une collecte de donnes exhaustives dans
le but de rassembler des informations concrtes sur les forces et les
faiblesses de la scurit de lentreprise.

Mthodes et normes daudit de la scurit des

informations :
Les concepts de mthode de scurit et de norme de scurit
portent souvent confusion.

Les normes
Une norme est, selon le guide ISO/CEI, un document de rfrence
approuv par un organisme reconnu, et qui fournit pour des usages
communs et rpts, des rgles, des lignes directrices ou des
caractristiques, pour des activits, ou leurs rsultats, garantissant un
niveau dordre optimal dans un contexte donn .
Les entreprises se font certifier pour prouver quelles suivent les
recommandations de la norme, elles se font certifi pour des raisons
commerciale car elle reprsente un gage de qualit pour les clients, pour
une obligation ou dans certains des cas, elles se certifient pour ellesmmes, pour optimiser leur processus en interne.

Les mthodes
Une mthode est une dmarche, un processus qui permet
dappliquer une norme au systme dinformation de lentreprise. La
mthode sert aussi faire un audit qui permet de faire, par exemple, un
tat de la scurit du systme dinformation.
Une mthode est souvent accompagne doutils afin dappuyer son
utilisation. Ils peuvent tre disponibles gratuitement comme lexemple de
4

la mthode MEHARI, que nous verrons plus loin, elle propose un outil
(fichier Microsoft Excel), ce fichier contient un ensemble de questions et
de scnarios. Cette base de connaissance permet de ressortir toutes les
vulnrabilits du systme dinformation et met des recommandations
pour y remdier. La plupart des mthodes sont appliques par des experts
en gestion des risques (EBIOS, MEHARI, OCTAVE).

Comparatifs entre mthodes daudit :

La norme ISO/IEC 27005
Cette norme internationale fournit des lignes directrices pour la
gestion des risques de scurit de l'information. Elle sappuie sur les
concepts gnraux spcifis dans la norme ISO/CEI 27001 et est conu
pour aider la mise en uvre dun niveau de scurit de l'information
satisfaisant bas sur une approche de gestion du risque. Elle est
applicable tous les types d'organisations qui ont l'intention de grer les
risques qui pourraient compromettre lorganisation de la scurit de
l'information. Le processus de gestion des risques dfini par cette norme
comprend les tapes suivantes :

Etablissement du contexte
Identification du risque
Estimation du risque
Evaluation du risque
Traitement du risque
Acceptation du risque
Communication du risque

La mthode EBIOS :
Langue
Franais

Pays
France

Conformit
ISO
31000,
27005

27001,

La documentation est riche et disponible en tlchargement gratuit.

Le logiciel utilis est EBIOS 2010, il est gratuit et tlchargeable sur
le site.
Les fonctionnalits dEBIOS sont lanalyse des risques et la maturit
SSI.

Les tapes de mise en uvre :

Etablissement du contexte

Apprciation des risques

Traitement des risques
Validation du traitement des risques
Communication et concertation relatives aux risques
Surveillance et revue des risques EBIOS formalise une
dmarche itrative de gestion des risques dcoupe en cinq
modules
Etude du contexte
Etude des vnements redouts
Etude des scnarios de menaces
Etude des risques
Etude des mesures de scurit

La mise en uvre de cette mthode est facilite par la mise

disposition des utilisateurs de bases de connaissances riches et
enrichissables, d'un logiciel libre et gratuit permettant de simplifier
lapplication et dautomatiser la cration des documents de synthse. Par
ailleurs, un club dutilisateurs EBIOS a t cr en 2003 et constitue une
communaut dexperts permettant le partage des expriences.

La mthode MEHARI
Langue
Franais,
allemand,

Pays
anglais, France

Conformit
ISO 27001,27002, 27005

Aussi la documentation pour MEHARI et gratuit.

Un premier niveau d'outil est directement inclus dans la base de
connaissance s de la mthode, en utilisant les formules Excel et Open
Office. Un manuel de rfrence, qui est gratuit, explique son utilisation. Il
est possible d'adapter la base de donnes de connaissance s aux
domaines spcifiques de l'activit, au niveau de maturit, la porte et
la taille de l'entreprise. Par ailleurs, plusieurs efforts indpendant s pour
dvelopper des outils supplmenta ires sont connus pour le CLUSIF. L'un
tant RISICARE, dvelopp par BUC SA et qui est le plus conforme et
complet.
Les fonctionnalits de MEHARI sont :

lanalyse des risques

Tableau de bord
Indicateurs
Maturit SSI

Les tapes de mise en uvre :

6

Phase prparatoire :
Prise en compte du contexte
Cadrage de la mission danalyse et du traitement des risques
Fixation des principaux paramtres danalyse des risques
Phase oprationnelle de lanalyse des risques
Analyse des enjeux et classification des actifs
Diagnostic de la qualit des services de scurit
Apprciation des risques
Phase de planification du traitement des risques
Planification des actions immdiates
Planification des mesures dcider dans le cadre courant
Mise en place du pilotage du traitement des risques

La mise en uvre de MEHARI ne peut tre conduite quen

conjonction avec un logiciel ou des feuilles de calculs ddis. Le
dmarrage de lanalyse ncessite une adaptation un peu complique de
"la base de connaissances". Par ailleurs, une version MEHARI-Pro qui
vise principalement les petites ou moyennes organisations, prives ou
publiques est disponible.

La mthode OCTAVE :
Langue
Anglais

Pays
USA

Conformit
ISO 31010

Le catalogue des pratiques et la documentation sont disponibles et

gratuits.
Le logiciel est payant.
Il ne fait que lanalyse des risques.

Les tapes de mise en uvre :

La mthodologie dcrits trois mthodes distincts :

La version principale (originale) de la mthode OCTAVE constitue

la base pour le corpus de connaissances dOCTAVE. Elle est
destin aux entreprises comptant 300 employs ou plus.
Phase 1, vue organisationnelle : Constitution des profils de
menaces bass sur les actifs de lentreprise.
Phase 2, vue technique : Identification des vulnrabilits de
linfrastructure
Phase 3, dveloppement de la stratgie de scurit et
planification

OCTAVE-S est adapt aux petites et moyennes organisations

(<100 salaris). La diffrence principale est qu'elle ignore la
premire phase de collecte des connaissances et suppose que
cette connaissance est dj connue par l'quipe d'analyse
OCTAVE-Allegro offre une approche plus rapide et simplifie qui se
concentre sur les actifs d'information. Cette approche couvre
seulement quatre phases simplifies.
l'laboration de critres d'valuation des risques
la cration de profils pour chaque lment d'information
critique
l'identification des menaces ces actifs
lanalyser des risques rsultant afin de dvelopper des
approches d'attnuation

Les mthodes OCTAVE sont conues pour tre utilises par de

petites quipes, interdisciplinaires du personnel de l'organisation, le
recours des experts externes pour des activits spcifiques est parfois
ncessaire

La mthode CRAMM :
Langue
Anglais

Pays
Angleterre

Conformit
ISO 27001,27002

La documentation nest pas disponible vu que les outils CRAMM

expert et CRAMM express sont payants.
La mthode ne fait que lanalyse des risques.

Les tapes de mise uvre :

Etablissement des objectifs de la scurit (identification et

valuation de lexistant)
Evaluation des menaces et des vulnrabilits
Slection des contre-mesures et recommandations

Cest une mthode payante, propose une base de connaissance

(librairie) trs riche contenant plus de trois milles contre-mesures
dtailles en anglais. Elle fournit des logiciels pour la mise en uvre de la
mthode, la ralisation des simulations, la production des rapports et le
suivi des contremesures de scurit. Ces logiciels sont sophistiqus et
ncessitent des praticiens forms pour les utiliser.

La mthode COBIT :
Langue
8

Pays

Conformit

Anglais,
Arabe

Franais, USA

ISO
27000,
38500

31000,

La documentation est riche, certain documents sont gratuit, dautres

sont payant ou ncessite adhsion payante.
Cette mthode fait la Gouvernance et gestion des TI, la gestion des
risques et la Capacit des processus (maturit des processus dans COBIT
4.1).

Les tapes de mise en uvre :

COBIT 5 se fonde sur cinq principes cls pour la gouvernance et la
gestion des TI de lentreprise :

Rpondre aux besoins des parties prenantes

Couvrir lentreprise de bout en bout
Appliquer un rfrentiel unique et intgr
Faciliter une approche globale
Distinguer la gouvernance de la gestion

La mthode ITIL :
Langue
Anglais, Franais

Pays
Angleterre

Conformit
ISO 20000, BS 15000

Une bote outils trs rput peut tre achete en ligne et

tlcharge directement. Elle comprend tous les composants : le Guide
ITIL, les Fiches ITIL, la prsentation de gestion, l'valuation de la
conformit ITIL, les fiches de rfrence ITSM, le Kit de Transition,
La mthode fait le Management des services IT et la maturit de la
gouvernance informatique

Les tapes de mise en uvre :

ITIL dfinit un cycle de vie des services compos de cinq phases :

Stratgie des services
Conception des services
Transition de service
Exploitation des services
Amlioration continue des services
La conception des services ITIL comprend sept processus :
Gestion du niveau des services
Gestion de la disponibilit
Gestion de la capacit
Gestion de la continuit des services IT

Gestion du catalogue des services

Gestion des fournisseurs
Gestion de la scurit de linformation
La transition des services comprend quatre processus :
Gestion des changements
Gestion des configurations
Gestion du dploiement et des versions
Gestion des connaissances
Lexploitation des services comprend six processus :
Gestion des vnements
Gestion des incidents
Gestion des problmes
Gestion de la ralisation des demandes
Gestion des accs
Gestion du cycle de vie des applications

Les critres de choix pour les mthodes daudit :

Pour choisir une mthode il faut prendre en considration les critres
suivant qui regroupe lensemble des mthodes, savoir :

10

La langue
La documentation, son prix ou si elle est gratuite.
Les bases de connaissances de la mthode (plus cette base est riche
est plus loutil sera puissant)
Les fonctionnalits (analyse de risque, maturit des SSI,
gouvernance )
La difficult de mise en uvre (est ce que la solution ncessite des
expert ou non)

Conclusion
Une dmarche daudit de la scurit des systmes dinformation doit
tre le fruit dune rflexion en amont afin denvisager les meilleurs
solutions possibles. Prenant en compte les besoins particuliers de
lorganisation, tant organisationnelles que techniques.
De nos jours la scurit des systmes dinformation, ce nest pas
seulement le fait davoir une bonne gestion des risques, mais elle stend
de plus en plus une gouvernance de la scurit des systmes
dinformation.

11