Académique Documents
Professionnel Documents
Culture Documents
systmes dinformations
Introduction
Tous systmes dinformation (SI) doivent faire face de multiples
menaces susceptibles d'exploiter leur vulnrabilit, surtout avec
louverture aux rseaux externes. Pour y remdi une politique de
traitement des risques doit tre mise en place.
Lanalyse des risques alors consiste identifier les dangers, les
valuer, les dfinir et mettre en uvre des mesures de protection
adaptes.
LAudit de scurit fait partie des mthodes de contrle les plus
courantes quant ce concept crucial pour la survie et le bon
fonctionnement des entreprises, notamment pour les plus sensibles
d'entre elles.
Les normes
Une norme est, selon le guide ISO/CEI, un document de rfrence
approuv par un organisme reconnu, et qui fournit pour des usages
communs et rpts, des rgles, des lignes directrices ou des
caractristiques, pour des activits, ou leurs rsultats, garantissant un
niveau dordre optimal dans un contexte donn .
Les entreprises se font certifier pour prouver quelles suivent les
recommandations de la norme, elles se font certifi pour des raisons
commerciale car elle reprsente un gage de qualit pour les clients, pour
une obligation ou dans certains des cas, elles se certifient pour ellesmmes, pour optimiser leur processus en interne.
Les mthodes
Une mthode est une dmarche, un processus qui permet
dappliquer une norme au systme dinformation de lentreprise. La
mthode sert aussi faire un audit qui permet de faire, par exemple, un
tat de la scurit du systme dinformation.
Une mthode est souvent accompagne doutils afin dappuyer son
utilisation. Ils peuvent tre disponibles gratuitement comme lexemple de
4
la mthode MEHARI, que nous verrons plus loin, elle propose un outil
(fichier Microsoft Excel), ce fichier contient un ensemble de questions et
de scnarios. Cette base de connaissance permet de ressortir toutes les
vulnrabilits du systme dinformation et met des recommandations
pour y remdier. La plupart des mthodes sont appliques par des experts
en gestion des risques (EBIOS, MEHARI, OCTAVE).
Etablissement du contexte
Identification du risque
Estimation du risque
Evaluation du risque
Traitement du risque
Acceptation du risque
Communication du risque
La mthode EBIOS :
Langue
Franais
Pays
France
Conformit
ISO
31000,
27005
27001,
Etablissement du contexte
La mthode MEHARI
Langue
Franais,
allemand,
Pays
anglais, France
Conformit
ISO 27001,27002, 27005
Phase prparatoire :
Prise en compte du contexte
Cadrage de la mission danalyse et du traitement des risques
Fixation des principaux paramtres danalyse des risques
Phase oprationnelle de lanalyse des risques
Analyse des enjeux et classification des actifs
Diagnostic de la qualit des services de scurit
Apprciation des risques
Phase de planification du traitement des risques
Planification des actions immdiates
Planification des mesures dcider dans le cadre courant
Mise en place du pilotage du traitement des risques
La mthode OCTAVE :
Langue
Anglais
Pays
USA
Conformit
ISO 31010
La mthode CRAMM :
Langue
Anglais
Pays
Angleterre
Conformit
ISO 27001,27002
La mthode COBIT :
Langue
8
Pays
Conformit
Anglais,
Arabe
Franais, USA
ISO
27000,
38500
31000,
La mthode ITIL :
Langue
Anglais, Franais
Pays
Angleterre
Conformit
ISO 20000, BS 15000
10
La langue
La documentation, son prix ou si elle est gratuite.
Les bases de connaissances de la mthode (plus cette base est riche
est plus loutil sera puissant)
Les fonctionnalits (analyse de risque, maturit des SSI,
gouvernance )
La difficult de mise en uvre (est ce que la solution ncessite des
expert ou non)
Conclusion
Une dmarche daudit de la scurit des systmes dinformation doit
tre le fruit dune rflexion en amont afin denvisager les meilleurs
solutions possibles. Prenant en compte les besoins particuliers de
lorganisation, tant organisationnelles que techniques.
De nos jours la scurit des systmes dinformation, ce nest pas
seulement le fait davoir une bonne gestion des risques, mais elle stend
de plus en plus une gouvernance de la scurit des systmes
dinformation.
11