Vous êtes sur la page 1sur 2

La notion de « risque Ceci s’appuie sur 3 types de Sécurité (totale ?

…) = situation
informatique » se sépare en moyens : dans laquelle quelqu’un ou
3 grands axes : Techniques (sur réseau filaire quelque chose n’est exposé à
risque direct de ou non, Internet, virus, SQL aucun danger, à aucun risque, en
l'informatique (pannes, vols, injection via DTA, DDOS, etc.) particulier d’agression physique,
pertes, erreurs, etc. ) Social (auteurs internes ou en d’accidents, de
risque induit (perte d'image relation avec l’entreprise)
Ingénierie social (attaque par
vols ou de détériorations
de marque, perte de qualité,
perte de clientèle, perte le biais d’un acteur interne Sécurité = absence ou limitation
financière, perte de stock, « candide » : phoning, des risques dans
etc. ) risque généré (utilisation de phissing, etc.) un domaine précis
l'informatique pour détourner,
voler, escroquer, rançonner, etc.)
Une méthode d’étude et de Cobit v3 (Control Objectives for Ebios 1.0.2 (Expression des
gestion de la sécurité peut se Information and Related besoins et identification des
décomposer en cinq grandes Technologies ) : plus outil de objectifs de sécurité) Créée par la
Phases 1. Une phase d’analyse contrôle et de vérification que DCSSI au sein de l'administration
et diagnostic 2. Une phase de méthode réelle. Il indique ce qu’il française, Ebios vise à formaliser
choix et de préparation de ce que faut faire (QUOI) et non « des objectifs de sécurité adaptés
l’on nomme un Schéma Directeur comment faire ». Mais il est aux besoins
de Sécurité des Systèmes organisé comme une méthode du système audité comme de son
d’Informations (SDSSI) 3. Une (phases de planification, contexte – utilisable aussi pour une
phase de mise en oeuvre des d'acquisition, d'exploitation et de création.
scénarios après tests 4. Une suivi). Mehari (Méthode harmonisée
phase de mise en oeuvre CRAMM v4 (CCTA Risk Analysis d'analyse de risques informatiques)
d’indicateurs de suivi et and Management Très complète, Mehari sert à définir
d’un groupe de suivi des incidents Method) : méthode d'origine les objectifs, à analyser les risques
et réactions aux britannique qui procède à et les vulnérabilités puis fournit un
sinistres 5. Une phase de une évaluation en 3 phases : plan d'opération et des tableaux de
maintenance et d’évolution des identification des valeurs, bord. Suivie et mise à jour par le
scénarios avec veille analyse des risques et définition CLUSIF et issue des anciennes
technologique et éthodologique des mesures de sécurité méthodes MARION, INCAS et
( s’appuie sur la norme ritannique MELISA réunies.
BS7799). MV3 (Melisa Version 3) MV3 est
Complète mais lourde (plus de directement issue de Melisa (créée
3.000 questions). au sein de la DGA) et créée par
CF6, rachetée par le groupe
Telindus.
Depuis, MV3 pourtant reconnue
pour sa rapidité et sa souplesse est
en perte de vitesse.
Mise en œuvre 0- Mise en œuvre 1- Recensement Méthode Méhari [Facteurs
Démarche Analyse et audit de l’ensemble du DICPP]
1. Recensement des biens système Recensement de DisponibilitéLe bien est disponible,
2. Recherche des risques l’ensemble des biens liés utilisable dès que l’on en a besoin
associés [spécification préalable (directement ou indirectement) au Intégrité Le bien est complet et
de scénarios] 3. Analyse de système d’information (SIM ou utilisable dans sa totalité, sans
scénarios [potentialité] système « Manuel » et élément erroné, falsifié, manquant
a) Description de scénario [Fiche SIA pour système automatisé / ou inaccessible .Confidentialité
scénario] informatisé) Regroupement des Les droits d’accès en lecture,
b) Pondération et chiffrage de biens en unités fonctionnelles modification ou contrôle [LMC]
scénario cohérentes (dans lesquelles la (avec droit de création,
c) Modélisation de scénario totalité des biens participe à la suppression) sont respectés
d) Tests [maquettes et fonction) Pérennité La durée de vie du
simulations] S=> Stratégies système est réelle et conforme à la
4. Corrections [jusqu’à validation] E=> Économique durée de vie des données (tant sur
5. Mise en oeuvre T=>Technique le plan légal qu’organisationnel et
6. Contrôle et suivi [correction et A=>Autres technique) Preuve Les informations
évolution] sont prouvées (validité, valeur,
7. Maintenance et adaptation fiducie, DICP prouvé, non
répudiation, non falsification, etc.)
Mise en oeuvre Leur étude peut se faire en Mise en oeuvre
3- Scénarios - Scénarii ascendance par : 4 - Corrections
Leur étude peut se faire en Analyse des conséquences sur La correction s’effectue sur
descendance par : une échelle de référence (analyse L’analyse corrective des risques
Recherche des dégâts dite d’IMPACT La mise en corrélation des risques
potentiels (détérioration, Analyse des potentialités des et scénarios
dégâts, risques (analyse statistique) La synthèse des scénarios
pertes) avec leurs incidences Montage de la table d’aversion L’intégration au sein de la sécurité
(DICPP) (ou d’éloignement) de ces 2 générale
Recherche des conséquences éléments L’intégration à l’existant
(SETA) avec mise en Montage de la table des La validation s’effectue sur
place des indicateurs conséquences plausibles à partir L’ensemble des scénarios
(Stratégique, Economique, de cette table -> problématique Le montage d’un SDSSI cohérent
Technique, Autre) des conséquences d’1 risque L’intégration au SD général de
Étude chiffrée, pour chaque Recherche des causalités l’entreprise
dégât, des conséquences opérationnelles (directement Mise en oeuvre
recensées et parfaitement issues de la table) 5- Démarrage et tests
identifiées Montage de parades (scénarios 3 Axes principaux de démarrage et
Recherche des causes de sécurité) tests
probables de chaque dégât Mise en oeuvre Humaine : Sensibilisation ;
avec chiffrage de la 6- Suivi et contrôle Formation ; Information
probabilité (analyse Basés, entre autres, sur Mise en place opérationnelle :
statistique / probabiliste mais Des indicateurs ;Des tableaux de Mise en place technique ; Mise en
aussi subjective) bords ;Des analyses des réactions place logistique ; Mise en place
Montage de parades aux incidents ;Des corrections organisationnelle
(scénarios de sécurité) face aux incidents ; Une politique Gestionnaire : Finances ; Contrôles
de formation et d’information techniques ; Indicateurs
régulière ; Une responsabilité
opérationnelle et technique ; Une
veille technologique et sécuritaire
La gestion de la sécurité Assurances Liens entre sécurité informatique
impose de réaliser 3 tâches Influent sur les besoins en et contrats externes :
permanentes : mesures structurelles et Installation, Recettes, Garantie,
Veille (technologique, préventives SAVPrestations (maintenance,
juridique, méthodologie, Mesures curatives nécessitent assistance,
études de cas concrets, etc.) d’être complétée par assurances développement, régie, hot-line,
Remise en cause permanente Niveaux d’assurances gérance, etc.)
de la sécurité actuelle et des Assurance informatique Utilisations (licences, propriété
mesures, scénarios existants Assurance en responsabilité de codes, droits
Recherche et analyse des Assurance en perte d’exploitation de diffusion, confidentialité, etc.)
évolutions, modifications, Mise à disposition, prêts,
variations du SI (biens et RH) locations, etc.
Elle impose aussi de Problématique de la
toujours avoir à l’esprit : responsabilité sur les
Le fait qu’aucune mesure risques liés à des personnes
n’est jamais parfaite (le 100% extérieures
sécurisé n’existe pas et n’est
généralement pas possible en
terme de moyens)
Le fait qu’aucune mesure
n’est jamais permanente (les
ressources changent, les
techniques changent, les
risques changent, l’existant
vieillit, les personnes
changent