Académique Documents
Professionnel Documents
Culture Documents
Méthodologie
Intervenant : Servas Olivier
Réalisation : Octobre /99
Màj: Février 2001 /Décembre 2001 /septembre 2007
Sommaire
Introduction
II. Comparatif des normes
III. Présentation des principales normes
A. EBIOS
B. Melisa
C. Marion
D. Mehari
E. Octave
F. Cramm
IV. Critères de choix
V. Conclusion
Norme
Document de référence fondé sur un consensus couvrant
un large intérêt
Documents de spécification techniques ou autres critères précis
devant être utilisé comme règles, définitions ou encore comme
lignes directrices
Norme = Label de confiance
Méthode
Moyen d’arriver au résultat souhaité
EBIOS (Expression des Besoins et Identification des Objectifs
de Sécurité - DCSSI « Direction Centrale de la Sécurité des
Systèmes d’Information »)
Composé de 4 Documents
Définition des concept de base
Information sur l’organisation de l’entité
Approche d’une gestion des risques
Guide des mesures préventives
En cours de révision
Evolution vers un Standard International
(IS) : ISO/IEC IS 13335 -1, 2 (IT) :
ISO/IEC IT 13335 -3, 4
http://www.ysosecure.com/norme-securite/norme-iso-13335.asp
Conformité
BS 7799 / ISO 17799 décrit les concepts de sécurité " idéaux ",
tandis que BS 7799-2 décrit les concepts de sécurité " incontournables " pour toute organisation voulant être certifiée.
https://www.clusif.asso.fr/fr/production/mehari/
© Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 23
MEHARI (Méthode Harmonisée d’Analyse de Risques)
la démarche MEHARI
https://www.clusif.asso.fr/fr/production/mehari/
© Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 24
MEHARI (Méthode Harmonisée d’Analyse de Risques)
https://www.clusif.asso.fr/fr/production/mehari/
© Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 25
Une approche : D’analyse des risques informatiques en 8 étapes
(DESS 226 Ludovic Blin Université Paris Dauphine)
Le PPA est calculé par des méthodes mathématiques. On peut citer la méthode basée sur le travail
de Robert Courtney et d’IBM. Cette méthode calcule le PPA en fonction de 2 valeurs V et P,
expression de la valeur du bien protégé et de la probabilité d’une menace, sur une échelle de 1 à 8.
On obtient ces valeur à partir de v :valeur du bien (en unité monétaire) et p : fréquence (en
probabilité par an ), et par les conversions logarithmiques suivantes :
P=3+log103p et V=log10V
Ce qui nous permet de calculer une expression du PPA :
URL : https://www.clusif.asso.fr/fr/production/ouvrages/pdf/RoSI.pd
*FIPS: (Federal Information Processing Standards), ALE : (Annual Loss Expectancy),
© Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 27
Cramm (CCTA Risk Analysis and Management
Method)
•identification de l'existant
•évaluation des menaces et des
vulnérabilités
•choix des remèdes
.
http://www.ysosecure.com/methode-securite/evolution-methodes-securite.asp
Notion informelle
Notion stratégique
Notion de périmètre
Vulnérabilités techniques
Menaces
…
http://www.ysosecure.com/methode-securite/evolution-methodes-securite.asp
Objectif
Ce guide a pour objectif de fournir un support aux
responsables SSI pour élaborer une politique de sécurité
du ou des systèmes d’information (PSSI) au sein de leur
organisme.
Schémadirecteur
Schéma directeur
del’organisme
de l’organisme
Enjeux
Méthode
Méthode Principes Objectifs
de de
d’élaboration
d’élaboration sécurité sécurité Méthode
Méthode
depolitique
de politique PSSIglobale
PSSI globale d’analyse
d’analyse
desécurité
de sécurité desrisques
des risques
Règles de
(PSSI)
(PSSI) sécurité
PSSIspécifiques
PSSI spécifiques
Étude du contexte
Expression des besoins de sécurité
Étude des menaces
Identification des objectifs de sécurité
Détermination des exigences de sécurité
Introduction
Fonctionnalités
Etude de sécurité
Synthèse d’étude
Auto formation
Base de connaissances
Administration système
Compléments d’informations
Etude du contexte
L'étape "Étude du contexte" a pour objectif d'identifier globalement le système-cible, de le situer dans son
environnement pour déterminer précisément la cible de l'étude.
Caractéristique :
Ces bases de connaissances regroupent un ensemble de données concernant
le métier de la sécurité et exploitables pour remplir une étude. Les bases de
connaissances peuvent différer suivant les secteurs d'activité (civil, militaire...)
ou le contexte d'application du métier de la sécurité. Une base de
connaissances est fournie par défaut au sein du logiciel.
CAPSEC fournit une étude dans le contexte des unités du CNRS
Fonctionnalités
Création, chargement, sauvegarde, migration, modification, importation
Licence
LIBRE USAGE L'utilisation et l'installation du logiciel sont libres, sur un
nombre quelconque de machines, avec un nombre quelconque de personnes
l'utilisant en même temps (si le logiciel le supporte) et sans aucune restriction
de lieux, de personnes, de groupes ou de domaines d'application. La loi de
fond applicable sera la loi du donneur de licence.
CONDITIONS DE DUPLICATION Les copies sont autorisées sur
n'importe quel support sans restriction de nombre ou de personne, à la seule
condition qu'il s'agisse d'une copie intégrale du logiciel.
Contacts
DIRECTION CENTRALE DE LA SÉCURITÉ DES SYSTÈMES
D'INFORMATION (DCSSI)
51 boulevard de Latour-Maubourg 75700 PARIS 07 SP France
Site HTTP : http://www.ssi.gouv.fr
Licence
LIBRE USAGE L'utilisation et l'installation du logiciel sont libres, sur un
nombre quelconque de machines, avec un nombre quelconque de personnes
l'utilisant en même temps (si le logiciel le supporte) et sans aucune restriction
de lieux, de personnes, de groupes ou de domaines d'application. La loi de
fond applicable sera la loi du donneur de licence.
CONDITIONS DE DUPLICATION Les copies sont autorisées sur
n'importe quel support sans restriction de nombre ou de personne, à la seule
condition qu'il s'agisse d'une copie intégrale du logiciel.
Contacts
DIRECTION CENTRALE DE LA SÉCURITÉ DES SYSTÈMES
D'INFORMATION (DCSSI)
51 boulevard de Latour-Maubourg 75700 PARIS 07 SP France
Site HTTP : http://www.ssi.gouv.fr
intégrité et disponibilité.
Dans les ITSEC, le terme cible d'évaluation (Target Of
Niveau E2 : Outre les exigences du niveau E1, il doit exister une description
informelle de la conception détaillée. Les éléments de preuve des tests
fonctionnels doivent être évalués. Il doit exister un système de gestion de
configuration et un processus approuvé de diffusion.
Niveau E3 : En plus des exigences du niveau E2, le code source et/ou les
schémas descriptifs des matériels correspondants aux mécanismes de sécurité
doivent être évalués. Les éléments de preuve des tests de ces mécanismes
doivent être évalués.
publié en 1985.
Le Livre Orange n'est pas facile à lire. Il définit quatre
divisions, de la division D (protection minimale) à la
division A (protection vérifiée). À l'intérieur de ces quatre
divisions, il y a en tout sept niveaux. Chaque niveau inclut
tous les critères d'évaluation de sécurité des niveaux
précédentes, si bien que les niveaux sont placés les uns sur
les autres. Chaque niveau est désigné par la lettre de sa
division suivi d'un nombre. Plus le nombre est grand, plus
la sécurité est grande.
D - Protection minimale
Un système qui entre dans la division D
ne sera pas classé. Ces systèmes n'ont
fondamentalement pas d'autre sécurité que
la sécurité physique. Les PC fonctionnant
avec MS-DOS, ainsi que les Macintosh,
entrent tous dans cette division.
http://www.callio.fr/
https://www.clusif.asso.fr/
http://www.cramm.com
http://www.ssi.gouv.fr/fr/dcssi/
http://www.ysosecure.com
La Sécurité Informatique DESS 226 Ludovic Blin Université Paris Dauphine
http://memoireonline.free.fr/securiteinfo_ibm.htm
EBIOS Cyril DEMONCEAUX Elève-Ingénieur Supinfo Paris
Promotion SUPINFO 2004 http://www.supinfo-projects.com/fr/2004/ebios/