Académique Documents
Professionnel Documents
Culture Documents
DES RISQUES
1
TABLE DES MATIERES
1. CONTEXTE ............................................................................................. 3
2. METHODE D’ANALYSE DES RISQUES ............................................................... 3
2.1. EBIOS .............................................................................................. 3
2.2. MEHARI............................................................................................ 4
2.3. La norme ISO/IEC 27005 ....................................................................... 4
3. TABLEAU COMPARATIF DES DIFFERENT METHODES ETUDIES ................................. 4
4. CHOIX ET JUSTIFICATIONS .......................................................................... 6
5. REFERENCES ........................................................................................... 6
2
1. CONTEXTE
Un risque est défini comme une situation ou un évènement pouvant impacter la
réussite d’un projet. En gestion de projet, l'analyse des risques est une approche proactive
qui vise à anticiper les évènements pouvant survenir de sorte à mieux se préparer ou à
réduire les chances qu'ils se produisent.
De nos jours, les organismes sont dépendants des performances du SI (Système
d’Information). Celui ‐ ci contient toutes les données stratégiques et est ainsi devenu le
centre névralgique de l’entreprise. Cette dépendance au SI entraine des risques, qui peuvent
remettre en cause la pérennité de l'entreprise.
L'analyse de risque permet d'identifier les dangers induits par les applications et les
systèmes informatiques, d'évaluer les risques et de définir des barrières de protection qui
vont les réduire à des niveaux acceptables.
L’entreprise MOTUC est une chaine de magasins spécialisées dans la distribution de
produits culturels ayant subi une cyber attaque le 03 avril 2019 et toute l’infrastructure est
impactée. Dans l’optique de palier à ce handicap, proposer une analyse de risque détaillée de
l’entreprise se positionne comme une solution appropriée.
Ce document est une synthèse de l’analyse des risques de l’entreprise MOTUC.
2.1. EBIOS
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une
méthode d'analyse de risque utilisée dans le domaine de la sécurité de l'information. Elle a
été développée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en
France.
La méthode EBIOS est basée sur une approche structurée qui permet de recueillir et de
formaliser les besoins de sécurité, d'identifier les menaces et les vulnérabilités, d'évaluer les
risques et de proposer des mesures de sécurité appropriées. Elle se compose de plusieurs
étapes :
La méthode EBIOS est adaptée aux organisations de toutes tailles et de tous secteurs
d'activité. Elle est largement utilisée en France et dans d'autres pays francophones pour
l'analyse de risque et la mise en place de mesures de sécurité de l'information.
3
2.2. MEHARI
La méthode MEHARI (Méthode Harmonisée d'Analyse de Risques) est une méthode d'analyse de
risque en sécurité de l'information développée par le Club de la Sécurité de l'Information
Français (CLUSIF). Cette méthode a été créée pour répondre aux besoins des entreprises
françaises en matière de gestion des risques liés à la sécurité de l'information.
La méthode MEHARI est basée sur une approche itérative qui permet d'analyser les risques, de
les évaluer et de proposer des mesures de sécurité appropriées. Elle se compose de plusieurs
étapes :
La méthode MEHARI est largement utilisée en France et dans d'autres pays francophones pour
l'analyse de risque en sécurité de l'information. Elle est adaptée aux organisations de toutes
tailles et de tous secteurs d'activité. Elle est régulièrement mise à jour pour intégrer les
évolutions technologiques et les nouvelles menaces.
4
l'analyse de risque en
sécurité de l'information.
Table 1 : Tableaux comparatifs d’un point de vue structure et outil entre EBIOS ET MEHARI (1)
Voici un tableau comparatif des méthodes ISO/IEC 27005, EBIOS et MEHARI en termes de
différents critères :
Critères ISO/IEC 27005 EBIOS MEHARI
Analyse des risques Oui Oui Oui
Analyse des vulnérabilités Non Oui Oui
Plan de sécurité Oui Oui Oui
Contrôle et vérification Oui Oui Oui
Bilan de sécurité Oui Oui Oui
Adapté à toutes les tailles d'entreprise Oui Oui Oui
Conçu pour les environnements technologiques divers Oui Oui Oui
Table 2 : Tableaux comparatifs d’un point de vue structure et outil entre EBIOS ET MEHARI (2)
5
4. CHOIX ET JUSTIFICATIONS
En conclusion nous dirons bien que MEHARI soit une méthode bien établie, elle se disqualifie
pour notre choix en que, elle peut être considérée comme un peu limitée dans la mesure
où elle ne prend pas en compte les aspects organisationnels et de gouvernance.
EBIOS utilise une approche de classification des actifs, une évaluation quantitative des risques
et une analyse des vulnérabilités.
En prenant en compte les caractéristiques de chaque méthode et les spécificités de
l'entreprise MOTUC, nous avons opter d'utiliser la méthode ISO/IEC 27005 pour la gestion
des risques de sécurité de l'information. Cette méthode est la plus complète et la plus
reconnue au niveau international pour la gestion des risques de sécurité de l'information. Elle
permettra à l'entreprise de prendre en compte tous les aspects organisationnels et de
gouvernance nécessaires pour assurer une gestion efficace des risques de sécurité de
l'information.
5. REFERENCES
Cours sur L’analyses des risques fournit par Mr FOUDA