SYNTHESE DE L’ANALYSE

DES RISQUES

Nom et Prénom Rôle

Nguessie Fabiola CHEF DU GROUPE
Gassu Annan Membre
Kuete Alexis Membre
Ouanguende Parlis Membre

1
TABLE DES MATIERES

1. CONTEXTE ............................................................................................. 3
2. METHODE D’ANALYSE DES RISQUES ............................................................... 3
2.1. EBIOS .............................................................................................. 3
2.2. MEHARI............................................................................................ 4
2.3. La norme ISO/IEC 27005 ....................................................................... 4
3. TABLEAU COMPARATIF DES DIFFERENT METHODES ETUDIES ................................. 4
4. CHOIX ET JUSTIFICATIONS .......................................................................... 6
5. REFERENCES ........................................................................................... 6

LISTE DES TABLEAUX

Table 1 : Tableaux comparatifs d’un point de vue structure et outil entre EBIOS ET MEHARI (1) .......... 5
Table 2 : Tableaux comparatifs d’un point de vue structure et outil entre EBIOS ET MEHARI (2) .......... 5
Table 3 : Tableaux comparatifs d’un point de vue structure et outil entre EBIOS ET MEHARI (3) .......... 5
Table 4 : Tableau comparative du point de Vue Apports ........................................................ 5

2
1. CONTEXTE
Un risque est défini comme une situation ou un évènement pouvant impacter la
réussite d’un projet. En gestion de projet, l'analyse des risques est une approche proactive
qui vise à anticiper les évènements pouvant survenir de sorte à mieux se préparer ou à
réduire les chances qu'ils se produisent.
De nos jours, les organismes sont dépendants des performances du SI (Système
d’Information). Celui ‐ ci contient toutes les données stratégiques et est ainsi devenu le
centre névralgique de l’entreprise. Cette dépendance au SI entraine des risques, qui peuvent
remettre en cause la pérennité de l'entreprise.
L'analyse de risque permet d'identifier les dangers induits par les applications et les
systèmes informatiques, d'évaluer les risques et de définir des barrières de protection qui
vont les réduire à des niveaux acceptables.
L’entreprise MOTUC est une chaine de magasins spécialisées dans la distribution de
produits culturels ayant subi une cyber attaque le 03 avril 2019 et toute l’infrastructure est
impactée. Dans l’optique de palier à ce handicap, proposer une analyse de risque détaillée de
l’entreprise se positionne comme une solution appropriée.
Ce document est une synthèse de l’analyse des risques de l’entreprise MOTUC.

2. METHODE D’ANALYSE DES RISQUES

Il existe plusieurs méthodes d’analyse des risques, Certaines de ces méthodes, telles que
ISRAM, se focalisent sur la proposition de mesures de sécurité et sont, de ce fait, qualifiées
de quantitatives.
D’autres sont plutôt qualifiées de qualitatives dans la mesure où elles contribuent à
l’identification des risques. Elles fournissent des recommandations générales concernant les
mesures de sécurité à mettre en place. Parmi ces méthodes, nous pouvons citer ;
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), MEHARI (Méthode
Harmonisée d’Analyse de Risques), La norme ISO/IEC 27005 et plein d’autres ;

2.1. EBIOS
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une
méthode d'analyse de risque utilisée dans le domaine de la sécurité de l'information. Elle a
été développée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en
France.
La méthode EBIOS est basée sur une approche structurée qui permet de recueillir et de
formaliser les besoins de sécurité, d'identifier les menaces et les vulnérabilités, d'évaluer les
risques et de proposer des mesures de sécurité appropriées. Elle se compose de plusieurs
étapes :
La méthode EBIOS est adaptée aux organisations de toutes tailles et de tous secteurs
d'activité. Elle est largement utilisée en France et dans d'autres pays francophones pour
l'analyse de risque et la mise en place de mesures de sécurité de l'information.

3
 2.2. MEHARI
La méthode MEHARI (Méthode Harmonisée d'Analyse de Risques) est une méthode d'analyse de
risque en sécurité de l'information développée par le Club de la Sécurité de l'Information
Français (CLUSIF). Cette méthode a été créée pour répondre aux besoins des entreprises
françaises en matière de gestion des risques liés à la sécurité de l'information.
La méthode MEHARI est basée sur une approche itérative qui permet d'analyser les risques, de
les évaluer et de proposer des mesures de sécurité appropriées. Elle se compose de plusieurs
étapes :
La méthode MEHARI est largement utilisée en France et dans d'autres pays francophones pour
l'analyse de risque en sécurité de l'information. Elle est adaptée aux organisations de toutes
tailles et de tous secteurs d'activité. Elle est régulièrement mise à jour pour intégrer les
évolutions technologiques et les nouvelles menaces.

2.3. La norme ISO/IEC 27005

La norme ISO/IEC 27005 est une méthode d'analyse de risque pour la sécurité de l'information.
Cette norme fournit des directives pour l'évaluation des risques liés à la sécurité de
l'information dans une organisation. Elle s'applique à tous les types d'organisations, qu'elles
soient grandes ou petites, du secteur public ou privé.
La norme ISO/IEC 27005 est basée sur une approche systématique de l'analyse de risque, qui
comprend l'identification des actifs de l'organisation, l'évaluation des menaces potentielles,
l'analyse des vulnérabilités et l'estimation des conséquences possibles d'une violation de la
sécurité de l'information. Elle permet également d'identifier et de prioriser les mesures de
sécurité nécessaires pour réduire les risques.

3. TABLEAU COMPARATIF DES DIFFERENT METHODES ETUDIES

Critères ISO/IEC 27005
Basée sur une approche
systématique, composée
Structure
de plusieurs étapes
clairement définies.
Évaluation des risques liés
Objectifs à la sécurité de
l'information.
Tous types
d'organisations, qu'elles
Domaine d'application soient grandes ou petites,
du secteur public ou
privé.
ISO/IEC 27005 ne fournit
pas d'outils spécifiques,
Outils
mais peut être utilisé avec
des outils tiers.
Utilisée dans le monde
entier pour l'analyse de
Utilisation
risque en sécurité de
l'information.
EBIOS MEHARI
Basée sur une approche Basée sur une approche
structurée, composée de itérative, composée de
plusieurs étapes plusieurs étapes
clairement définies. clairement définies.
Analyse des risques en Analyse des risques en
sécurité de l'information sécurité de l'information
et mise en place de et mise en place de
mesures de sécurité mesures de sécurité
appropriées. appropriées.
Tous types
d'organisations, qu'elles Principalement adaptée
soient grandes ou petites, aux organisations
du secteur public ou françaises.
privé.
EBIOS propose des outils MEHARI propose des
spécifiques pour faciliter outils spécifiques pour
la mise en œuvre de la faciliter la mise en
méthode. œuvre de la méthode.
Principalement utilisée
Principalement utilisée en
en France pour l'analyse
France et dans d'autres
de risque en sécurité de
pays francophones pour
l'information.

4
 l'analyse de risque en
sécurité de l'information.
Table 1 : Tableaux comparatifs d’un point de vue structure et outil entre EBIOS ET MEHARI (1)

Voici un tableau comparatif des méthodes ISO/IEC 27005, EBIOS et MEHARI en termes de
différents critères :
Critères ISO/IEC 27005 EBIOS MEHARI
Analyse des risques Oui Oui Oui
Analyse des vulnérabilités Non Oui Oui
Plan de sécurité Oui Oui Oui
Contrôle et vérification Oui Oui Oui
Bilan de sécurité Oui Oui Oui
Adapté à toutes les tailles d'entreprise Oui Oui Oui
Conçu pour les environnements technologiques divers Oui Oui Oui
Table 2 : Tableaux comparatifs d’un point de vue structure et outil entre EBIOS ET MEHARI (2)

Critères ISO/IEC 27005 EBIOS MEHARI

Méthode ou bonne Méthode
pratique?
Documentation Standard international,
guide de mise en
oeuvre
Outil (payante ou Non, mais compatible
non) avec des outils tiers
Complexité Moyenne à élevée
Étendue Utilisée dans le monde
géographique entier
Méthode/norme à Norme internationale,
jour mise à jour en 2018
Table 3 : Tableaux comparatifs d’un point de vue structure et outil entre EBIOS ET MEHARI (3)
Méthode Méthode
Documentation complète et Documentation complète
guide de mise en oeuvre et guide de mise en
oeuvre
Payant, avec des versions Payant, avec des versions
d'essai gratuites d'essai gratuites
Moyenne Moyenne
Principalement utilisée en Principalement utilisée
France et dans d'autres pays en France
francophones
Version 2010, mise à jour Version 2.1, mise à jour
prévue en 2017

Critères ISO/IEC 27005 EBIOS MEHARI

International Organization for
Standardization (ISO) /
Auteurs
International Electrotechnical
Commission (IEC)
ISO, IEC, plusieurs organisations
Soutenu par nationales de normalisation et de
certification
Reconnaissance internationale,
guide de mise en œuvre détaillé,
Avantages
compatible avec d'autres normes
de sécurité de l'information
Peut-être complexe, manque de
Inconvénients détails sur l'analyse des
vulnérabilités
Table 4 : Tableau comparative du point de Vue Apports
Agence Nationale de la
Sécurité des Systèmes
d'Information (ANSSI)
ANSSI, autorités françaises en
matière de sécurité de
l'information
Adaptée aux risques
spécifiques de la France,
documentation détaillée,
méthodologie progressive
Peut être limitée aux risques
spécifiques de la France,
manque de détails sur certains
aspects de l'analyse des
risques
Club de la Sécurité des
Systèmes d'Information Français
(CLUSIF)
CLUSIF, entreprises et
organisations françaises en
matière de sécurité de
l'information
Documentation détaillée,
adaptée aux besoins de
l'entreprise, compatible avec
d'autres normes de sécurité de
l'information
Peut nécessiter des
connaissances techniques en
sécurité de l'information,
manque de reconnaissance
internationale

5
4. CHOIX ET JUSTIFICATIONS
En conclusion nous dirons bien que MEHARI soit une méthode bien établie, elle se disqualifie
pour notre choix en que, elle peut être considérée comme un peu limitée dans la mesure
où elle ne prend pas en compte les aspects organisationnels et de gouvernance.
EBIOS utilise une approche de classification des actifs, une évaluation quantitative des risques
et une analyse des vulnérabilités.
En prenant en compte les caractéristiques de chaque méthode et les spécificités de
l'entreprise MOTUC, nous avons opter d'utiliser la méthode ISO/IEC 27005 pour la gestion
des risques de sécurité de l'information. Cette méthode est la plus complète et la plus
reconnue au niveau international pour la gestion des risques de sécurité de l'information. Elle
permettra à l'entreprise de prendre en compte tous les aspects organisationnels et de
gouvernance nécessaires pour assurer une gestion efficace des risques de sécurité de
l'information.

5. REFERENCES
Cours sur L’analyses des risques fournit par Mr FOUDA

risque d'un l22p20.pdf 16_analyse-risques_1.

projet.pptx pdf

Modèles tableau comparatif et exemples de comparaison (edrawsoft.com)

10 méthodes de Gestion de Projet et leurs outils • Tuleap
Gestion de projet: 12 méthodologies à adopter pour piloter vos projets • Asana
Tableau de bord de projet : méthode, KPI's, et modèles (blog‐gestion‐de‐projet.com)