Académique Documents
Professionnel Documents
Culture Documents
Etude
comparative
des méthodes
d'audit dans un
Comparatif des méthodes d’audit
4
Comparatif des méthodes d’audit
Sommaire
Introduction..................................................................................................3
Menaces et risques......................................................................................4
Politique de sécurité.....................................................................................4
Audit............................................................................................................5
1. Historique............................................................................................6
2. Objectifs..............................................................................................7
3. Contenu de la norme...........................................................................7
1. EBIOS................................................................................................13
2. Melisa................................................................................................15
3. Marion...............................................................................................15
4. Mehari...............................................................................................18
Critères de choix........................................................................................23
Conclusion..................................................................................................24
Bibliographie..............................................................................................25
Webographie..............................................................................................25
Liste de figures..........................................................................................25
4
Comparatif des méthodes d’audit
Introduction
C’est dans le but de répondre à ces questions que nous devions réaliser un
comparatif global et une présentation de ces normes et méthodes à savoir
:
EBIOS
MEHARI
MELISA
MARION
ISO 27002 2005 / ISO 27002 2013
Suite à cette analyse, nous serons être capables de répondre aux deux
problématiques suivantes :
4
Comparatif des méthodes d’audit
Menaces et risques
Le risque est au centre des méthodes d’analyse de sécurité c’est pour cela
qu’il ne faut pas confondre risque et menace : La menace est une atteinte
potentielle à la sécurité d’un système. La prévention a pour but de
diminuer le degré d’exposition d’un système à la menace. Le risque est la
concrétisation de la menace sous la forme d’agressions et de sinistre
entraînant ainsi des pertes ou plus généralement des préjudices ou des
dommages.
4
Comparatif des méthodes d’audit
Politique de sécurité
Une politique de sécurité peut être vue comme l'ensemble des modèles
d'organisation, des procédures et des bonnes pratiques techniques
permettant d'assurer la sécurité du système d'information.
Mais qu'est-ce que la sécurité d'un SI ? Elle tourne autour des 5 principaux
concepts suivants : l'intégrité des données, la confidentialité de
l'information et des échanges, la disponibilité des services,
l'authentification des utilisateurs et la non répudiation des transactions.
Audit
Une norme peut être définie ainsi : c’est un document de référence basé
sur un consensus couvrant un large intérêt industriel ou économique et
établi par un processus volontaire.
4
Comparatif des méthodes d’audit
Il ne faut donc pas opposer norme et méthode, mais plutôt les associer,
une méthode sera « l’outil» utilisé pour satisfaire à une norme. Ainsi pour
mettre en œuvre efficacement la norme ISO27002, il faut s’appuyer sur
une méthode de gestion des risques de type MEHARI, MARION, EBIOS, …
1. Historique
4
Comparatif des méthodes d’audit
11 Chapitres +4 14 Chapitres +4
2. Objectifs
4
Comparatif des méthodes d’audit
3. Contenu de la norme
4
Comparatif des méthodes d’audit
4
Comparatif des méthodes d’audit
j. Chapitre n° 10 : Cryptographie
Il existe deux mesures de sécurité :
4
Comparatif des méthodes d’audit
Les salles machine doivent être conçu dans les règles de l’art,
Contrôle d’accès physique doit interdire l’accès à toute personnes
non habilitées,
Protections contre les désastres naturels, contre les attaques
malveillantes ainsi que contre les accidents.
4
Comparatif des méthodes d’audit
4
Comparatif des méthodes d’audit
4
Comparatif des méthodes d’audit
r. Chapitre n° 18 : Conformité
Il est conseillé d’identifier les législations applicables dans le pays où se
situe l’organise. Des textes peuvent formuler des exigences concernant la
sécurité des systèmes d’information que l’organisme se doit de respecter
sous peine de poursuites judiciaires ou de pénalités contractuelles. La
norme invite aussi les organismes à mettre en place un processus de
gestion des licences ainsi que des dispositifs pour éviter l’installation
illicite de logiciels. De plus la norme aborde la protection des données à
caractère personnel et la cryptographie, qui doit être utilisée
conformément aux réglementations locales. La seconde partie du chapitre
présente les mesures de sécurité conseillant de faire auditer de façon
régulière le Si tant du point de vue technique qu’organisationnel.
4
Comparatif des méthodes d’audit
1. EBIOS
Etude du contexte
Expression des besoins de sécurité
Etude des menaces
Identification des objectifs de sécurité
Détermination des exigences de sécurité
4
Comparatif des méthodes d’audit
L'étude des menaces permet d'identifier les risques en fonction non plus
des besoins des utilisateurs mais en fonction de l'architecture technique
du système d'information. Ainsi la liste des vulnérabilités et des types
d'attaques est dressée en fonction des matériels, de l'architecture réseau
et des logiciels employés. Et ce, quelles que soient leur origine (humaine,
matérielle, environnementale) et leur cause (accidentelle, délibérée).
4
Comparatif des méthodes d’audit
2. Melisa
Melisa est une méthode assez lourde basée sur un thésaurus de questions.
Elle a vocation à être utilisée par de grandes entreprises.
3. Marion
4
Comparatif des méthodes d’audit
œuvre une politique de sécurité en tant que tel. A base d'un questionnaire,
elle donne une évaluation chiffrée du risque informatique.
4
Comparatif des méthodes d’audit
L'analyse des risques permet de classer les risques selon leur criticité (en
classes : Risques Majeurs et Risques Simples). Elle procède au découpage
fonctionnel du SI pour une analyse détaillée des menaces, de leur impact
respectif et de leur probabilité. La méthode Marion définit 17 types de
menaces :
4
Comparatif des méthodes d’audit
Cette méthode par questionnaire est assez simple à mettre œuvre et est
bien rodée du fait de son âge. Son pouvoir de comparaison des entreprises
auditées est un plus indéniable.
4. Mehari
4
Comparatif des méthodes d’audit
Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les
métriques permettant de les mesurer. C'est à ce stade que le niveau de
gravité des risques encourus par l'entreprise est évalué. Il définit la
4
Comparatif des méthodes d’audit
4
Comparatif des méthodes d’audit
Masse
Méthodologi
Source Langue critique Disponible
e
d'utilisateurs
France (DCSSI et Anglais, Français et
ÉBIOS Oui Oui
Club EBIOS) autres
MÉHARI CLUSIF Français Oui Oui
Tableau 1: Tableau comparatif 1
4
Comparatif des méthodes d’audit
Critères de choix
Conclusion
Bibliographie
Webographie
http://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-
identification-des-objectifs-de-securite/
http://www.leger.ca/EBIOS/pages/articles/evaluation_methodes.htm
http://cyberzoide.developpez.com/securite/methodes-analyse-
risques/
Liste de figure