Université Hassan 1er

Faculté des Sciences et Techniques

Settat

Etude
comparative
des méthodes
d'audit dans un
 Comparatif des méthodes d’audit

Année universitaire 2015 - 2016

4
 Comparatif des méthodes d’audit

Sommaire

Introduction..................................................................................................3

Menaces et risques......................................................................................4

Politique de sécurité.....................................................................................4

Audit............................................................................................................5

Différence entre une méthode et une norme...............................................5

Pourquoi une norme ?..................................................................................5

La norme ISO 27002....................................................................................6

1. Historique............................................................................................6

2. Objectifs..............................................................................................7

3. Contenu de la norme...........................................................................7

Présentation des méthodes........................................................................13

1. EBIOS................................................................................................13

2. Melisa................................................................................................15

3. Marion...............................................................................................15

4. Mehari...............................................................................................18

Comparatif des méthodes..........................................................................20

Critères de choix........................................................................................23

Conclusion..................................................................................................24

Bibliographie..............................................................................................25

Webographie..............................................................................................25

Liste des tableaux......................................................................................25

Liste de figures..........................................................................................25

4
 Comparatif des méthodes d’audit

Introduction

Aujourd’hui, le monde de la sécurité d’information joue un rôle capital

dans la stratégie d’entreprise. Depuis le début de la crise, beaucoup de
chose ont changé, tant au niveau des mentalités que des ressources
techniques et humaines engagées dans la sécurité par les entreprises.

Il est toutefois difficilement concevable à l’heure actuelle d’imaginer

mettre en place des règles et des instruments destinés à assurer la
sécurité de l’information sans se baser sur des outils spécifiquement
conçus à cet effet, tant les systèmes et leurs interactions sont devenu
complexes. Il est aujourd’hui acquis qu’une entreprise se doit de
considérer sa structure de manière systémique, et chaque secteur
indépendamment. C’est là qu’interviennent les normes et méthodes,
véritables salvatrices des responsables de la sécurité des SI.

Mais quelle sont-elles réellement ? Dans quel cadre et comment les

utiliser ? Sont-elles toutes nécessaires ? Peut-on les classer ou les dissocier
les unes des autres ?

C’est dans le but de répondre à ces questions que nous devions réaliser un
comparatif global et une présentation de ces normes et méthodes à savoir
:

 EBIOS
 MEHARI
 MELISA
 MARION
 ISO 27002 2005 / ISO 27002 2013

Suite à cette analyse, nous serons être capables de répondre aux deux
problématiques suivantes :

 En quoi ces méthodes constituent un moyen de consolider le fait

qu’il s’agit bien de sécurité ?
 Quelle méthode choisir ?

4
 Comparatif des méthodes d’audit

Menaces et risques

Le risque est au centre des méthodes d’analyse de sécurité c’est pour cela
qu’il ne faut pas confondre risque et menace : La menace est une atteinte
potentielle à la sécurité d’un système. La prévention a pour but de
diminuer le degré d’exposition d’un système à la menace. Le risque est la
concrétisation de la menace sous la forme d’agressions et de sinistre
entraînant ainsi des pertes ou plus généralement des préjudices ou des
dommages.

Les causes de ces sinistres peuvent être de différentes natures, il peut

s’agir notamment de pannes, d’événements naturels, de vol de données,
d’infection par virus etc. ... Il faut être en mesure de mettre en place des
procédures pour réaliser dans des délais acceptables une reprise d’activité
(PRA, PRS).Comment sécuriser les systèmes. Tenter de sécuriser un
système d'information revient à essayer de se protéger contre les risques
liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou
des informations qu'il traite. Afin de sécuriser les Systèmes d’information
nous pouvons donc avoir recours à des méthodes ou des best practice
selon les besoins en sécurité engendrés par le SI. En effet, nous nous
tournerons vers des méthodes différentes selon le contexte dans lequel
nous évoluerons. De nombreuses questions permettront de définir s’il faut
se pencher sur une analyse, une méthode, ou des règles de bonnes
conduites. Certains systèmes sont dits sécurisés, mais ne respectent pas
les éléments de bases liés à la sécurité (par exemple la rédaction de
procédures de sécurité qui doivent être analysées par des équipes
spécialisées et améliorées dès que possible) : donc dans ces cas-là il
vaudra peut-être mieux envisager une analyse par le haut (objet du best
practice).Dans le cas d’une organisation nouvelle, ou d’une organisation
qui ne possède pas réellement de stratégie ou de politique de sécurité, il
faudra envisager une analyse par le bas (objet de la méthode ou du
parcours).

4
 Comparatif des méthodes d’audit

Politique de sécurité

Une politique de sécurité peut être vue comme l'ensemble des modèles
d'organisation, des procédures et des bonnes pratiques techniques
permettant d'assurer la sécurité du système d'information.

Mais qu'est-ce que la sécurité d'un SI ? Elle tourne autour des 5 principaux
concepts suivants : l'intégrité des données, la confidentialité de
l'information et des échanges, la disponibilité des services,
l'authentification des utilisateurs et la non répudiation des transactions.

Pour garantir la sécurité, une politique de sécurité est généralement

organisée autour de 3 axes majeurs: la sécurité physique des installations,
la sécurité logique du système d'information et la sensibilisation des
utilisateurs aux contraintes de sécurité.

Audit

Un audit de sécurité permet de mettre en évidence les faiblesses de la

mise en œuvre d'une politique de sécurité. Le problème peut venir de la
politique elle-même : mal conçue ou inadaptée aux besoins de
l'entreprise, ou bien d'erreurs quant à sa mise en application.

Des audits sont nécessaires : suite à la mise en place initiale d'une

politique de sécurité, puis régulièrement pour s'assurer que les mesures
de sécurité sont mises à niveau et que les usages restent conformes aux
procédures.

Seront abordées ici les principales méthodes employées en Europe et en

Amérique du Nord.

Différence entre une méthode et une norme

Une norme peut être définie ainsi : c’est un document de référence basé
sur un consensus couvrant un large intérêt industriel ou économique et
établi par un processus volontaire.

4
 Comparatif des méthodes d’audit

À la différence, une méthode est un moyen d’arriver efficacement à un

résultat souhaité, précis. Mais une méthode n’intègre pas la notion de
document de référence, ni la notion de consensus.

Il ne faut donc pas opposer norme et méthode, mais plutôt les associer,
une méthode sera « l’outil» utilisé pour satisfaire à une norme. Ainsi pour
mettre en œuvre efficacement la norme ISO27002, il faut s’appuyer sur
une méthode de gestion des risques de type MEHARI, MARION, EBIOS, …

Pourquoi une norme ?

Les méthodes existantes de sécurité de l’information qu'elles soient

privées (Marion, Mehari, ..) ou publics (EBIOS, …), ne constituent pas un
label de confiance pour la sécurité globale de l'entreprise, liés à leur
dimension locale et leur faible pérennité et évolutivité. C'est pour répondre
à ce besoin de confiance globale de l’économie numérique, qu'ont été
lancés des travaux pour établir des standards internationaux dans la
sécurité de l’information. Des entreprises ayant de nombreux échanges de
données avec d’autres sociétés (nationales ou internationales) ou avec de
nombreux partenaires et clients ont senti depuis une dizaine d’années la
nécessité de s'accorder sur des normes pour aider à sécuriser
l’information et les processus d’échanges. C'est cet objectif, justement, qui
a présidé à la création de cette norme ISO17799 actuellement ISO 27002.
Cette norme a pour objectif d’établir un label de confiance pour la sécurité
globale de l’information de l'entreprise

La norme ISO 27002

1. Historique

 En 1995, le standard britannique "BS 7799" qui fut créé par le

"British Standard Institue" (BSI) définit des mesures de sécurité
détaillées.
 En 1998, le BSI scinde le premier document en deux tomes : le BS
7799-1 correspondant aux codes des bonnes pratiques, et le BS

4
 Comparatif des méthodes d’audit

7799-2 correspondant aux spécifications d'un système de gestion

de la sécurité de l'information (SMSI).
 En 2000, l'Organisation internationale de normalisation (ISO) édite
la norme ISO/CEI 17799:2000 correspondant aux codes des
bonnes pratiques issues de la BS 7799.
 En 2005, deux normes sont éditées :
 ISO/CEI 17799:2005 qui remanie les domaines et objectifs,
 ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la
possibilité de certification.
 En 2007, la norme ISO/CEI 17799:2005 étant obsolète, a été
remplacée par la norme 27002 qui en reprend l'essentiel.
 En 2013, la norme a été mise à jour et son titre a été modifié. Elle
a connu de nombreuses modifications telles que :

ISO 27002:2005 ISO 27002:2013

11 Chapitres +4 14 Chapitres +4

39 Objectifs de sécurité 35 Objectifs de sécurité

133 Mesures de sécurité 113 Mesures de sécurité

La révision 2013 de la norme internationale permettra aux entreprises de

toutes tailles et secteurs d'accueillir l'évolution rapide et la complexité
accrue du management des informations et le défi constant que
représente la cybersécurité.

2. Objectifs

ISO/CEI 27002 est plus un code de pratique, qu’une véritable norme ou

qu’une spécification formelle telle que l’ISO/CEI 27001. Elle présente une
série de contrôles (35 objectifs de contrôle) qui suggèrent de tenir compte
des risques de sécurité de informations relatives à la confidentialité,
l'intégrité et les aspects de disponibilité. Les entreprises qui adoptent
l'ISO/CEI 27002 doivent évaluer leurs propres risques de sécurité de
l'information et appliquer les contrôles appropriés, en utilisant la norme
pour orienter l’entreprise. La norme ISO 27002 n'est pas une norme au
sens habituel du terme. En effet, ce n’est pas une norme de nature
technique, technologique ou orientée produit, ou une méthodologie
d'évaluation d'équipement telle que les critères communs CC/ISO 15408.

4
 Comparatif des méthodes d’audit

Elle n’a pas de caractère d'obligation, elle n’amène pas de certification, ce

domaine étant couvert par la norme ISO/CEI 27001.

3. Contenu de la norme

La norme ISO/CEI 27002 est composé de 18 chapitres dont les 4 premiers

introduisent la norme et les 11 chapitres suivants couvrent le
management de la sécurité aussi bien dans ses aspects stratégiques que
dans ses aspects opérationnels.

a. Chapitre n° 1 : Champ d'application

La norme donne des recommandations pour la gestion de la sécurité des
informations pour ceux qui sont chargés de concevoir, mettre en œuvre ou
maintenir la sécurité.

b. Chapitre n° 2 : Termes et définitions

« Sécurité de l'information » est explicitement définie comme la
«préservation de la confidentialité, l'intégrité et la disponibilité de
l'information». Ceux-ci et d'autres termes connexes sont définies plus loin.

c. Chapitre n° 3 : Structure de la présente norme

Cette page explique que la norme contient des objectifs de contrôle.

d. Chapitre n° 4 : Évaluation des risques et de traitement

ISO/CEI 27002 couvre le sujet de la gestion des risques. Elle donne des
directives générales sur la sélection et l'utilisation de méthodes
appropriées pour analyser les risques pour la sécurité des informations ;
elle ne prescrit pas une méthode spécifique, puisque celle-ci doit être
appropriée selon le contexte.

e. Chapitre n° 5 : Politique de sécurité de l'information

Il existe deux mesures de sécurité. Elles concernent la composition de la
politique de sécurité et sa revue périodique. Il s’agit de résumer les points
des articles quatre et cinq de la norme ISO 27001. Ensuite l’ISO 27002
conseille d’aborder chaque domaine relatif à la sécurité. Évoquer chaque
chapitre de la norme.

4
 Comparatif des méthodes d’audit

f. Chapitre n° 6 : Organisation de la sécurité de l'information

Il n’existe aucuns liens particuliers entre les différentes mesures de
sécurité abordées dans ce chapitre. Elles sont toutes organisationnelles.

 Répartition des rôles et responsabilités : une mesure conseille de

répartir clairement les rôles et responsabilités en matière de
sécurité. Il est également possible, selon la norme, d’identifier les
responsables pour les principaux actifs.
 Séparation des tâches : la norme recommande la séparation des
tâches dans le but de prévenir les risques de fraude et/ou de
modifications illicites. Cette recommandation est très répandue dans
le domaine financier.
 Relations avec les autorités : un grand nombre d’organismes sont
tenus d’avoir des relations avec les autorités. Ces relations doivent
être formalisées et entretenues. Les autorités avec lesquelles il faut
être en contact varient en fonction de l’activité de l’organisme.
 Relations avec les groupes de travail spécialisés : il est conseillé de
participer à des forums professionnels abordant les questions de
sécurité. Cela permet d’échanger les expériences et d’améliorer le
niveau général de sécurité.
 Gestion de projet : il est recommandé par la norme d’intégrer la
sécurité dans la gestion de projet. Le conseil donné est d’apprécier
les risques puis d’intégrer des points sécurité à tous.
 Mobilité et télétravail : cette mesure aborde les questions de la
mobilité malgré sont aspect technique. Cette mesure a pris de
l’importance avec le développement des parcs mobiles
(smartphones, tablettes).

g. Chapitre n° 7 : Sécurité des ressources humaines

Il existe un certains nombres de mesures de sécurité à prendre auprès du
personnel avant son embauche, pendant sa présence dans l’organisme,
puis à son départ :

 Avant l’embauche : il est souhaitable de préciser des critères de

sélection avant l’embauche en matière de compétence générales et
compétences en sécurité nécessaire pour chaque post. La norme

4
 Comparatif des méthodes d’audit

conseil, de plus, de formaliser dans les contrats de travail les

engagements du futur salarié en matière de sécurité.
 Pendant la durée du contrat : la direction doit faire en sorte que tout
le monde adopte un comportement adéquat par rapport à la sécurité
de l’information.
 Publication d’une charte destinée aux utilisateurs,
 Concevoir et formaliser un processus disciplinaire afin de recadrer le
personnel.
 Au départ du personnel : la norme conseil de clarifier autant que
possible les règles de sécurité qui seront applicables au salarié,
même quand il aura quitté l’entreprise.

h. Chapitre n° 8 : Gestion des actifs

Ce chapitre aborde les actifs d’information au sens large du terme comme
les supports physiques.

 Responsabilités relatives aux actifs : la norme recommande de

dresser un inventaire des actifs d’information (éléments important
en matière d’information). Elle conseil ensuite de préciser, pour
chaque actif, quelle est son utilisation nominale.
 Classification de l’information : cette partie recommande de
classifier l’information. Cela met en évidence les actifs les plus
sensibles, dans le but de mieux les protéger.
 Manipulation des supports : cette mesure rappelle qu’il est prudent
de bien penser les procédures de manipulation des supports
amovibles. La norme rappelle qu’il convient de prévoir une
procédure de destruction ou d’effacement des données lorsque les
supports amovibles sont en fin de vie.

i. Chapitre n° 9 : Contrôle d’accès

L’objectif de cette catégorie est de contrôler l’accès aux informations des
installations de traitement, d’information et des processus commerciaux.

j. Chapitre n° 10 : Cryptographie
Il existe deux mesures de sécurité :

4
 Comparatif des méthodes d’audit

 Politique de chiffrement : cette mesure conseille de chiffrer les

informations en fonction de leur sensibilité et chiffrer les échanges
lorsque les liaisons ne sont pas considérées comme sûres.
 Gestion des clés : les conséquences liées à la divulgation des clés ou
à la perte de celles-ci sont telles qu’il convient de les protéger de
façon adéquate. Les procédures doivent être correctement
formalisées.

k. Chapitre n° 11 : Sécurité physique et environnementale

Mesure de sécurité des salles machines et des autres locaux de
l’organisme :

 Les salles machine doivent être conçu dans les règles de l’art,
 Contrôle d’accès physique doit interdire l’accès à toute personnes
non habilitées,
 Protections contre les désastres naturels, contre les attaques
malveillantes ainsi que contre les accidents.

Sécurité des équipements :

 Les services généraux doivent être exploités conformément aux

spécifications du fabricant. Le câblage réseau doit être posé de telle
sorte qu’il soit difficile d’intercepter les flux,
 Le matériel doit être maintenu régulièrement afin de prévenir des
pannes et de prévoir des procédures appropriées en vue de la mise
au rebut, en fin de vie,
 Les équipements laissés sans surveillance doivent être protégés et
les postes de travail doivent être automatiquement verrouillés.

l. Chapitre n° 12 : Sécurité liée à l’exploitation

 Ce chapitre aborde de très nombreux domaine : voici les plus
importants :
 Documentation des procédures d’exploitation : la norme
recommande de documenter les procédures d’exploitation ainsi que
les conduites à tenir en cas d’erreur.
 Gestion des changements : cette mesure consiste à planifier les
changements, à en apprécier les risques et à prévoir les procédures
de mise en œuvre. Elles consistent aussi à prévoir des retours en

4
 Comparatif des méthodes d’audit

arrière en cas de problème, de vérifier que tous les acteurs

impliqués sont informés et que les différents responsables ont donné
leur accord pour le changement.
 Dimensionnement du système : des mesures doivent être prises
pour garantir la capacité de traitement du SI. Il faut également
vérifier que les nouveaux dispositifs ne vont pas consommer trop de
ressources et surveiller la charge du système et de supprimer les
équipements et les données devenues inutiles.
 Séparation des environnements : cette mesure consiste à séparer
clairement les environnements de production et ceux de
développement. Cette norme recommande de ne pas placer
d’informations sensibles dans les bases de tests.
 Protection contre les codes malveillants : la norme recommande
vivement le déploiement d’antivirus, afin de prévenir les attaques
par code malveillant.
 Sauvegardes : la norme donne des conseils sur les sauvegardes et
insiste sur le fait que des tests de restauration doivent être réalisés
périodiquement pour s’assurer de l’efficacité des processus de
sauvegarde.
 Journalisation : la norme recommande de journaliser les événements
jugés les plus pertinents. Elle conseille aussi de protéger les
journaux administrateurs. Surveillance de l’activité des
administrateurs.
 Gestion des vulnérabilités techniques : cette mesure consiste à
mettre en place une veille en vulnérabilités et à appliquer dans un
délai approprié tout correctif qui serait nécessaire.

m. Chapitre n° 13 : Sécurité des communications

Ce chapitre traite des mesures relatives à la sécurité des réseaux.

 Sécurité des services : Cette mesure recommande de spécifier avec

l’entité qui fournit le service réseau les propriétés du service rendu.
Cela concerne en autre la capacité des réseaux, leur dispositif de
continuité de service, mais également les services supplémentaires
comme le filtrage, le chiffrement…

4
 Comparatif des méthodes d’audit

 Cloisonnement des réseaux : Le cloisonnement des différents

domaines de réseau est recommandé (poste de travail, serveurs,
DMZ…).
 Transferts d’information : Il est recommandé de prendre des
dispositions techniques et organisationnelles pour sécuriser les
échanges d’information. Une des mesures recommande au
personnel de ne pas tenir de conversations confidentielles dans les
lieux publics. Une autre mesure évoque les précautions à prendre
dans la messagerie électronique.
 Engagement de confidentialité : Il est conseillé de disposer
d’engagement de confidentialité.

n. Chapitre n° 14 : Acquisition, développement et maintenance des

systèmes d’information
Il est convenu de mettre en place des mesures pour assurer la sécurité des
services réseaux. Les mesures de sécurité recommandent de protéger les
transactions contre les erreurs et les traitements incomplets. Concernant
les changements applicatifs, la norme rappelle les mesures élémentaires
(exemple : le fait d’effectuer des revues techniques après les
changements).

o. Chapitre n° 15 : Relations avec les fournisseurs

Il s’agit d’un des points le plus important de la norme.

 Relations avec les fournisseurs : Il est conseillé de rédiger une

politique de sécurité destinée aux fournisseurs, d’insérer des articles
relatifs à la sécurité des SI dans les contrats pour que les
fournisseurs s’engagent dans le domaine.
 Gestion de la prestation de service : Le fournisseur doit être en
mesure d’apporter la preuve qu’il respecte ses engagements en
matière de sécurité.

p. Chapitre n° 16 : Gestion des incidents liés à la sécurité de

l’informatique
Ce chapitre évoque toutes les mesures liées à la gestion des incidents de
sécurité de l’information.

4
 Comparatif des méthodes d’audit

 Signalement des incidents : La norme a pour but d’inciter les

utilisateurs du SI à signaler tout incident.
 Signalement des failles liées à la sécurité : Il est conseillé de signaler
sans délai toute vulnérabilité qui serait détectée.
 Appréciation des événements et prise de décision : La norme
recommande d’établir des critères pour évaluer la gravité et par
conséquence prendre les mesures adaptées.
 Tirer les enseignements des incidents : Afin d’améliorer le processus
de gestion des incidents il est recommandé d’organiser des retours
d’expérience pour comprendre les causes des incidents.
 Recueil des preuves : Il est très important de collecter des preuves
de façon fiable en cas de poursuites judiciaires.

q. Chapitre n° 17 : Aspects de la sécurité de l’information dans la

gestion de la continuité d’activité
Il est recommandé de réaliser un plan de continuité (PCA) ou de reprise
(PRA), qui doit être testé et mis à jour. De plus ce chapitre mentionne
qu’une catastrophe ne justifie pas de faire l’impasse sur la sécurité
(contrôle d’accès, chiffrement des données sensibles, protection des
données à caractère personnel).

r. Chapitre n° 18 : Conformité
Il est conseillé d’identifier les législations applicables dans le pays où se
situe l’organise. Des textes peuvent formuler des exigences concernant la
sécurité des systèmes d’information que l’organisme se doit de respecter
sous peine de poursuites judiciaires ou de pénalités contractuelles. La
norme invite aussi les organismes à mettre en place un processus de
gestion des licences ainsi que des dispositifs pour éviter l’installation
illicite de logiciels. De plus la norme aborde la protection des données à
caractère personnel et la cryptographie, qui doit être utilisée
conformément aux réglementations locales. La seconde partie du chapitre
présente les mesures de sécurité conseillant de faire auditer de façon
régulière le Si tant du point de vue technique qu’organisationnel.

4
 Comparatif des méthodes d’audit

Présentation des méthodes

1. EBIOS

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)

permet d'identifier les risques d'un SI et de proposer une politique de
sécurité adaptée aux besoin de l'entreprise (ou d'une administration). Elle
a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes
d'Information), du Ministère de la Défense (France). Elle est destinée avant
tout aux administrations françaises et aux entreprises.

La méthode EBIOS se compose de 5 guides (Introduction, Démarche,

Techniques, Outillages) et d'un logiciel permettant de simplifier
l'application de la méthodologie explicitée dans ces guides. Le logiciel libre
et gratuit (les sources sont disponibles) permet de simplifier l'application
de la méthode et d'automatiser la création des documents de synthèse. La
DCSSI possède un centre de formation où sont organisés des stages à
destination des organismes publics français. Un club d'utilisateurs EBIOS a
été créé en 2003 et constitue une communauté experte permettant le
partage des expériences. Une base de connaissances à laquelle se
connecte le logiciel EBIOS permet d'avoir à accès à la description d'un
ensemble de vulnérabilités spécifiques, de contraintes de sécurité, de
méthodes d'attaques. Elle peut être enrichie via le logiciel.

La méthode EBIOS est découpée en 5 étapes :

 Etude du contexte
 Expression des besoins de sécurité
 Etude des menaces
 Identification des objectifs de sécurité
 Détermination des exigences de sécurité

4
 Comparatif des méthodes d’audit

a. Démarche EBIOS globale

Figure 1 : Démarche globale de EBIOS

L'étude du contexte permet d'identifier quel système d'information est la

cible de l'étude. Cette étape délimite le périmètre de l'étude : présentation
de l'entreprise, architecture du système d'information, contraintes
techniques et réglementaires, enjeux commerciaux. Mais est aussi étudié
le détail des équipements, des logiciels et de l'organisation humaine de
l'entreprise.

L'expression des besoins de sécurité permet d'estimer les risques et de

définir les critères de risque. Les utilisateurs du SI expriment durant cette
étape leurs besoins de sécurité en fonction des impacts qu'ils jugent
inacceptables.

L'étude des menaces permet d'identifier les risques en fonction non plus
des besoins des utilisateurs mais en fonction de l'architecture technique
du système d'information. Ainsi la liste des vulnérabilités et des types
d'attaques est dressée en fonction des matériels, de l'architecture réseau
et des logiciels employés. Et ce, quelles que soient leur origine (humaine,
matérielle, environnementale) et leur cause (accidentelle, délibérée).

L'identification des objectifs de sécurité confronte les besoins de sécurité

exprimés et les menaces identifiées afin de mettre en évidence les risques
contre lesquels le SI doit être protégé. Ces objectifs vont former un cahier

4
 Comparatif des méthodes d’audit

des charges de sécurité qui traduira le choix fait sur le niveau de

résistance aux menaces en fonction des exigences de sécurité.

La détermination des exigences de sécurité permet de déterminer

jusqu'où on devra aller dans les exigences de sécurité. Il est évident
qu'une entreprise ne peut faire face à tout type de risques, certains
doivent être acceptés afin que le coût de la protection ne soit pas
exhorbitant. C'est notamment la stratégie de gestion du risque tel que
cela est défini dans un plan de risque qui sera déterminé ici : accepter,
réduire ou refuser un risque. Cette stratégie est décidée en fonction du
coût des conséquences du risque et de sa probabilité de survenue. La
justification argumentée de ces exigences donne l'assurance d'une juste
évaluation.

EBIOS fournit donc la méthode permettant de construire une politique de

sécurité en fonction d'une analyse des risques qui repose sur le contexte
de l'entreprise et des vulnérabilités liées à son SI.

2. Melisa

Melisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes

d'information) fut inventée par Albert Harari au sein de la Direction
Générale de l'Armement (DGA/DCN) en France. Elle a été rachetée par la
société CF6 qui en a fait la promotion pendant de nombreuses années.
Depuis le rachat de CF6 par Telindus, Melisa a été abandonnée par ses
propriétaires bien qu'elle fut largement utilisée en France.

Melisa est une méthode assez lourde basée sur un thésaurus de questions.
Elle a vocation à être utilisée par de grandes entreprises.

3. Marion

Marion (Méthodologie d'Analyse de Risques Informatiques Orientée par

Niveaux) a été développée par le CLUSIF dans les années 1980 mais a été
abandonnée en 1998 au profit de la méthode Mehari. C'est une méthode
d'audit de la sécurité d'une entreprise, elle ne permet pas de mettre en

4
 Comparatif des méthodes d’audit

œuvre une politique de sécurité en tant que tel. A base d'un questionnaire,
elle donne une évaluation chiffrée du risque informatique.

Marion repose sur l'évaluation des aspects organisationnels et techniques

de la sécurité de l'entreprise à auditer.

Elle utilise 27 indicateurs classés en 6 thématiques. Chaque indicateur se

voit attribuer une note entre 0 (insécurité) et 4 (excellent), la valeur 3
indiquant une sécurité correcte.

a. Thématiques des indicateurs de la méthode Marion

 Sécurité organisationnelle
 Sécurité physique
 Continuité
 Organisation informatique
 Sécurité logique et exploitation
 Sécurité des applications

b. Phases de déroulement de la méthode

 Phases de la méthode Marion
 Préparation
 Audit des vulnérabilités
 Analyse des risques
 Plan d'action

La phase de préparation permet de définir les objectifs de sécurité à

atteindre ainsi que le champ d'action de l'audit et le découpage
fonctionnel du SI à adopter pour simplifier la réalisation de l'étude.

L'audit des vulnérabilités consiste à répondre aux questionnaires. Ces

réponses données vont permettre de recenser les risques du SI et les
contraintes de l'entreprise. A l'issu de cet audit, sont construits une rosace
et un diagramme différentiel représentant respectivement la note
attribuée à chacun des indicateurs et les facteurs de risques
particulièrement importants.

4
 Comparatif des méthodes d’audit

Figure 2: Rosace marion

La rosace présente dans un cercle la valeur de chacun des 27 indicateurs.

Elle est un moyen de visualiser rapidement les points vulnérables du SI qui
doivent être mieux protégés.

Figure 3 : Histogramme différentiel de MARION

L'histogramme différentiel est construit avec des barre représentant

l'éloignement de chaque valeur d'indicateur à la valeur de référence 3. Cet
éloignement est pondéré avec l'importance donné au facteur mesuré. Les
indicateurs de valeur égale ou supérieure à 3 ne sont pas représentés. On
visualise ainsi les vulnérabilités du SI en fonction de leur criticités
relatives.

L'analyse des risques permet de classer les risques selon leur criticité (en
classes : Risques Majeurs et Risques Simples). Elle procède au découpage
fonctionnel du SI pour une analyse détaillée des menaces, de leur impact
respectif et de leur probabilité. La méthode Marion définit 17 types de
menaces :

c. Types de menaces Marion

 Accidents physiques
 Malveillance physique
 Carence de personnel
 Carence de prestataire
 Panne du SI

4
 Comparatif des méthodes d’audit

 Interruption de fonctionnement du réseau

 Erreur de saisie
 Erreur de transmission
 Erreur d'exploitation
 Erreur de conception / développement
 Détournement de fonds
 Détournement de biens
 Vice caché d'un progiciel
 Copie illicite de logiciels
 Indiscrétion / détournement d'information
 Sabotage immatériel
 Attaque logique du réseau

Le plan d'action propose les solutions à mettre en œuvre pour élever la

valeur des 27 indicateurs à la valeur 3 (niveau de sécurité satisfaisant) de
l'audit des vulnérabilités et atteindre les objectifs fixés en préparation. Le
coût de la mise à niveau est évalué et les tâches à réaliser pour y parvenir
sont ordonnancées.

Cette méthode par questionnaire est assez simple à mettre œuvre et est
bien rodée du fait de son âge. Son pouvoir de comparaison des entreprises
auditées est un plus indéniable.

La méthode Mehari qui lui succède va plus loin en proposant la création

complète de la politique de sécurité.

4. Mehari

Mehari (MEthode Harmonisée d'Analyse de RIsques) est développée par le

CLUSIF depuis 1995, elle est dérivée des méthodes Melisa et Marion.
Existant en langue française et en anglais, elle est utilisée par de
nombreuses entreprises publiques ainsi que par le secteur privé.

Le logiciel RISICARE développé par la société BUC SA est un outil de

gestion des risques basé sur la méthode Mehari.

La démarche générale de Mehari consiste en l'analyse des enjeux de

sécurité : quels sont les scénarios redoutés ?, et en la classification
préalable des entités du SI en fonction de trois critères de sécurité de base
(confidentialité, intégrité, disponibilité). Ces enjeux expriment les

4
 Comparatif des méthodes d’audit

dysfonctionnements ayant un impact direct sur l'activité de l'entreprise.

Puis, des audits identifient les vulnérabilités du SI. Et enfin, l'analyse des
risques proprement dite est réalisée.

Figure 4 : Schéma général de la méthode Mehari

a. Plans de la méthode Mehari

 Le Plan Stratégique de Sécurité (PSS)
 Les Plans Opérationnels de Sécurité (POS)
 Le Plan Opérationnel d'Entreprise (POE)

Figure 5 Synoptique de la démarche MEHARI

Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les
métriques permettant de les mesurer. C'est à ce stade que le niveau de
gravité des risques encourus par l'entreprise est évalué. Il définit la

4
 Comparatif des méthodes d’audit

politique de sécurité ainsi que la charte d'utilisation du SI pour ses

utilisateurs.

Les Plans Opérationnels de Sécurité définissent pour chaque site les

mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils
élaborent des scénarios de compromission et audite les services du SI. Sur
la base de cet audit, une évaluation de chaque risque (probabilité, impact)
est réalisée permettant par la suite d'exprimer les besoins de sécurité, et
par les même mesures de protections nécessaires. Enfin, une planification
de la mise à niveau de la sécurité du SI est faite.

Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par

l'élaboration d'indicateurs sur les risques identifiés et le choix des
scénarios de catastrophe contre lesquels il faut se prémunir.

Des bases de connaissances permettent d'automatiser certains calculs de

gravité des scénarios de risques, proposent des liens entre menaces et
parades...

Mehari apporte une démarche centrée sur les besoins de continuité

d'activité de l'entreprise et fournit des livrables types aidés d'un guide
méthodologie. Les audits qu'elle propose permettent la création de plan
d'actions concrets. Cette méthode permet donc de construire une politique
de sécurité destinée à pallier les vulnérabilités constatées lors des audits
du Plans Opérationnels de Sécurité et d'atteindre le niveau de sécurité
correspondant aux objectifs fixés dans le Plan Stratégique de Sécurité.

Comparatif des méthodes

Il existe de nombreuses méthodes d'analyse des risques, certaines simples

d'utilisation, avec parfois des outils logiciels en simplifiant l'utilisation.
D'autres méthodes sont réservées à des grands comptes du fait de leur
complexité et des ressources humaines impliquées. Il vous reste à choisir
la méthode qui s'applique le mieux à votre entreprise ou organisme public.

Les tableaux suivants résument ce qu’on a vu dans les chapitres

précédents :

4
 Comparatif des méthodes d’audit

A noter que la méthode MEHARI remplace actuellement les deux

méthodes MELISA et MARION donc on va se contenter de comparer les
deux méthodes MEHARI et EBIOS.

Masse
Méthodologi
Source Langue critique Disponible
e
d'utilisateurs
France (DCSSI et Anglais, Français et
ÉBIOS Oui Oui
Club EBIOS) autres
MÉHARI CLUSIF Français Oui Oui
Tableau 1: Tableau comparatif 1

Qualité ÉBIOS MÉHARI

Crédibilité Oui Oui
Authenticité Non Non
Criticité Oui Oui
Intégrité Oui Oui
Explicité Non Non
Réalisme Oui Non
Créativité Oui Oui
Exhaustivité Non Non
Congruence Oui Oui
Sensibilité Oui Non
Tableau 2 : Tableau comparatif 2

4
 Comparatif des méthodes d’audit

Tableau 3 :Tableau comparatif 3

Critères / Etapes de mise Complexité de

Documentation Outils Fonctionnalités
Méthodes en œuvre mise en œuvre
Intitulé Riche et disponible Logiciel EBIOS La mise en œuvre
en téléchargement 2010, gratuit et  Analyse des  Etablissement du de cette méthode
EBIOS gratuit sur téléchargeable sur risques contexte est facilitée par la
Langue http://www.ssi.gou le site  Maturité SSI : la  Appréciation des mise à disposition
Français v.fr/fr/guides-et- https://adullact.net DCSSI met à risques des utilisateurs de
Pays bonnes- /projects/ebios201 disposition un  Traitement des bases de
France pratiques/outils- 0/ connaissances riches
document risques
methodologiques/ et enrichissables,
Conformité décrivant une  Validation du d'un logiciel libre et
ISO 31000, 27001, approche traitement des gratuit permettant
27005 méthodologique risques de simplifier
pour déterminer  Communication et l’application et
le niveau concertation d’automatiser la
adéquat de relatives aux création des
maturité de la risques documents de
sécurité des  Surveillance et synthèse. Par
systèmes revue des ailleurs, un club
d’information risques d’utilisateurs
(http://www.ssi.g EBIOS formalise EBIOS a été créé
ouv.fr/IMG/pdf/m une démarche en 2003 et
aturitessi- itérative de constitue une
methode-2007- gestion des communauté
11-02.pdf). risques d’experts
découpée en permettant le
cinq modules : partage des
 Etude du contexte expériences.
 Etude des
événements
redoutés
 Etude des
scénarios de
menaces
 Comparatif des méthodes d’audit

 Etude des risques

 Etude des mesures
de sécurité

Tableau 4: Tableau comparatif 4

Critères / Documenta Fonctionnalit Complexité de

outils Etapes de mise en œuvre
Méthodes tion és mise en œuvre
Intitulé Riche et Un premier  Phase préparatoire La mise en œuvre
MEHARI disponible en niveau  Analyse des  Prise en compte du contexte de MEHARI ne peut
Langue téléchargem d'outil est risques  Stratégique être conduite
Français, anglais, ent gratuit directemen  Tableau de bord  Technique qu’en conjonction
allemand, … sur t inclus  Indicateurs  Organisationnel avec un logiciel ou
Pays https://www. dans la  Maturité SSI : la  Cadrage de la mission d’analyse et des feuilles de
France clusif.asso.fr/ base de méthode du traitement des risques calculs dédiés. Le
Conformité fr/production connaissan donne des  Périmètre technique démarrage de
ISO 27001, 27002, /mehari/pres ces de la indications de l’analyse nécessite
 Périmètre organisationnel
27005 entation.asp méthode, maturité de la une adaptation un
 Structure de pilotage de la mission
en utilisant capacité de peu compliquée de
les  Fixation des principaux paramètres "la base de
l'organisation d’analyse des risques
formules à gérer la connaissances".
Excel et  Grille d’acceptabilité des risques Par ailleurs, une
sécurité de  Grille des expositions naturelles
Open l'information version « MEHARI-
Office. Un  Grille d’appréciation des risques Pro » qui vise
sous toutes
manuel de  Phase opérationnelle de l’analyse principalement les
ses formes.
référence, des risques petites ou
 Comparatif des méthodes d’audit

qui est Elle permet de  Analyse des enjeux et classification moyennes

gratuit, mesurer le des actifs organisations,
explique niveau de  Echelle de valeur des privées ou
son maturité de la dysfonctionnements publiques est
utilisation. sécurité des  Classification des actifs disponible au
Il est systèmes  Tableau d’impact http://www.clusif.as
possible d’information  Diagnostic de la qualité des so.fr/fr/production/
d'adapter la à travers services de sécurité mehari/presentatio
base de plusieurs  Etablissement du schéma d’audit n.asp
données de indicateurs  Diagnostic de la qualité des
connaissan (par exemple :
services de sécurité
ces aux l'efficacité, la
 Appréciation des risques
domaines résilience, les
spécifiques aspects de  Sélection des scénarios de
de continuité). risque
l'activité,  Estimation des risques
au niveau  Phase de planification du
de traitement des risques
maturité, à
la portée et
à la
 Comparatif des méthodes d’audit

Critères de choix

Nous ne donnons pas dans ce comparatif un avis favorable ou une

préférence pour l’une ou l’autre des méthodes présentées. En outre, nous
citons ci-après quelques critères qui pourraient aider à en choisir une :

 La langue : il est important de bien comprendre le vocabulaire

employé par la méthode
 La culture du pays d’origine de la méthode : est à prendre en
considération
 La base de connaissance et les outils supportant la méthode : leur
existence est fortement souhaitable pour faciliter son utilisation
 La documentation : son existence et sa qualité sont d’un apport
certain
 La pérennité : Il est très important que l’éditeur de la méthode en
assure la pérennité
 La compatibilité: la compatibilité avec des normes internationales
doit peser énormément
 Le retour d’expérience: le support d’un club d’utilisateurs, de
forums, etc. est un atout
 L’origine géographique de la méthode, la culture du pays jouant
beaucoup sur le fonctionnement interne des entreprises et leur
rapport au risque
 L'existence d'outils logiciels en facilitant l'utilisation
 La facilité d'utilisation et le pragmatisme de la méthode
 Le coût de la mise en œuvre
 La quantité de moyens humains qu'elle implique et la durée de
mobilisation
 La taille de l'entreprise à laquelle elle est adaptée
 Le support de la méthode par son auteur, une méthode abandonnée
n'offre plus la possibilité de conseil et de support de la part son
éditeur
 Sa popularité, une méthode très connue offre un réservoir de
personnels qualifiés pour la mettre en œuvre
 Comparatif des méthodes d’audit

Conclusion

Dans ce comparatif, nous avons abordé quatre méthodes que nous

estimons les plus utilisées pour l’audit de sécurité des systèmes
d’information et d’analyse des risques. L’ISO/27002 n’est pas une
méthode mais une norme qui a l’avantage d’avoir le soutien d’un
organisme international et dont le statut lui confère une popularité native.
Elle permet de développer sa propre méthode. Par ailleurs, pour mener
efficacement une analyse des risques, il est recommandé de tenir compte
des points suivants :

 Choisir l’équipe qui conduira l’analyse des risques avant la méthode

 Intégrer l’analyse des risques au processus projet
 L’analyse des risques doit être menée progressivement mais dès le
lancement du projet, dès l’étude d'opportunité et de faisabilité d'un
système d'information et jusqu’à la fin de vie du système
 Désigner une équipe d’experts qui prendra en charge le choix et la
mise en œuvre des mesures de sécurité
 Ne pas essayer de tout faire d’une seule itération
 Comparatif des méthodes d’audit

Bibliographie

 Etude methodes analyse de risques EBIOS – MEHARI, Projet SERE :

Audit de sécurité, 2007
 Comparatif des méthodes d'audit et d'analyse des risques de
sécurité des systèmes d'information, 2014, ANSI

Webographie

 http://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-
identification-des-objectifs-de-securite/
 http://www.leger.ca/EBIOS/pages/articles/evaluation_methodes.htm
 http://cyberzoide.developpez.com/securite/methodes-analyse-
risques/

Liste des tableaux

Tableau 1: Tableau comparatif 1................................................................19

Tableau 2 : Tableau comparatif 2...............................................................19
Tableau 3 :Tableau comparatif 3................................................................20
Tableau 4: Tableau comparatif 4................................................................21

Liste de figure

Figure 1 : Démarche globale de EBIOS.......................................................13

Figure 2: Rosace marion.............................................................................15
Figure 3 : Histogramme différentiel de MARION.........................................15
Figure 4 : Schéma général de la méthode Mehari......................................17
Figure 5 Synoptique de la démarche MEHARI............................................18
Comparatif des méthodes d’audit