Marion - Marion V5

METHODE
MARION
Version 1998
Commission Méthodes
CLUB DE LA SECURITE DES SYSTEMES D’INFORMATION FRANÇAIS

30, Rue Pierre Sémard – 75009 Paris
Téléphone : 01.53.25.08.80 Fax : 01.53.25.08.88
TABLE DES MATIERES
Présentation Générale.........................................................................................................................4
1. Schéma General ..........................................................................................................................5
1.1 Concepts de base ............................................................................................................................ 5
1.2 Architecture générale de la méthode............................................................................................ 6
1.3 Résumé de la méthode ................................................................................................................... 7
1.4 Supports logiciels............................................................................................................................ 8
1.5 Compléments .................................................................................................................................. 8
1.5.1 Pondération des facteurs ............................................................................................................................. 8
1.5.2 Autres représentations graphiques .............................................................................................................. 9
2. Les Phases de la Méthode : Initialisation (phase 0) ................................................................11
2.1 La sensibilisation .......................................................................................................................... 11
2.2 Définition du champ..................................................................................................................... 11
2.2.1 Définition du SI ........................................................................................................................................ 11
2.2.2 Champ de l’étude ...................................................................................................................................... 11
2.3 Objectifs généraux ....................................................................................................................... 12
2.3.1 Objectifs d’entreprise................................................................................................................................ 12
2.3.2 Objectifs de sécurité.................................................................................................................................. 12
2.3.3 Objectifs d’assurance qualite de l’étude ................................................................................................... 13
2.4 Conventions et métriques ............................................................................................................ 13
2.4.1 Choix des critères...................................................................................................................................... 13
2.4.2 Aversion au risque .................................................................................................................................... 13
2.4.3 Autres paramètres ..................................................................................................................................... 14
2.5 Définition du système................................................................................................................... 14
2.5.1 Découpage cellulaire................................................................................................................................. 14
2.5.2 Schéma du système ................................................................................................................................... 14
2.5.3 Bases de connaissance (BC) ..................................................................................................................... 15
2.6 Préparation de l’étude ................................................................................................................. 16
2.6.1 Préparation de la Mission.......................................................................................................................... 16
2.6.2 Préparation Technique .............................................................................................................................. 16
3. Les Phases de la Méthode : analyse des vulnérabilités (Phase 1)...........................................19
3.1 Préparation ................................................................................................................................... 19
3.2 Audit de l’existant (pour chaque cellule fournisseur)............................................................... 19
3.3 Représentations graphiques ........................................................................................................ 20
3.3.1 La rosace d’audit....................................................................................................................................... 20
3.3.2 Le diagramme différentiel......................................................................................................................... 20
3.3.3 Autres représentations............................................................................................................................... 21
3.4 Compléments ................................................................................................................................ 22
3.4.1 Coût actuel de la sécurité .......................................................................................................................... 22
3.4.2 Contraintes techniques .............................................................................................................................. 22
3.4.3 Consolidation ............................................................................................................................................ 22
3.5 Préparation de la phase 2 ............................................................................................................ 23
4. Les Phases de la Méthode : Analyse des Risques (Phase 2)....................................................24
4.1 Préparation ................................................................................................................................... 24
4.1.1 Préparation des missions........................................................................................................................... 24
MARION -1- © CLUSIF 1998

4.1.2 Préparation du schéma cellulaire .............................................................................................................. 25
4.1.3 Préparation des scénarios globaux [S-GLOB] .......................................................................................... 25
4.1.4 Préparation des scénarios fonctionnels [S-FONC].................................................................................... 26
4.2 Instruction des scénarios ............................................................................................................. 27
4.2.1 Ouverture des dossiers .............................................................................................................................. 27
4.2.2 Clôture des dossiers .................................................................................................................................. 28
4.3 Synthèse......................................................................................................................................... 29
5. Les Phases de la Méthode : Plan d’Action (Phase 3) ..............................................................31
5.1 Examen des solutions ................................................................................................................... 31
5.1.1 Préparation................................................................................................................................................ 32
5.1.2 Simulations ............................................................................................................................................... 32
5.1.3 Premier ajustement ................................................................................................................................... 33
5.2 Examen de l’efficacité des solutions ........................................................................................... 33
5.2.1 Examen des solutions prioritaires ............................................................................................................. 33
5.2.2 Deuxième ajustement................................................................................................................................ 34
5.2.3 Solutions de déport ................................................................................................................................... 35
5.3 Elaboration du plan d’action ...................................................................................................... 35
5.3.1 Solutions ................................................................................................................................................... 35
5.3.2 Plannings et budgets ................................................................................................................................. 35
5.3.3 Organisation sécurité ................................................................................................................................ 35
5.3.4 Rédaction .................................................................................................................................................. 35
5.3.5 Contrôle et validation................................................................................................................................ 36
6. Annexes .....................................................................................................................................37
6.1 Critères d’impact et de potentialité ........................................................................................... 37
6.1.1 Critères d’impact (i).................................................................................................................................. 37
6.1.2 Critères de potentialité (p) ........................................................................................................................ 37
6.2 l’aversion aux risques .................................................................................................................. 39
6.3 les facteurs d’audit de MARION ................................................................................................ 41
6.4 Assurance qualité de la réalisation d’une étude MARION ...................................................... 42
6.5 Relations entre MARION et les critères d’évaluation .............................................................. 45
7. Tables Techniques.................................................................................................................46
8. Table FDIC ...............................................................................................................................50

REMERCIEMENTS
Le CLUSIF tient à mettre ici à l'honneur les personnes qui ont rendu possible la réalisation de ce
document, tout particulièrement :
Dominique BUC Buc SA
Marie-Hélène COURBIS Euriscom
Annie DUPONT Jacques Anis et Associés
Guy ESTIVAL Michelin
Jean-Marc LAMERE A.P.S.A.D
Patrick LAUTIER Compagnie Générale des Eaux
Gérard MOLINES Interbrew-Cobrew

PRESENTATION GENERALE
La Méthode MARION évolue chaque année, non seulement dans ses bases de connaissance (BC),
en fonction de l’évolution observée des menaces, des techniques informatiques et de sécurité, mais
également grâce aux expériences, de manière à être toujours plus performante. L’architecture de la
méthode peut donc aussi évoluer.
Nous décrirons dans ce document la version actuelle de MARION dénommée MARION V5.98.
La méthode est décrite ici de manière complète, mais il est bien évident que certaines tâches sont
facultatives ou difficiles à réaliser dans certains contextes (auquel cas, on procédera par une voie
plus simple). Il est évident que l’on peut appliquer la méthode avec plus ou moins de « profondeur »
selon le degré d’assurance qualité requis.
Nous décrivons la méthode dans sa version « grands systèmes centralisés et/ou répartis ». Il existe
des versions de MARION particulièrement adaptées aux environnements de petits systèmes.

1. SCHEMA GENERAL
1.1 Concepts de base
• MARION vise à produire un schéma directeur permettant aux décideurs de prendre des
décisions justifiées dans le domaine de la sécurité des systèmes d’information. La méthode
repose donc sur une approche globale, mettant en avant l’organisation, les procédures, et la
cohérence des solutions de sécurité. Le « Management de la sécurité » est au centre de la
démarche MARION.
• MARION a un but de sensibilisation et d’éducation. La méthode a privilégié la simplicité
et la clarté, en écartant les analyses sophistiquées qui n’auraient pas ajouté grand chose en
matière de justesse.
MARION est une méthode dont les principes sont compréhensibles et assimilables, afin d’être
utilisée de manière autonome dans les entreprises.
• MARION considère que la politique de sécurité ne peut être la même selon que l’on est en
face de Risques Majeurs (RM) ou de Risques Simples (RS) (frontières RM/RS).
Les RM doivent être traités au cas par cas, en donnant priorité à l’impact par rapport à la
potentialité. Les solutions doivent être exactement adaptées au contexte et on doit en vérifier
l’efficacité à l’avance, ce qui permet de les ajuster, notamment au plan organisationnel et vis-à-vis
de l’emboîtement technique/fonctionnel.
Les RM doivent également être bien cernés parce qu’ils constituent le levier décisionnel pour la DG
et la base de l’éducation et de l’engagement des personnes concernées.
A chaque RM identifié correspondront des services de sécurité bien définis (ce sont les facteurs
prioritaires, plutôt tournés vers la protection).
Les RS doivent être traités au plan global car ils constituent un ensemble non fini. Compte tenu de
la diversité des RS, il est préférable de s’appuyer sur l’expérience statistique. Toutefois, les RS sont
parfois des formes atténuées des RM et, également les mesures secondaires qui s’opposent aux RS
jouent un rôle vis-à-vis des RM. On aboutit au fait que les solutions secondaires sont pesées selon
une combinaison d’un poids statistique (corrélation générale facteur/RS) et d’un poids spécifique
(corrélation vis-à-vis de l’ensemble des risques étudiés à partir de scénarios). Les facteurs
secondaires sont plutôt tournés vers la prévention.
On insistera sur la puissance et le caractère pratique des outils et supports (bon compromis
complexité/efficacité qui guide suffisamment, tout en laissant place à la nécessaires réflexion).
• Dans MARION, on considère que la classification des enjeux ne peut se faire qu’en
situation d’examen des risques, appliquant l’adage selon lequel on ne connaît la valeur des
choses qu’après les avoir perdues.
MARION inclut donc une démarche de classification des menaces et des objets qui s’y attachent
(classification relative par rapport à la sécurité existante puis classification intrinsèque en faisant
tendre vers zéro le niveau de la sécurité).
• MARION optimise le choix des solutions, leur adaptation à l’organisation des projets
correspondants (structure, budget, planning), en se fondant sur un algorithme
d’optimisation sous contraintes.

Les conséquences des choix sont clairement exposées, ce qui permet, grâce à des simulations, de
prendre des décisions consensuelles.
• On simule les solutions préconisées en situation de risque, de manière à tester leur
efficacité, ce qui implique généralement un ajustement, notamment au plan procédural.
• MARION tend à rendre l’utilisateur du SI responsable, de façon qu’il devienne
spécificateur. Tous les mécanismes de MARION sont orientés dans ce sens.
En particulier, MARION fait le choix dans l’analyse des menaces de guider les acteurs, mais de ne
pas trop automatiser la démarche, de sorte qu’il y ait obligation de réflexion.
Ceci permet d’instruire des scénarios dans leur contexte réel, d’éviter d’oblitérer certaines
situations particulières de risque, et de concourir à bien déterminer les clés des situations de crise
qui sont souvent à l‘interface technique/fonctionnel.
1.2 Architecture générale de la méthode
La méthode est articulée en quatre phases, dont les trois actives (1,2,3) sont supportées par des
bases de connaissance (BC). La phase principale est la phase 2 d’analyse des risques supportée par
une base de menaces (MARION fournit une seule base de scénarios, mais on peut imaginer des
bases adaptées au contexte). La phase 2 est facilitée par la réalisation de la phase 1 d’analyse des
vulnérabilités, supportée par une ou plusieurs bases d’audit de vulnérabilités adaptées au type de
système d’information. L'analyse de vulnérabilités produit des indicateurs facilitant l’examen des
risques. La phase 3 de détermination des solutions repose sur un algorithme d’optimisation sous
contraintes, utilisant d’une part la classification des risques majeurs (révélés par la phase 2) pour
déterminer les solutions prioritaires, et d’autre part, le pointage des incohérences et des failles
(réalisé dans la phase 1).
PHASE 0 Tables techniques MARION

Initialisation de l’étude (pour les phases 1,2 et 3)
BC/Audit BC/Menaces
PHASE 1 PHASE 2
Analyse de vulnérabilité Analyse de risques
Indicateurs
BC/Solutions
PHASE 3
Plan d’action
Schéma global de la méthode MARION

1.3 Résumé de la méthode
La phase 0 permet de préparer concrètement le déroulement de l’étude. Il convient d’y définir les
objectifs de sécurité et les conventions d’évaluation qui en découlent. C’est en phase 0 que l’on
traitera les préalables généraux (définitions du champ, découpage fonctionnel, etc.) et techniques.
La phase 1 est fondée sur l’audit des vulnérabilités (assorti d’une analyse approfondie et d’un débat
contradictoire des justificatifs) qui permet d’inventorier et de qualifier de manière cohérente et
exhaustive les moyens de la sécurité (organisation générale et contrôles hors informatique, facteurs
socio-économiques, sécurité physique et organisation de l’informatique, sécurité des matériels et
logiciels de base, sécurité de l’exploitation, sécurité des applications informatiques). Chacun des
facteurs de sécurité est ainsi, « ausculté » par une batterie de questions largement testées et mises à
jour chaque année. Ces questions reçoivent des réponses quantitatives selon des règles établies. Il
s’agit donc d’un audit quantifié et pondéré, la pondération prenant à la fois les risques majeurs
spécifiques à chaque système d’information étudié et la pondération statistique pour les risques
simples. On en déduit ainsi une photographie objective de la situation du risque, qui se traduit en
pratique par des représentations graphiques : la rosace des facteurs (points faibles et incohérences),
le diagramme différentiel (gravités relatives) et les diagrammes de synthèse (A/E/M1 ; D/I/C2). On
recense également les contraintes générales (techniques, procédurales, budgétaires, structurelles,
humaines, etc.).
La phase 2 est celle de l’analyse des risques. Cette phase comporte des préparatifs, puis
l’instruction des menaces s’appuyant en partie sur les résultats de la phase 1.
Cette étape permet de déterminer exhaustivement et quantitativement les scénarios de risques
majeurs (RM) courus par l’entreprise. La méthode permet de découper le système d’information en
fonction (et en applications et données stratégiques) qui seront analysées dans le cadre de groupes
fonctionnels (informaticiens + utilisateurs) en utilisant une base de connaissance adéquate. Les
scénarios sont détaillés dans leurs aspects techniques et fonctionnels (ce qui permet de bien cerner
les failles majeures et d’y remédier ultérieurement) puis hiérarchisés à partir d’une convention de
mesure des conséquences (il ne s’agit pas nécessairement d’unités monétaires). Les métriques
permettent d’évaluer la gravité des risques en fonction de l’évaluation de l’impact et de la
potentialité. Les risques majeurs sont ceux pour lesquels la gravité et supérieure au seuil RM/RS.
On aboutit ainsi à une échelle des risques et une pré-classification (Disponibilité, Intégrité,
Confidentialité) des risques et des biens fonctionnels (Données, Applications).
La phase 3 aboutit au plan d’action. Cette étape permet d’analyser les moyens à mettre en œuvre ou
à améliorer, l’ordre logique dans lequel on doit intervenir (priorité), le degré d’amélioration
nécessaire pour chaque moyen sélectionné ainsi que l’ordre de grandeur du coût correspondant.
Cette étape peut être considérée comme une « boîte noire » de simulation disposant en entrée des
résultats des phases précédentes ainsi que les hypothèses de disponibilités de ressources (en francs
et en hommes) pour chacune des trois années du plan glissant. Les principes d’optimisation sont les
suivants : redressement des facteurs « prioritaires » (dont ceux de protection), pour autant que les
menaces pour lesquelles ils sont efficaces aient une gravité supérieure au seuil RM/RS, équilibrage
prévention/protection pour minimiser la charge des sinistres, redressement des facteurs
« secondaires » (incluant les prioritaires non retenus) afin d’assurer la cohérence de l’ensemble du
dispositif et d’obtenir le meilleur rapport qualité/coût. L’optimisation se déroule en fonction des
contraintes pointées en phase 1. On définit ensuite le plan technique détaillé. (La base de
connaissance MARION est utilisée afin de sélectionner des recommandations détaillées et
adaptées). Les scénarios de la phase 2 sont revus en fonction des moyens de sécurité proposés, ce
1
AEM : Accident, Erreur, Malveillance
2
DIC : Disponibilité, Intégrité, Confidentialité
qui permet d’ajuster ceux-ci de manière itérative jusqu’à ce que les risques majeurs deviennent
inférieurs à l’objectif (RM/RS). On construit en complément la solution assurance, on établit les
budgets et le planning, par année, par responsabilité, par mesure, et l’on établit le bilan
(coût/abaissement des risques majeurs et simples). On précise également la structure et
l’organisation nécessaires à l’application, au suivi et à la révision ultérieure du SDSSI3. On rédige
enfin le SDSSI sous sa forme normative.
1.4 Supports logiciels
Il existe sur le marché des logiciels qui supportent la méthode MARION. Les avantages en sont
nombreux :
• Automatisation, facilitation, fiabilisation de tâches
• Stimulations, facilitation, fiabilisation des corrections
• Gestion correcte des dossiers, analyses, éditions
• « Guide-line » automatique
• Multi-utilisation, réutilisation, utilisation pour contrôle et actualisation (évolution du Plan)
• Aspects didacticiels
• Comparaisons, consolidations
• Garantie de BC et tables techniques à jour
• Etc.
1.5 Compléments
1.5.1 Pondération des facteurs
Phase 1 : Analyse des vulnérabilités – On utilise la formule indiquée dans MARION 95, le
coefficient d’équilibrage optimal RM/RS est fonction de la catégorie socio-économique, on pourra
utiliser les chiffres suivants :
Secteur G : Secteur Global.............................................................................. 0.60
Secteur I : Secteur Finances, Banques, Assurances........................................ 0.52
Secteur II : Secteur Industrie, Agriculture...................................................... 0.64
Secteur III : Secteur Distribution, Services, Administration, Divers… ......... 0.70
On doit bien comprendre que ce calcul de pondération des facteurs n’est utile que pour l’obtention
de la note globale du site et non pour l’obtention de la note des facteurs eux-mêmes.
Par contre, cette pondération est utilisée dans l’algorithme de redressement en phase 3.
3
Shéma Directeur SSI

1.5.2 Autres représentations graphiques
Diagramme DIC : (Disponibilité, Intégrité, Confidentialité)

Ce diagramme utilise la table technique FDIC. Cette table comprenant trois colonnes D, I, C donne
pour chaque colonne un coefficient par facteur, la somme de chaque colonne est égale à 100.
On obtient la note pour chaque coefficient D, I, C en faisant la somme pour chaque colonne des
produits du coefficient de la table FDIC par la note du facteur correspondant et en divisant cette
somme par 100. Ce résultat est ensuite soustrait de 4 pour obtenir la note recherchée.
Ceci peut-être résumé sous la forme :
604
Cotation DIC = 4 - ( ∑ Fdic *Note Facteur) / 100
101
Ces trois notes D, I, C comprises entre 0 et 4 sont reportées sur un diagramme à trois branches
donnant ainsi le diagramme DIC.
On doit noter que ce diagramme n’est fonction que de l’analyse des vulnérabilités et n’est pas à
confondre avec l’échelle des risques en phase 2 donnant une classification DIC.
Diagramme AEM : (Accident, Erreur, Malveillance)
Ce diagramme utilise les tables techniques tableau TR : ces tableaux (1 exemplaire par secteur
socio-économique) comprennent 10 colonnes (une pour chaque type de risques) et donnent un
coefficient par facteur de risque ; La somme de chaque colonne est égale à 100.
Il convient en premier lieu de retenir le tableau correspondant à la catégorie socio-économique
choisie.
On choisit ensuite de regrouper les types de risques en Accident, Erreur et Malveillance ce qui nous
donnera une cotation A, E, M.
Les regroupements sont faits ainsi :
Accidents : Type 1 – Risques matériels
Type 3 – Pannes et dysfonctionnements de matériels et logiciels de base
Erreur : Type 4 – Erreurs de saisie, transmission et utilisation d’informations
Type 5 – Erreurs d’exploitation
Type 6 – Erreurs de conception et de réalisation
Malveillance : Type 2 – Vol, sabotage matériel
Type 7 – Fraude, sabotage immatériel
Type 8 – Détournement d’informations
Type 9 – Détournements de logiciels
Type 10 – Grève, départ de personnel, sécurité des personnes.
Les calculs des cotations sont faits ainsi :
Cotation A = 4 - ( ∑ TR
Type1, 3, facts
Type , I * NoteI ) / 200

Cotation E = 4 - ( ∑ TR
Typoe 4 ,5, 6 facts
Cotation M = 4 - ( ∑ TR
Type 2 , 7 ,8 , 9 ,10
Les trois cotations A, E, M sont alors reportées sur un diagramme à trois branches.
MARION - 10 - © CLUSIF 1998

2. LES PHASES DE LA METHODE :
INITIALISATION (PHASE 0)
2.1 La sensibilisation
Il s’agit d’une session structurée de une à trois heures, selon les possibilités, destinée à sensibiliser
et impliquer les décideurs de l’entreprise. Bien que cette réunion ne soit pas obligatoire, on constate
par expérience un bien meilleur « rendement » de l’étude lorsqu’on l’organise.
Le plan de session peut être le suivant :
• Définitions liminaires (étendues du SI, sécurité/qualité, phénoménologie du sinistre,
RM/RS).
• Analyse critique d’exemples concrets de sinistres (dans le même secteur d’activité) et de
leçons de cet enseignement.
• Organisation d’une politique de sécurité.
• Notions générales sur le plan de sécurité (illustré par un exemple dans le même secteur
d’activité).
• Préalables pour le lancement d’un plan de sécurité.
On peut également organiser une éducation préliminaire de certains acteurs internes qui auront à
encadrer l’étude du plan de sécurité. La première réunion du Comité de pilotage inclut une partie de
sensibilisation.
2.2 Définition du champ
2.2.1 Définition du SI
Il s’agit de préciser l’existant, en termes de :

• SI principaux : inventaire des sites, systèmes, applications principales, liens systèmes, liens
fonctionnels.
• Découpage fonctionnel.
• Découpage juridique.
2.2.2 Champ de l’étude
L’étude peut être limitée à une partie du SI. Si le SI est très complexe, on procède à une
segmentation (des fonctions, des ressources SI), de manière à analyser par sous-ensembles
cohérents. On doit donc fixer clairement le champ de l’étude :

• Nature et limites des SI pris en compte.(4)
• On notera les flux échangés à limite, entre l’intérieur et l’extérieur du champ.(5)
2.3 Objectifs généraux
2.3.1 Objectifs d’entreprise
On recensera les objectifs d’entreprise à moyen terme, que l’on cherchera à quantifier.
On s’efforcera, même s’il n’existe pas de plan d’entreprise formel et si ces objectifs ne sont pas
totalement établis, de les citer, les définir et, si possible de leur associer une métrique (niveau à
atteindre dans le temps).
Certains de ces objectifs peuvent directement concerner la sécurité, mais c’est rare.
Exemple : Objectifs stratégiques de premier niveau
1 CA ....................................................................... + 6%
2 Marge .................................................................. + 8%
3 Fonds de Roulement............................................ ≥ 100 MF
4 Productivité ......................................................... + 2%
5 Exportation.......................................................... + 10%
6 Qualité produits................................................... + 10%
7 Continuité production
8 Image
2.3.2 Objectifs de sécurité
On recensera et l’on objectivera des objectifs de sécurité qui, en principe, déroulent des objectifs
généraux.
Par exemple :
1 Perte financière due à un sinistre ≤ 100 MF
2 Interruption de fonctionnement de la production ≤ 2 jours due à l’informatique
3 Protection des recherches en cours sur les projets sensibles
4 Eviter les actes malveillants dont les conséquences seraient supérieures à 10 MF
(4)
Par exemple : informatique centrale + serveurs/LAN/stations de travail + micros « stand alone » et portables +
télécom + fax, télex + téléphone + circuits classiques (papier, oral, etc.), etc.
(5)
On analysera ultérieurement ces flux, porteurs de risques, pouvant intervenir dans l’analyse des menaces (à
l’intérieur) et dans l’analyse des responsabilités (à l’extérieur).

Ces objectifs peuvent être hiérarchisés si les domaines pris en compte dans le champ de l’étude sont
divers et si la « distance » entre le « haut » et le « bas » de l’entreprise est grande. Par exemple,
Objectif 1 « perte < 100 MF » peut être décliné en 11 « Arrêt de production produit xxx < 1 cycle »
pour le département production et à 12 « Rupture de la chaîne fournisseur yyy < 2 semaines » pour
le département achats.
D’autres objectifs de sécurité, non nécessairement directement liés aux objectifs d’entreprise
peuvent s’ajouter, concernant par exemple les priorités (de domaines), la réglementation, l’éthique,
l’éducation, la structure, etc. On peut enfin recenser ici des contraintes globales, notamment en
matière de budget, de charge, de planning, de structure, etc.
2.3.3 Objectifs d’assurance qualite de l’étude
On doit également décider du niveau de détail et de profondeur de l’étude. On décidera en

particulier sur le point de savoir si l’on désire aboutir à une classification (relative et absolue) des
objets essentiels du SI. Ce choix dépend de ce que l’on veut et ce que l’on peut en faire
(dictionnaire des données, spécifications pour un code de pratique, conception et réalisation
sécurisées d’applications, etc.).
On décidera aussi du niveau de confiance désiré (fiabilité des résultats), c’est-à-dire le niveau
standard d’assurance qualité désiré, et l’on se conformera alors aux règles pratiques
correspondantes (Cf. annexe 6.4) pour mener l’étude (le choix résulte d’un compromis niveau de
confiance/charge de l’étude).
On peut également établir à ce niveau des liens entre la démarche MARION et les Critères
d’Evaluation de la Sécurité des Systèmes d’Information (annexe 6.5).
2.4 Conventions et métriques
Cette tâche a pour objectif de concrétiser et de préciser les conventions de l’étude, et de les faire
avaliser par les décideurs.
2.4.1 Choix des critères
Les études MARION donnent généralement plus de crédibilité à l’impact (i) qu’à la potentialité (p)
dans le cadre de la mesure de la gravité (g) : A (i,p).
On retient donc en général la convention standard pour définir les classes de potentialité. En
revanche, on prendra un grand soin à définir des critères d’impact pertinents, découlant des objectifs
de sécurité (généralement un à six critères, dont un financier). On précisera la définition de chaque
niveau pour chaque critère, et la règle de composition des critères (voir annexe 6.1).
Pour préciser la métrique, de 0 à 4, on fixe d’abord le niveau du risque inacceptable (niveau >2),
ligne de partage (RM/RS) entre risques simples (RS) et risques maximaux (RM). On peut le faire
directement ou en passant par le calcul de ratios objectifs (c’est la notion de capacité pour les
impacts financiers).
2.4.2 Aversion au risque
L’entreprise peut retenir la table standard A (table prudentielle) livrée avec la méthode ou l’adapter
à sa politique de risque (voir annexe 6.2).

2.4.3 Autres paramètres
Les tables techniques de coût dépendent du secteur d’activité (I-Finance, II-Industrie, III-Autres, G-
Mixte) et de la classe du SI (KA à KE : grands à petits systèmes).
2.5 Définition du système
Cette tâche a pour objet de définir un compromis entre la maille de l’étude (niveau de détail) et la
charge qui en résultera.
2.5.1 Découpage cellulaire
On schématisera le contenu du champ de l’étude (défini en 2.2) sous la forme de « cellules

fournisseurs » de ressources SI et de « cellules clients » de fonctions utilisatrices. On identifie les
catégories de cellules fournisseurs et l’on juge de l’opportunité de les traiter en bloc ou de les
détailler (par exemple : grands systèmes, moyens systèmes, petits systèmes), ce choix étant d’abord
fondé sur l’objectif de l’étude (première étude globale ou étude détaillée), et sur l’importance
relative des sous-systèmes considérés dans le SI. Le nombre de cellules fournisseurs retenues
conditionne la charge liée à l’audit (phase 1 de MARION), mais cela joue relativement peu. En
revanche, le nombre de cellules clients retenues conditionne la charge liée à l’analyse des menaces
(phase 2 de MARION) et cela joue considérablement. On retient en général entre 10 et 20 fonctions
pour réaliser une étude MARION, et l’expérience montre que cela est tout à fait suffisant comme
compromis charge/précision des résultats.
2.5.2 Schéma du système
On peut donc avoir un schéma « simple », par exemple :
F1
F2
SI
F3
F4

… ou un schéma plus sophistiqué, par exemple :
F1
SI1
F2
SI2 F3
F4
Le schéma « client/fournisseur » représenté dans les exemples ci-dessus doit être complété par un
schéma d’intégration des cellules.
Par exemple, SI 1 et SI 2 peuvent être dépendants et il peut exister des relations d’ordre
informatique ou pas entre les cellules F. Ces relations logiques entre les cellules s’appellent des
inductions (de risques). Elles sont orientées. On se limite à celles essentielles. Par exemples :
F1
SI1
F2
SI2 F3
F4
On étudiera avec soin ce schéma cellulaire qui sera très utile dans l’analyse des menaces, afin de
bien comprendre les chaînes causales, de maîtriser la cohérence des architectures de sécurité, etc.
2.5.3 Bases de connaissance (BC)
On retient soit des BC standard MARION soit d’autres bases ciblées pour l’étude. Concernant les
bases d’audit et de solutions (qui vont de pair), leur choix découle du § 2.4.2 « Aversion au
Risque ».
Les utilisateurs s’appuient en général sur BC MARION qui propose un audit à la maille facteur (27
facteurs : Cf. annexe 6.3).

2.6 Préparation de l’étude
On réunira le Comité de pilotage afin de valider les § 2.2. à 2.5, en incluant 2.1 et un aperçu de 2.6.
2.6.1 Préparation de la Mission
On forme un Comité de pilotage (techniciens, utilisateurs, auditeurs) animé par un responsable ou

coordinateur de l’étude (qui peut être le RSSI si le poste existe). On fixe les missions de pilotage (et
l’agenda) et de contrôle de ce comité qui se réunira cinq fois pendant l’étude.
On dresse les listes d’interlocuteurs pour l’audit (par cellule fournisseur) et pour l’analyse de
menaces (par cellule client : utilisateurs + un ou deux chefs de projets informatiques). On élabore
une « note de lancement » de l’étude rappelant la décision de la DG, les objectifs, les tâches et le
planning (avec, en annexe un résumé du mode opératoire). Cette note est diffusée aux acteurs
concernés.
On assignera les règles pratiques de conduite de l’étude en fonction du niveau d’assurance qualité
retenu (Cf. § 2.3.3).
On vérifiera que les assignations et les charges sont compatibles avec les contraintes de délai, de
charge, etc. qui ont été précisées (Cf. § 2.3.2). Dans le cas contraire, on procédera aux ajustements
nécessaires.
In fine, on fixe donc un planning précis des différentes tâches, et l’on met en place une structure et
un protocole de maîtrise et de contrôle de la mission.
2.6.2 Préparation Technique
Le coordinateur de l’étude doit rassembler (ou constituer pour l’essentiel) une documentation qui
sera utile pour l’analyse des menaces : schémas informatiques et télécommunications, schémas
d’intégration des applications, schémas de circulation, matrices de contrôles informatiques, règles et
procédures, dossiers applicatifs, etc.

Planning type d’une étude MARION
(pour un grand SI)
Phase Semaines
0-1
0-2
0-3
0 0-4
0-5
0-6
1-1
1-2
1 1-3
1-4
1-5
2-1
2 2-2
2-3
3-1
3 3-2
3-3
z z z z z
Positionnement
des réunions
du Comité de Pilotage

PHASE 0 : INITIALISATION
1- SENSIBILISATION
2- DEFINITION DU CHAMP
2.1 - Définition du SI
2.2 - Champ de l’étude
3- OBJECTIFS GENERAUX
3.1 - Objectifs d’entreprise
3.2 - Objectifs de sécurité
3.3 - Objectifs d’assurance-qualité de l’étude
4- CONVENTIONS ET METRIQUES
4.1 - Choix des critères
4.2 - Aversion au risque
4.3 - Autres paramètres
5- DEFINITION DU SYSTEME
5.1 - Découpage cellulaire
5.2 - Schéma du système
5.3 - Bases de connaissance
6- 6.1 - Préparation de la mission

6.1 - Préparation technique
Résumer de la phase 0

3. LES PHASES DE LA METHODE : ANALYSE DES
VULNERABILITES (PHASE 1)
3.1 Préparation
On prépare les questionnaires d’audits retenus, affectés à leur cible « fournisseur » (Cf.§ 2.5.3), on
les adapte éventuellement pour une meilleure compréhension. (On peut ajouter des réponses type ou
des recommandations aux destinataires (Cf.§ 2.6.1) avec le « mode d’emploi » et notamment une
grille qui indique qui doit répondre à quoi. (MARION fournit une grille standard qui garantit un
auto-contrôle par plusieurs acteurs, mais on peut changer cette grille).
On précise les conventions de réponse, et surtout le protocole d’audit et de justification selon le
niveau d’assurance qualité retenu (Cf. § 2.3.3).
On peut décider de répondre une fois pour toutes à des questions générales dont la réponse est la
même quelle que soit la cellule fournisseur auditée (mais si les réponses peuvent varier selon les
cellules clients, il faut en tenir compte).
Remarque : La pondération des facteurs ou services de sécurité. Les facteurs se décomposent en
thèmes et questions. Les services se décomposent en sous-services et questions. Chaque question a
un poids intrinsèque. Il en va de même pour les thèmes ou les sous-services, ainsi que pour les
facteurs ou les services (par cumul).
* m
Le poids d’un facteur (ou d’un service) i à la forme : p = P a+ p
i
s
i i
(1 − a )
s
p i
est un poids statistique, obtenu par corrélation avec la sinistralité observée (analyse factorielle
réalisée annuellement permettant d’ajuster les tables techniques par secteur d’activité et par type de
SI). Il a un sens pour les risques simples (RS).
m
p i
est un poids spécifique par rapport aux menaces analysées en phase 2 de MARION. MARION
intègre une table de correspondance standard « type de menace/facteurs de sécurité efficaces » qui
m m
p p
permet le calcul automatique de i , pour une cellule fournisseur concernée . i a un sens pour
les risques majeurs (RM).a est ce que l’on appelle le coefficient d’équilibrage optimal RM/RS. Ce
coefficient est calculé par MARION en fonction des caractéristiques de SI, de manière à distinguer
au mieux les mesures prioritaires (visant plutôt RM) et non prioritaires (visant plutôt RS), afin de
minimiser RM + RS.
m
Bien entendu, lorsqu’on réalise chronologiquement la phase 1, on ne dispose pas encore de

pi .
Les résultats et représentations graphiques sont donc ajustés ultérieurement.
3.2 Audit de l’existant (pour chaque cellule fournisseur)
Les destinataires répondent aux questions qui les concernent et les justifient selon le protocole
retenu. Le coordinateur contrôle le processus et valide les résultats. Il contrôle plus particulièrement

les questions dont le poids p s
est élevé, et les questions pour lesquelles il y a divergence des
réponses.
Le Comité de pilotage se réunit pour analyser, discuter et finalement ajuster l’ensemble des
réponses. C’est aussi une réunion pédagogique qui permet de déceler les failles, les incohérences et
les problèmes d’organisation.
3.3 Représentations graphiques
3.3.1 La rosace d’audit
Il s’agit d’une représentation en rosace, les rayons représentent les facteurs ou services de sécurité,
le centre correspondant à la notation 0 et la circonférence à la notation 4.
Cette représentation met en lumière les failles et incohérences de la cellule fournisseur étudiée.
Exemple
101
604 4 102
603 103
602 201
3
601 301
2
505 302
1
504 303
0
503 304
502 305
501 306
403 307
402 308
401 309
311 310
3.3.2 Le diagramme différentiel
C’est une représentation en histogramme des facteurs ou services de sécurité. Chaque bâtonnet est
proportionnel à la différence entre la cotation 3 (objectif de cohérence générale dans l’échelle de 0 à
*
4) et la cotation réelle de l’existant, multipliée par le poids p du facteur ou service (par définition,
le différentiel pondéré est nul si la cotation réelle est déjà supérieure à 3).
Exemple :
140,00
120,00
100,00
80,00
60,00
40,00
20,00
0,00
101
102
103
201
301
302
303
304
305
306
307
308
309
310
311
401
402
403
501
502
503
504
505
601
602
603
604
3.3.3 Autres représentations
MARION produit des graphiques de positionnement de l’efficacité de la sécurité existante par

rapport aux conséquences possibles en D, I, C et par rapport aux causes possibles en A, E, M (grâce
à des tables techniques standard).
Exemple :
D. I. C. A. E. M.
D
4
A
3 4
2 3
1 2
0 1
C I
M E

3.4 Compléments
3.4.1 Coût actuel de la sécurité
MARION produit une évaluation des coûts actuels par facteur, type d’acteur concerné, type de coût.
Cela n’a d’autre intérêt qu’une réflexion et une sensibilisation.
Remarque : Tables de coût de MARION
Les coûts standards d’un facteur (par rapport au budget informatique standard ou en unité
monétaire) sont déterminés à partir de coefficients standard multipliés par la cotation du facteur.
Ces coefficients sont subdivisés de la manière suivante grâce à des tables techniques :
Groupes d’acteurs
Informatique Utilisateur Audit Infrastructure
Coût d’investissement
En trésorerie
En charge humaine
Au total (financier)
Coût de la maintenance annuelle
En trésorerie
En charge humaine
Coût complet de gestion (charges
de maintenance + amortissement
des investissements)
En trésorerie
En charge humaine
3.4.2 Contraintes techniques
On inventorie les réponses à 0 du questionnaire d’audit en examinant si la réponse est fondée sur
une contrainte technique inamovible dans les trois ans à venir, dans le cas où on débloquerait des
ressources.
Les « vraies » contraintes sont mémorisés de sorte que les mesures correspondantes de sécurité ne
soient pas sélectionnées dans l’algorithme d’optimisation (phase 3 de MARION).
3.4.3 Consolidation
Il est intéressant de disposer d’une synthèse des audits lorsqu’on a audité plusieurs cellules. Le
mode de consolidation n’a pas une grande importance puisqu’on ne déduira rien d’opératoire de
cette consolidation et des représentations graphiques correspondantes. MARION propose d’opérer
cette consolidation en pondérant les résultats partiels avec le poids RM relié à chaque cellule
fournisseur correspondante, tel que ce RM est déterminé en phase 2. L’opération de consolidation,
comme du reste la pondération des facteurs, ne peut être exécutée qu’après avoir achevé la phase 2.

3.5 Préparation de la phase 2
La méthode standard MARION permet de produire pour chaque cellule fournisseur auditée deux
indicateurs (SPOT et SIMP) sommaires dont la valeur est comprise entre 0 et 4, est définie pour
chaque type de scénario (par rapport aux 17 familles de la BC menaces de MARION).
SPOT : L’indicateur de potentialité » est un indicateur de la potentialité de 0 (faible) à 4 (forte) d’un
scénario donné par rapport à une cellule fournisseur causale.
SIMP : L’indicateur d’impact » est un indicateur plus complexe, précisant le degré de non limitation
des conséquences d’un scénario donné, de 0 (limitation efficace) à 4 (pas de limitation), par rapport
à une cellule causale.
La réalité, telle qu’elle est analysable et analysée en phase 2 dans son contexte réel par les acteurs
concernés, peut se révéler très différente dans certains cas de figure. Notons que SIMP doit être
manipulé avec précaution : une valeur élevée signifie que l’on n’a pas inventorié de limitation
possible et efficace du risque du scénario de menaces. Cela ne signifie pas que l’impact sera
important car cela dépend du scénario de crise et des valeurs des objets en cause, ce que seule
l’analyse contextuelle permettra de cerner. Cela ne signifie pas non plus que ce scénario se réalisera
(ceci étant lié à SPOT).
On produit donc automatiquement, grâce à des tables techniques standard d’un tableau qui a la
forme suivante (par exemple) :
Cellule fournisseur Scénarios de menace
01 02 03 04 ………… 17
01 – Grand système central 0.9/0.7 /
02 – LAN xxx client/serveur 2.2/0.0 /
Domaine yyy
03 – Départementaux …/… /
Domaine zzz
SPOT
SIMP
RESUME DE LA PHASE 1 : ANALYSE DES VULNERABILITES
1- PREPARATION
2- AUDIT DE L’EXISTANT
3- REPRESENTATION GRAPHIQUES
3.1 – La rosace d’audit
3.2 – Le diagramme différentiel
3.3 – Autres représentations
4- COMPLEMENTS
4.1 – Coût actuel de la sécurité
4.2 – Contraintes techniques
4.3 - Consolidation
5- PREPARATION DE LA PHASE 2

4. LES PHASES DE LA METHODE : ANALYSE DES
RISQUES (PHASE 2)
L’analyse est supportée par la BC Menaces de MARION, structurée en 17 menaces-type :
1. Accidents physiques
2. Malveillance physique
3. Panne du SI
4. Carence de personnel
5. Carence d’un prestataire
6. Interruption de fonctionnement du réseau
7. Erreur de saisie
8. Erreur de transmission
9. Erreur d’exploitation
10. Erreur de conception/développement
11. Vice caché d’un progiciel
12. Détournement de fonds
13. Détournement de biens
14. Copie illicite de logiciels
15. Indiscrétion, détournement d’information
16. Sabotage immatériel
17. Attaque logique du réseau
4.1 Préparation
4.1.1 Préparation des missions
Cette phase est la plus longue, la plus délicate à conduire, mais également celle qui est la plus riche
en enseignements : il convient de la préparer. L’analyse des risques est réalisée en deux temps : une
préparation technique des scénarios, avec les techniciens des cellules fournisseur concernés, puis
une instruction des scénarios avec les acteurs concernés des cellules client, afin de bien analyser les
situations de crise et de bien évaluer la gravité des menaces. On vérifie que les groupes fonctionnels
destinés à analyser les menaces dans les cellules client (cf. § 0.6.1) sont bien organisés, informés,
préparés et que le planning des interviews a été fixé (environ une demi-journée par fonction et une à
une journée et demie par fonction stratégique, si possible en deux fois.

Exemple :
NR Groupes fonctionnels Sous-fonctions Utilisateurs Informaticiens Interviewers
1 Gestion des clients et • Maj de la base clients/contrats M. Delcroix M. Jérome M. Guedan

contrats • Déclarations centrales M. Marin M. Anselme M. Marquet
• Ouvertures/fermetures M. Walek
• Gestion des comptes M Delambre
• Information clientèle
• Service Minitel
2 TP/AG • Guichet M. Marin M. Benechan M. Guedan
• Arrière guichet M. Elline M. Leroy
• Service PME M. Boris
M. Alexandre
3 Comptabilité Gale/ • Comptabilité Générale M. Benichou M. Vivien Mme Locton
Trésorerie • Trésorerie locale M. Etambeau Mme Leglu M. Marquet
• Trésorerie centrale Mme Rillet M. Heriot
• Règlements M. Heller
• Fiscalité M. Fedenas
4 Produit bancaires et • Bourse M. Hobinet M. Vivien Mme Locton
financiers • Titres M. Bineau Mme Leglu M. Marquet
• Bons d’épargne M. Nobis
• Bons de caisse M. Kleiderman
• Produits spéciaux
4.1.2 Préparation du schéma cellulaire
On vérifie que le schéma cellulaire est complet et exact (cf. § 2.5.2). L’analyse de ce schéma fournit
deux indications liminaires :
• Les liens fournisseur/client [LFC]
• Les relations d’ordre entre cellules client [RCC].
Ces indications servent pour l’instruction des scénarios (cf. § 2.5.2).
LFC sert à déterminer quelles sont les cellules fournisseur qui peuvent constituer des causes
techniques pour tel scénario de menace étudié dans une cellule client donnée.
RCC fixe les chaînes causales. Il est donc absolument indispensable de procéder à l’instruction des
scénarios dans l’ordre fixé. On a en effet besoin de connaître le comportement de la cellule amont
avant de déterminer celui de la cellule aval. Les impacts peuvent se cumuler. La potentialité finale
peut dépendre de celle de plusieurs cellules impliquées dans une chaîne causale (y compris la
cellule fournisseur).
4.1.3 Préparation des scénarios globaux [S-GLOB]
On dresse une liste des scénarios globaux à étudier pour chaque cellule fournisseur à partir des
éléments fournis par la BC Menaces (scénarios globaux), avec les techniciens de la cellule
concernée, en s’aidant éventuellement de SPOT (cf. §3.5) et en préfixant la valeur p de la
potentialité. Pour chaque scénario, on analyse (et on rédige) les conséquences techniques (et leur
incidence en termes d’impact propre à la cellule fournisseur), puis surtout les conséquences
fonctionnelles par cellule client. On décrit donc de façon détaillée, le déploiement dans le temps de
la manière dont chaque cellule client verra la dégradation des services que lui offre habituellement
la cellule fournisseur (cela dépend en principe des éléments SIMP correspondants). Cette

information est primordiale car c’est sur cette base que l’utilisateur devra définir (et chiffrer) sa
situation de crise.
Exemple
S01 – Destruction salle informatique
S02 – Destruction bâtiment
S03 – Destruction lecteur/trieur chèques
S04 – Destruction LOC NH7 télécom.
S05 – Destruction bureau micro commun
S06 – Destruction locale micro engagements
S07 – Grève informatique
S08 – Sabotage immatériel des données
S09 – Sabotage immatériel des programmes
S10 – Tête d’arrivée PTT sectionnée
S11 – Central PTT détruit
S12 – Destruction locale télécom.
4.1.4 Préparation des scénarios fonctionnels [S-FONC]
En principe, ce sont les utilisateurs du groupe fonctionnel concerné qui imagineront ces scénarios
(qui sont rappelons-le, propres à chaque fonction), puisque par construction, ce sont eux (« les
propriétaires fonctionnels ») qui connaissent le mieux la valeur des objets concernés, les procédures
(y compris celles de sécurité), et les « chemins » d’atteinte des objets stratégiques.
Remarque : 5 MARION distingue les scénarios globaux qui affectent une cellule fournisseur et dont les conséquences –
additives – se répercutent sur l’ensemble des cellules client, des scénarios fonctionnels qui visent la valeur immatérielle
d’une cellule client. Exemples de scénarios globaux : destruction physique du site, arrêt des télécommunications,
sabotage immatériel total d’un sous-ensemble (BD stratégique par exemple), grève, etc. Exemples de scénarios
fonctionnels : erreur de saisie, transmission, exploitation, fraude, sabotage immatériel partiel, etc.
Il est toutefois possible de leur faciliter la tâche en dressant une liste (scénarios fonctionnels de BC
Menaces). Cette liste peut être complétée, enrichie, diversifiée selon les fonctions par le
coordinateur sécurité (et/ou de l’auditeur interne) en fonction de son expérience et de la
connaissance qu’il a des fonctions. Ces scénarios peuvent être étudiés par les techniciens des
cellules fournisseur concernés. Ils peuvent ajouter au texte du scénario leur propre appréciation de
la potentialité (du moins du point de vue informatique) et de l’efficacité des moyens de détection et
de protection informatiques. Ils peuvent naturellement s’inspirer des éléments SPOT et SIMP pour
cela.
Exemple :
FONCTION 01 – Gestion clients et contrats
S1-01 Erreur de chaînage lien solde client
S1-02 Erreur de chaînage clients-adresses
SI-03 Chargement faux DATA SET clients
S1-04 Vol fichier clients
FONCTION 02 – TP/AG
S201 Détournement de fichier HP4
S2-02 Création compte fictif
S2-03 Fichiers erronés
S2-04 Piratage connexion agence
FONCTION 03 – Comptabilité générale / Trésorerie
S3-01 Situation trésorerie indisponible
S3-02 Divulgation de comptes
S3-03 Sabotage IFKZ
S3-04 Fraude IFKZ
FONCTION 04 – Produits bancaires et financiers
S4-01 Omission imputation mouvements source
S4-02 Mouvements comptes spéciaux
S4-03 Vol état portefeuille titres
S4-04 Fraude virements spéciaux
S4-05 Sabotage portefeuille produits spéciaux
4.2 Instruction des scénarios
(Elle est réalisée dans l’ordre du § 4.1.2 avec les éléments du § 4.1.2, selon l’organisation du §
4.1.1, et grâce aux préparations techniques du § 4.1.3 et 4.1.4).
4.2.1 Ouverture des dossiers
Un groupe fonctionnel réuni, il est nécessaire de consacrer au moins une à deux heures aux
préparatifs :
• Définitions, vocabulaires, sensibilisation
• Commentaire des objectifs de la DG
• A quoi sert le plan de sécurité
• Quels sont les techniques d’évaluation des risques
• Comment cela va concrètement se passer
On doit notamment lister les scénarios retenus (a priori) et expliquer ce que l’on en sait déjà grâce
aux préparations (cf. § 4.1.3, 4.1.4). Une première réflexion conduit à :
• Supprimer certains scénarios (généralement des S-FONC présélectionnés à tort)
• Ajouter certains scénarios (généralement des S-FONC)
• Créer des variantes signifiantes (généralement des S-FONC)
• Modifier les éléments existant des scénarios proposés (S-GLOB et S-FONC)

4.2.2 Clôture des dossiers
Rappelons le schéma général d’instruction d’un scénario en huit étapes :

Eléments fournis Instruction par le Instruction par les
par BC-Menaces coordinateur et les propriétaires
techniciens fonctionnels
Scénario 1 – CHOIX D’UN SCENARIO S GLOB S-FONC
générique (Scénario de base ou variante)
2 – DESCRIPTION DETAILLEE S-GLOB S-FONC
2.1 – Scénario technique S-FONC S-GLOB, S-FONC
2.2 – Scénario fonctionnel
Points clés à 3 – SITUATION DE CRISE PAR Description
analyser FONCTION détaillée (et calcul
des pertes
financières)
Critères d’impact 4 – EVALUATION DE L’IMPACT (impact technique +
Règles d’impact plus S-GLOB)
5 – VALIDATION DE L’IMPACT +
Règles de 6 – EVALUATION DE LA S-GLOB et simple Estimation
potentialité POTENTIALITE indication pour S- définitive pour S-
FONC FONC
7 – EVALUATION DE LA +
GRAVITE
Garanties / 8 – COUVERTURES +
Scénarios D’ASSURANCE
Généralement, on réalise les étapes 3 et 4.1 lors de l’ouverture du dossier. L’instruction réelle et la
clôture du dossier doivent être réalisées lors d’une (ou de plusieurs) réunion espacée de la première
de sorte que les membres du groupe fonctionnel aient pu réfléchir. Le cœur de l’instruction réside
dans les étapes 4.2 et 5. L’impact financier joue un rôle particulier. En effet, il est le seul à être
universel, objectif et manipulable (on peut ajouter ou comparer des impacts). Il est donc nécessaire
de chiffrer cet impact en unité monétaire, lorsque c’est possible, en plus de l’utilisation des
métriques d’impact de 0 à 4. Cette évaluation est faite par fonction. C’est à ce niveau que le rôle des
« sachants » est important (RSSI interne, expert externe), car c’est à partir de cette « image » que
l’on déterminera la gravité du risque : g=A(i,p) avec i déterminé en 4 (en se servant de SIMP, des
préparatifs et des conventions) et p déterminé en 6 (en se servant de SPOT, des préparatifs et des
conventions).
On élabore en 5 « l’étiquette » de la menace, c’est-à-dire la valeur de l’impact de D, I, C (voire
d’autres composantes). C’est également en 5 que l’on peut procéder (si ce choix a été retenu) à un
inventaire des objets sensibles et à leur classification DIC par rapport à la menace. On détermine
alors d’abord la classification relative qui sert de support pour imaginer la classification absolue,
c’est-à-dire abstraction faite de la sécurité existante. On peut alors disposer de deux lots d’étiquettes
relatives et absolues.
On peut procéder (si ce choix a été retenu) à un examen des mesures de déport (juridique et
assurance) en 8 de manière à calculer l’impact financier net (déduction faite de l’indemnisation), ce
qui permet d’évaluer l’efficacité actuelle de ces mesures, et de les ajuster ultérieurement.

4.3 Synthèse
Les divers scénarios instruits doivent être complétés et justifiés. Le coordinateur en contrôle la
cohérence et la vraisemblance. Il tient pour cela compte du poids respectif des fonctions, des
schémas d’intégration et de circulation qu’il a rassemblés (cf. § 0.6.2). Il vérifie le bon emboîtement
des éléments des scénarios (causes/conséquences, fournisseur/clients, chaînes causales, etc.), les
variantes possibles, les éventuels oublis. Il procède à la sommation des impacts pour les scénarios
globaux. Il étudie la possibilité de combinaisons de scénarios fonctionnels. Il élabore un tableau de
synthèse en classant les scénarios en ordre décroissant de la gravité, avec les informations suivantes,
en mettant en exergue ceux dont l’impact est supérieur à la capacité (niveau 2) :
• Référence et libellé du scénario
• Typologie des causes (A, E, M)
• Cellules concernées (fournisseur et client)
• Impact financier
• Impact DIC
• Potentialité
• Gravité
• Impact net.
On peut procéder à une représentation graphique en histogramme.
Exemple :
Scénario Libellé Montant Catégorie Classification
Cause DIC
S03-04 Fraude IFKZ 50 M 030
S01-03 Chargement faux DATA SET clients 35 M 013
S04-03 Vol état portefeuille titres 14 M 003
Capacité 13
S02-01 Détournement fichier HP4 10 M
S02-02 Création comte fictif 8 M
S03-03 Sabotage IFKZ 7 M
S04-04 Fraude virements spéciaux 7 M
S04-01 Omission imputation mouvements source 4 E
S04-02 Mouvements comtes spéciaux 3 E
S03-01 Situation trésorerie indisponible 3 A
S03-02 Divulgation de comptes 3 M
S02-04 Piratage connexion agence 2 M
S01-04 Vol fichier clients 2 M
S01-01 Erreur de chaînage lien solde client 1 E
S01-02 Erreur de chaînage clients-adresses 1 E
S02-03 Fichiers erronés 1 E
S04-05 Sabotage portefeuille produits spéciaux 1 E

Le comité de pilotage se réunit et passe en revue les scénarios principaux6 Il les étudie, en discute le
contenu et procède à une validation finale.
RESUME DE LA PHASE 2 : ANALYSE DES RISQUES
1- PREPARATION
1.1 – Préparation des missions
1.2 – Préparation du schéma cellulaire
1.3 – Préparation des scénarios globaux
1.4 – Préparation des scénarios fonctionnels
2- INSTRUCTION DES SCENARIOS

2.1 – Ouverture des dossiers
2.2 – Clôture des dossiers
3- SYNTHESE
6
On prévoit généralement une réunion intermédiaire et une réunion de finalisation, que l’on combine avec la levée des
choix en phase 3

5. LES PHASES DE LA METHODE : PLAN D’ACTION
(PHASE 3)
5.1 Examen des solutions
Le plan triennal est établi à partir des simulations reposant sur l’algorithme d’optimisation sous
contraintes qui est le « moteur » de la méthode MARION. On peut considérer celui-ci comme une
boîte noire, ayant pour entrée les résultats des phases 1 et 2, et pour sortie l’affectation des solutions
par année (contenu, assignation des tâches, priorités, coût en trésorerie et en charge humaine, lors
de l’investissement, puis en exploitation).
L’algorithme est exécuté pour chaque sous-ensemble « cellule fournisseur/ensemble des cellules
clients du fournisseur étudié ».
Les résultats et solutions obtenus sont définis à ce niveau. On ne prend en compte pour les cellules
clients que les scénarios de risques dans lesquels la cellule fournisseur joue un rôle causal. Lorsqu’il
y a plusieurs cellules fournisseurs, on exécute plusieurs fois l’algorithme. On consolide les éléments
de décision (charges, budgets) avant de les discuter. On sera également amené à consolider les
solutions :
• Les mesures organisationnelles et procédurales peuvent éventuellement être les mêmes,
• Certaines mesures techniques peuvent être les mêmes ou doivent être cohérentes et
compatibles.
L’algorithme a deux passes :
a) Pour optimiser l’architecture d’ensemble (niveau facteurs ou services),
b) Pour choisir les solutions adéquates (niveau thèmes ou sous-services).
Niveau facteur :
1) Solutions prioritaires :
Ce sont les solutions efficaces vis-à-vis des scénarios de risque majeur (g >2). Elles sont sélectionnées
par table et mises à niveau maximal sous contraintes.
2) Solutions secondaires :
2.1 – L’algorithme relève l’ensemble des facteurs (hors 1) de façon cohérente par niveau (n=1,2,3) en
fonction des hypothèses de ressources et sous contraintes.
2.2 – Pour un niveau maximal n atteint en fonction des hypothèses de ressources, l’algorithme relève au
niveau supérieur (n+1) sous contraintes les facteurs ayant le meilleur rapport qualité/coût.
Niveau Thème : pour un facteur relevé au niveau N, l’algorithme sélectionne les thèmes permettant d’y
parvenir au mieux selon les deux principes suivants, et en tenant compte des contraintes :
1) Sélection des thèmes selon le rapport qualité/coût, et mise à niveau 4 sous contraintes, jusqu’à obtention
de la cotation pondérée (N).
2) Prise en compte des contraintes d’ordonnancement des thèmes (table interne). « Dans la maison délabrée
où le toit et les murs sont en mauvais état, on restaure les murs avant le toit, même si le toit est en plus
mauvais état que les murs ».
Niveau Edition : les thèmes sélectionnés sont édités sous la forme de solutions générique.

Une variante de l’algorithme consiste à structurer les solutions de BC solutions par niveau d’efficacité
(normal pour les risques de gravité 0, 1, 2 ; renforcée pour la gravité 3 et très renforcée pour la gravité 4).
L’algorithme est alors modifié pour éditer les solutions en fonction de la gravité de la menace
correspondante (la plus élevée).
5.1.1 Préparation
On choisit d’abord si les évaluations de coût sont exprimées en valeurs relatives du budget
informatique ou en unité monétaire, si l’on exprime les charges humaines en mois x homme ou en
équivalent financier, si l’on désire travailler en coût de trésorerie ou en coût de gestion (frais
d’exploitation + amortissement des investissements).
On procède ensuite à une simulation de « solution de base » :
a) Mise en œuvre des solutions primaires.
b1) Mise en œuvre des solutions secondaires permettant de parvenir à un niveau de cohérence à 17.
b2) Mise en œuvre des solutions permettant de parvenir à un niveau de cohérence à 2.
B3) Mise en œuvre des solutions secondaires permettant de parvenir à un niveau de cohérence à 3.
On examine le contenu des solutions proposées ainsi que les coûts et charges correspondants pour
chaque catégorie d’acteurs concernés. On recherche en principe à atteindre le niveau « b3 » en
troisième année du plan et le niveau « a » dès la première année. C’est généralement impossible du
fait de la charge correspondante.
MARION produit des tableaux détaillés décrivant les solutions sélectionnées. Les solutions de base
constituent un point de départ pour les simulations à venir.
5.1.2 Simulations
MARION fournit divers outils tels que :

• Simulation des indicateurs (rosace des facteurs, diagramme différentiel, cotation globale)
en fonction de l’augmentation régulière des hypothèses de ressources. Les graphiques ont
une forme globalement concave mais présentent des paliers et des fronts (correspondant au
déblocage de solutions par un apport suffisant de ressources ou au franchissement d’une
contrainte d’ordonnancement interne). On peut donc retenir des hypothèses à « forte
rentabilité ».
7
Un niveau de cohérence à N caractérise un état où tous les facteurs ont une cotation au moins égale

• Simulation du contenu des solutions en fonction de l’augmentation régulière des
hypothèses de ressources. Ceci permet de fixer les ressources par année, en fonction d’un
contenu que l’on ne désire pas dépasser pour une année, ou bien à l’inverse, permet de
fixer les ressources pour la mise en œuvre d’un thème.*
Exemple :
101
604 4 102
603 103
602 3 201
601 301
2
505 302 101 2,63 L'organisation générale
1 102 3,5 Les contrôles permanents
504 303
103 2,12 La réglementation et l'audit
0 201 2,7 Les facteurs socio-économiques
503 304
301 2,45 Environnement de base
502 305 302 2,5 Le contrôle d'accès physique
501 306 303 2,65 La pollution
304 0,5 Les consignes de sécurité physique
403 307
305 0,52 La sécurité spécifique incendie
402 308
401 309 306 2,23 La sécurité spécifique dégâts des eaux
311 310
307 2,36 La fiabilité de fonctionnement des matériels informatiques
308 2,38 Les systèmes et procédures de secours.
On teste donc diverses hypothèses dont le contenu est analysé de près avec les acteurs concernés.
On opère ainsi jusqu’à aboutir à des hypothèses acceptées consensuellement (années 1, 2, 3 du Plan
d’action, vues en années 0).
5.1.3 Premier ajustement
Les contenus des solutions génériques sont adaptés au contexte et détaillés. L’examen sera
particulièrement attentif pour les solutions prioritaires. On ajuste également les coûts et charges et
l’on élabore un planning précis (attribution des tâches par acteur, planification à la maille du
semestre ou du trimestre). Ces solutions sont examinées puis pré-validées par le Comité de pilotage.
5.2 Examen de l’efficacité des solutions
5.2.1 Examen des solutions prioritaires
Les dossiers complétés (§ 3.1.3) définissent les dispositifs de sécurité préconisés. On connaît bien
en particulier le dispositif auquel on aspire en troisième année du Plan. MARION fournit des
indicateurs correspondant à cette vision prospective :

• Projection phase 1 : cotation des facteurs et thèmes, rosace des facteurs, diagramme
différentiel, indicateurs SPOT et SIMP.
• Il s’agit de simuler l’analyse des risques dans ce contexte prospectif. On procédera donc à
une simulation de la phase 2, avec ce nouveau contexte, en se limitant aux scénarios de
risques majeurs (gravité inadmissible) et pour les cellules clients les plus sensibles (afin
d’accélérer le processus).
Exemple :
SITUATION INITIALE SITUATION FINALE8
Montant i p g Montant i p g
S08 Sabotage immatériel des données 524 4 2 4 30 2,5 1 1,5

S09 Sabotage immatériel des 495 4 2 4 30 2,5 1 1,5
programmes
S02 Destruction salle informatique 462 4 2 4 10 2 1 1
S01 Prêts frauduleux 305 4 2 4 10 2 1 1
S10-03 Fraude IFKZ 75 4 3 4 35 2,5 2 2
S03-04 Chargement faux 50 4 3 4 20 2 3 2
S01-03 Chargement faux DATA SET 35 3 2 3 10 2 2 1,5
clients
S03 Destruction lecteur/trieur chèques 21 3 2 3 8 1 2 0,5
S05- Fraude virement SWIFT type A 15 3 3 3 10 2 3 1,5
02/A
S04-03 Vol état portefeuille titres 14 3 2 3 14 3 1 3
S10-06 Sabotage calcul amortissement 14 3 1 3 10 2 1 1
S07 Grève informatique 13 3 2 3 13 3 2 2
5.2.2 Deuxième ajustement
Cette simulation présente un grand intérêt pédagogique : explication des liens entre les risques et les
solutions, mise en lumière des aspects organisationnels, implication des « prioritaires fonctionnels »
(les gravités ne seront réduites que pour autant que les acteurs accepteront de faire fonctionner
correctement les solutions après ajustement).
Cette simulation permet en outre d’ajuster les solutions, quelquefois au plan technique, mais la
plupart du temps au plan procédural. C’est là un point fort de MARION que d’élaborer les
procédures de sécurité (techniques et fonctionnelles) dans le contexte d’une simulation concrète. On
travaille de manière itérative jusqu’à atteindre l’objectif recherché (aucune gravité supérieure à 2).
Ceci peut nécessiter d’adapter les hypothèses de ressources, ou de débloquer certaines contraintes.
Il se peut aussi que l’on ne sache pas réduire certains risques. Il convient de l’expliquer clairement.
8
Après mesures techniques et assurance.

5.2.3 Solutions de déport
Il s’agit de solutions de type juridique et assurance. On examine d’abord les solutions de déport
relatives aux risques que l’on ne parvient pas à réduire suffisamment grâce aux solutions techniques
et procédurales. On examine dans un deuxième temps, mais sous l’angle de l’optimisation
économique seulement, le déport des catégories de risques, quelle que soit leur gravité.
On élabore ainsi un plan précis et justifié d’assurance (risques / garanties, capitaux à assurer,
plafond et limites contractuels d’indemnisation, franchises, conditions). Il se peut toutefois qu’il
demeure encore des risques insupportables
5.3 Elaboration du plan d’action
(Synthèse des éléments obtenus à partir des diverses cellules fournisseurs).
5.3.1 Solutions
On consolide les solutions relatives aux cellules (fournisseurs et clients). On vérifie que les livres de
solutions sont bien disponibles, classés par année du plan, par projet (regroupant des facteurs qui
doivent être traités ensemble), par cellule, et par catégorie d’acteurs concernés.
5.3.2 Plannings et budgets
On élabore les documents consolidés planning (projet, tâche, catégorie d’acteur / année, trimestre
ou semestre) et budget (à la même taille), en trésorerie et en charge humaine (on ajoute les coûts
liés au § 3.2.3). On peut établir un bilan « coût / abaissement de la gravité ».
5.3.3 Organisation sécurité
On préconise pour le futur :

• Une structure et une organisation sécurité adéquates
• Des procédures adaptées (par exemple codes de pratique et d’éthique)
• Le mode de préparation, de lancement, et de contrôle des projets définis (Cf. § 3.3.1)
• Le mode de contrôle interne, d’audit interne et externe
• Les tableaux de bord à mettre en œuvre
• Une politique formelle d’engagements de moyens (par rapport aux projets avec un contrôle
des vulnérabilités) et/ou de résultats (par rapport aux gravités excédentaires des RM avec
un contrôle des risques).
• La politique d’éducation
5.3.4 Rédaction
On finalise la rédaction du plan de sécurité sous la forme adéquate (actuellement standardisée) dont
la structure est généralement la suivante :
• Le schéma directeur ou plan de sécurité (environ 120 à 200 pages, non confidentiel)

• La note de synthèse (résultats et présentation pour la DG, 20 à 30 pages, non confidentiel)
• Les annexes (confidentielles) :
a) Justificatifs de l’audit (questionnaire remplis, éditions techniques, justificatifs, etc., 200 à 400
pages)
b) Justificatifs des risques (dossiers scénarios, justificatifs, etc., 200 à 400 pages)
c) Les solutions (dossiers détaillés, tableaux techniques, 200 à 400 pages)
d) Les annexes générales (schémas d’intégration et de circulation, documents techniques, etc., 50 à
150 pages)
5.3.5 Contrôle et validation
Le comité de pilotage se prononce sur les derniers ajustements. La note de synthèse est expliquée à
la DG. Il peut y avoir encore ajustement. Le plan définitif est formalisé puis diffusé (pour la partie
non confidentielle) aux « ayants droits ».
RESUME DE LA PHASE 3 : PLAN D’ACTION
1- EXAMEN DES SOLUTIONS

1.1 – Préparation
1.2 – Simulations
1.3 – Premier ajustement
2- EXAMEN DE L’EFFICACITE DES SOLUTIONS

2.1 – Examen des solutions prioritaires
2.2 – Deuxième ajustement
2.3 – Solution de déport
3- ELABORATION DU PLAN D’ACTION

3.1 – Solutions
3.2 – Plannings et budgets
3.3 – Organisation sécurité
3.4 – Rédaction
4.5 – Contrôle et validation

6. ANNEXES
6.1 Critères d’impact et de potentialité
6.1.1 Critères d’impact (i)
L’impact (potentiel) d’une menace est généralement analysé selon plusieurs critères, dont au moins
un est financier. Ces critères doivent être pertinents au regard des objectifs stratégiques de
l’entreprise, et la métrique associée à ces critères doit elle-même être cohérente avec les
caractéristiques quantitatives de ces objectifs.
Nous présentons ci-après un exemple de table de critères d’impact avec leur métrique. Cet exemple
n’est que symbolique : dans la réalité, le choix des critères, et surtout le calibrage de la métrique (en
particulier le niveau 2 qui marque la frontière conventionnelle RM/RS) doivent faire l’objet d’une
étude approfondie. Les définitions elles-mêmes n’occupent pas – comme dans notre exemple –
quelques lignes mais une ou plusieurs pages définissant avec précision les différents cas de figure.
Plus cette grille sera précise (et s’approchera de la diversité des conséquences de sinistres), et plus
l’évaluation de l’impact sur le terrain sera précise.
6.1.2 Critères de potentialité (p)
La potentialité est un élément plus subjectif que l’impact. Il n’est pas intrinsèque, mais lié à un cas
précis de risque(r), par exemple (rk). Pour un type de risque (r), on a donc en général une série de
couples possibles (ik, rk), dont on conserve celui pour lequel la gravité est maximale, ce qui
correspond généralement à la valeur maximale de ik (avec pk ≠ 0) si l’on utilise la table d’aversion
standard de MARION.
Bien que p soit homogène à une probabilité d’occurrence de (r), elle n’obéit pas aux même lois. Elle
sert essentiellement de modérateur dans l’appréciation de (i) : elle permet aux utilisateurs de citer
des scénarios catastrophiques, tout en considérant que ceux-ci sont peu plausibles. On utilise
généralement une échelle grossière qui se révèle suffisante dans la pratique.

Impact 0à1 1à2 2à3 3à4
Critères peu grave moyennement grave très grave extrêmement grave
Baisse de la Arrêt de production Arrêt de production Arrêt de plus de 10 Arrêt de plus de 10

production d’une des usines total pendant au % de la production % de la production
pendant au moins 5 moins 5 jours totale, sur au moins totale, sur au moins
jours 3 mois un an
Baisse des ventes Baisse de plus de 5 Baisse de Baisse de Baisse de

% pendant plus de 3 l’exportation de l’exportation de l’exportation de
mois plus de 5 % sur 3 plus de 10 % sur 3 plus de 10 % sur
mois ou baisse sur mois ou baisse sur plus de 9 mois
le marché national le marché national
de plus de 10 % sur de plus de 20 % sur
1 mois 1 mois
Pertes financières 5 MF 25 MF 100 MF 300 MF

accidentelles
Pertes financières 1 MF 5 MF 10 MF 30 MF
dues à des
malveillances
Pertes de Fuite d’informations Fuite d’informations Fuite d’informations Fuite d’informations

confidentialité sensible, sans sensibles, pouvant sensibles, pouvant sensibles, pouvant
conséquence entraîner la perte de entraîner la perte de entraîner la perte de
importante marchés marchés marchés
évaluable à moyen stratégiques, mais stratégiques, stratégiques,
terme sans remettre en pouvant remettre en pouvant remettre en
cause la position de cause la position de cause la position de
la société au plan la société au plan la société au plan
européen et mondial européen mondial
Exemple de grille d’impact

0 Impossible : le sinistre ne peut survenir
1 Improbable : le sinistre est hautement improbable et ne surviendra donc probablement
jamais
2 Peu probable : le sinistre est très peu probable, mais il est possible. Il peut survenir un
jour sous une forme ou une autre
3 Possible : le sinistre est possible. On le rencontrera sûrement pendant la durée de vie de
l’entreprise
4 Très possible : le sinistre est très possible. Il surviendra probablement à court ou moyen
terme
Table standard de potentialité

6.2 l’aversion aux risques
Les risques (r) sont caractérisés par leur gravité gr. Celle-ci dépend de leur impact (ir) et de leur
potentialité (pr) (voir annexe 1)
gr = A(Ir, Pr)
Métrique : 0 ≤ (g, i, p) ≤ 4
Une menace est supportable si i > 2

Un risque est insupportable si g > 2
La gravité est définie dans le cadre d’une échelle de 0 à 4, déduite de l’estimation de i et de p.

L’impact i est aussi évalué entre 0 et 4 selon les critères d’impact.
La potentialité p est homogène à une probabilité. Cet indicateur – forcément moins fiable que i –
varie entre 0 et 4.
Pour chaque scénario de menace, on peut considérer un certain nombre de variantes caractérisées
par des couples (i, p), généralement ordonnés en Gaussienne :
p
P1
S1
P2
S2
P3 S3
i1 i2 i3 i
L’impact est généralement évalué sur un exercice comptable et parfois davantage (risques majeurs).
Dans le premier cas, i incorpore si nécessaire une fréquence (pour les risques simples). Par exemple,
il est plausible (p = 3) d’envisager dix pannes d’impact a, correspondant au total à i = 2.
Lorsqu’on évalue plusieurs variables, dont généralement une évaluation à i maximum pour p > 0,
on recherche la gravité maximale :
g* = Max (g1, g2, g3) dans notre exemple.
Ceci dépend naturellement de la forme de A. S’il s’agit de la table standard, g* correspondra
souvent à g (i Max, p ≠ 0).
La table d’aversion présentée est dite « raisonnablement prudentielle ». C’est la table standard que
nous proposons pour MARION mais qui peut être adaptée à la politique d’aversion de chaque
entreprise, c’est à dire que :
g ≡ i si i ≥ 3 (sauf si p ≡ 0)
g ~ i si 2 < i <3 (sauf si p ≡ 0)
g ≡ A- (i, p) ≤ i si i ≤ 2.

On peut imaginer des politiques purement prudentielles, telle que MARION originelle où g ≡ i ∀p,
sauf si p ≡ 0.
Dans ce cas, on n’accorde aucune confiance à l’estimation de p, ou l’on estime qu’elle est
implicitement prise en compte dans les scénarios retenus et dans i.
On peut imaginer des politiques de jeu où l’on ne tient pratiquement compte que de p. C’est le cas
lorsque les impacts sont relativement conformes ou inconnus. C’est aussi le cas de l’approche
fiabiliste.
On peut imaginer des politiques fondées sur l’espérance mathématique (E ~ i p). On accorde alors
le même rôle à i et à p. Par exemple g = (i p) ½.
Chaque entreprise doit adapter A en fonction de la politique générale de gestion de risques.
La réflexion porte sur chaque case de A en se fondant sur l’analyse d’aversion. Par exemple, soit un
risque Rx, y caractérisé par gx, z = A (x, y).
On se pose alors des questions d’aversions relatives par rapport aux cases voisinantes :
gx, y > gx -1, y ?
gx, y > gx, y – 1 ?
gx, y > gx -1, y – 1 ?
L’impact peut être analysé de manière qualitative (échelle universelle) et/ou quantitative selon les
critères d’impact. Ceux-ci peuvent être uniques pour l’entreprise ou adaptés par activité (mais il faut
qu’il y en ait quelques-uns qui permettent la consolidation).
L’impact sera évalué pour chaque critère. On en fera ensuite la synthèse (avec, éventuellement,
mais non nécessairement, une règle de composition imposée).
L’évaluation pourra en outre, si cela est possible, indiquer une évaluation quantitative (financière)
de l’impact de tout ou partie des scénarios.
P/I 0 0,5 1 1,5 2 2,5 3 3,5 4
0 0 0 0 0 0 0 0 0 0
1 0 0 0 0,5 1 1,5 3 3,5 4
2 0 0 0,5 1 1,5 2 3 3,5 4
3 0 0,5 1 1,5 2 2,5 3 3,5 4
4 0 0,5 1 1,5 2 2,5 3 3,5 4
Table d’aversion standard de MARION

6.3 les facteurs d’audit de MARION
Un audit MARION est réalisé par facteurs (maille universelle quel que soit le système) qui se
décomposent en thèmes et en questions (dont la nature, le nombre, et le contenu dépendent du
système analysé).
101 L’ORGANISATION GENERALE

SECURITE 102 LES CONTROLES PERMANENTS
ORGANISATIONNELLE 103 LA REGLEMENTATION ET L’AUDIT
201 LES FACTEURS SOCIO-ECONOMIQUES
301 L’ENVIRONNEMENT DE BASE

302 LE CONTROLE D’ACCES PHYSIQUE
SECURITE PHYSIQUE 303 LA POLLUTION
304 LES CONSIGNES DE SECURITE PHYSIQUE
305 LA SECURITE SPECIFIQUE INCENDIE
306 LA SECURITE SPECIFIQUE DEGATS DES EAUX
307 LA FIABILITE DE FONCTIONNEMENT DES
MATERIELS INFORMATIQUES
CONTINUITE 308 LES SYSTEMES ET PROCEDURES DE SECOURS
309 LES PROTOCOLES UTILISATEURS

ORGANISATION INFORMATICIENS
INFORMATIQUE 310 LE PERSONNEL INFORMATIQUE
311 LES PLANS INFORMATIQUE ET DE SECURITE
401 LA SECURITE LOGIQUE DE BASE

402 LA SECURITE DES TELECOMMUNICATIONS
403 LA PROTECTION DES DONNES
SECURITE LOGIQUE ET 501 L’ARCHIVAGE / DESARCHIVAGES
EXPLOITATION 502 LA SAISIE ET LE TRANSFERT DES DONNEES
503 LA SAUVEGARDE
504 LE SUIVI DE L’EXPLOITATION
505 LA MAINTENANCE
601 LES PROTOCOLES DE RECETTE
602 LES METHODES D’ANALYSE-PROGRAMMATION
SECURITE DES 603 LES CONTROLES PROGRAMMES
APPLICATIONS 604 LA SECURITE DES PROGICIELS

6.4 Assurance qualité de la réalisation d’une étude MARION
Les méthodes, même « parfaites », peuvent être mal utilisées, servir de support à de mauvais
raisonnements, et, in fini, fournir de mauvais résultats.
Nous suggérons de décrire des règles de fonctionnement canoniques, par classe d’assurance des
informations collectées et restituées.
Cela permettrait d’introduire une certaine souplesse contrôlable dans la pratique de la méthode et
cela pourrait favoriser l’usage de la méthode9 pour l’évaluation des risques dans un domaine et des
circonstances donnés, par exemple, lorsqu’une partie de l’activité propre à une entreprise ou liant
plusieurs entreprises est liée à la sécurité d’un domaine de SI.
On aurait ainsi une idée plus normalisée, plus formelle que la « confiance » que l’on peut accorder à
une évaluation MARION. Il y a bien des cas où l’on peut se contenter d’une assurance de bas
niveau et l’application de MARION serait alors rapide et légère. Il y a en revanche des cas où une
assurance d’un niveau plus élevé est nécessaire. Cela permettrait aussi un meilleur emboîtement
avec une évaluation ITSEC.
Le tableau annexé ci-après suggère ce qui pourrait être fait, étant entendu que les conditions
minimales obligatoires indiquées, cumulatives entre un niveau n et un niveau n + 1, pourraient être
complétées et développées plus formellement. Le niveau d’assurance En n’est acquis que si les
spécifications relatives aux phases (0, 1, 2, 3) sont au moins respectées - cumulativement – au
niveau n pour chaque phase.
9
Pour des SI, ou des sous-SI, ou des applications sensibles.

Niveau d’assurance qualité PHASES MARION
(pour la réalisation d’une étude 0 1 2 3
MARION Préalables Audit de vulnérabilité Analyse des risques Spécifications des solutions
- Formation d’un comité interne - Pratique du ou des - Introduction des scénarios
de pilotage se réunissant au questionnaires standard, standard, vérification informelle
moins 10 heures pendant vérification informelle de la de la qualité des répondants et
l’étude. qualité des répondants et des des réponses, discussion et
A0 - Désignation d’un coordinateur réponses, discussion et ajustement des résultats.
interne connaissant la méthode, ajustement des résultats.
réputé compétent, consacrant au
moins 10 jours à l’étude.
- Prise en compte, sauf exception
justifiée par restriction de
l’étude, d’au moins 5 fonctions.
- Sensibilisation préalable des - Justificatif écrit, daté, signé pour - Temps d’instruction minimal par - Définition détaillée et adaptée en
décideurs et du Comité de chaque réponse (ou référence scénarios / fonction de 2 heures nature, contenu et niveau, au
pilotage. des justificatifs contrôlables). (en moyenne). moins pour les mesures
- Formation minimale préalable - Réponses justifiées séparées par prioritaires (5 pages minimum /
de 3 jours pour le coordinateur sous-ensemble lorsque la mesure).
interne. réponse n’est pas unique. - Simulation des scénarios de
A1 - Mise à jour ou création du risques majeurs sur la base des
schéma d’intégration globale solutions définies et ajustement
des applications, des schémas de itératif.
circulation globaux, des
schémas informatiques
(liaisons), des listes de contrôles
pour les applicatifs sensibles.
- Participation active de l’audit
interne à l’étude.
- Intervenant interne et/ou - Barème formel et écrit des - Analyse d’au moins 12 menaces - Etude approfondie de la sécurité
externe expérimenté réponses possibles par question par fonction (2 heures en architecturale (relations
et par cellule. moyenne par scénarios cellulaires).
- Vérification systématique des fonction). - Spécifications détaillées
A2 justificatifs (l’échantillonnage d’objectifs de résultats et de
étant admis lorsqu’il y a moyens (solutions) par année,
plusieurs items semblables à traduites en engagements
contrôler pour une question formels précis par personnes
d’audit). responsable.
Niveau d’assurance qualité PHASES MARION
(pour la réalisation d’une étude 0 1 2 3
MARION) Préalables Audit de vulnérabilité Analyse des risques Spécifications des solutions
- Certification des progiciels - Interface ITSEC formelle pour - Classification intrinsèque des - Classification intrinsèque des
applicatifs externes sensibles et les produits et systèmes. gravités par cellule et par nature spécifications fonctionnelles de
documentation fonctionnelle et DIC, classification des objets du sécurité, interface ITSEC.
organique structurée (méthode SI concerné.
A3 standard), automatique et à jour
pour toutes les applications
sensibles.
- Définition formelle détaillée et
adaptée des critères d’impact
(au moins 2 pages par critère).
- Usage d’une table d’aversion
prudentielle.
- Garantie de mise à jour de la
méthode pratiquée.
.
- Définition formelle et écrite de - Utilisation d’un générateur de
critères d’évaluation par scénarios de causes détaillées
question/cellule et métrique (connexion avec l’analyse des
combinatoire conduisant au vulnérabilités) et étude détaillée
barème (cf. E2). de tous les scénarios causes /
conséquences.
A4
6.5 Relations entre MARION et les critères d’évaluation
On doit pouvoir établir un lien entre toute méthode d’analyse des risques et les critères d’évaluation
(ITSEC, pour la circonstance).
La phase 2 (Analyse des risques) dans MARION apporte une première évaluation en nature et
niveau des menaces de base. La phase 3 fournit un résultat en termes de spécification de solution
(selon la trame facteurs/thèmes). Il est possible d’établir une classification intrinsèque des besoins
en ne tenant plus compte de la sécurité existante, mais en utilisant le même canevas. Il est possible
d’établir une interface entre la trame MARION et la trame des services de sécurité (fonctionnalités)
en entrée des ITSEC, de manière à spécifier objectivement la TOE, pour le sous-ensemble du
système d’information qu’il est possible et licite de faire évaluer dans un cadre ITSEC. En retour,
l’évaluation de services de sécurité apporte une partie des réponses dans la phase 1 d’audit.
Si les deux actions MARION/ITSEC(1) et ITSEC/MARION(2) sont réalisées à la suite, on peut
opérer une simulation (itérative). Mais les deux actions sont généralement déconnectées. La
première opération est alors une aide à la définition de la TOE et la seconde est une aide à l’audit
grâce à l’évaluation.
ITSEC
MARION (1) TOE
O
Evaluation
1 2
3 Evaluation intrinsèque
Evaluation intrinsèque
(2)

7. TABLES TECHNIQUES
TAB. TE SECTEUR G 1 2 3 4 5 6 7 8 9 10
REFERENCE POIDS DU 16 1 8 8 3 11 30 10 12 1
DU FACTEUR FACTEUR
101 3 5 2,5 3 3 3 3 2 3 4,5 8

102* 5 0 0 0 7 7 3 8 7 2 2
103 4,5 0 1 0 6,5 4 5 6 9 7 4
12,5 5 3,5 3 16,5 14 11 16 19 13,5 14
201 1 0,5 1 0 0,5 1 1 1 2 2 2
301 4 19 10 4,5 3 2 0 0 1 0 2
302 3,5 0 23 0 1 0 0 2 7 15,5 2
303 0,5 2 0 2 1 0 0 0 0 0 0
304 1 6 4 1 0 0 0 0 0 0 0
305 4 26 10 0 0 0 0 0 0 0 0
306 1 4 2 2 1 0 0 0 0 0 0
307 2 6 1 10 0 0 0 0 0 0 0
308* 7,5 19 11,5 22,5 6 7 0 3 0 0 24
309 1,5 0 0 0 2,5 2 4 2 2 1 2
310 3 0 7 0,5 2 5 5 3 4 6,5 29
311 2 2 3 1 1,5 3 10 0,5 1 0 3
30 84 71,5 43,5 18 19 19 10,5 15 23 62
401 7,5 0 2 20,5 4,5 8 1 9 9,5 9 1
402 8 0 0 2,5 4 5 4 12 19,5 12,5 1
403 3 0 0 0,5 2 4 1 4,5 7,5 3 1
18,5 0 2 23,5 10,5 17 6 25,5 36,5 24,5 3
501 1 0,5 1 0,5 4 3 1 1,5 2,5 0,5 2
502 0,5 0 0 0 2 1 0 1 1 0 0
503* 8 8 9 7 4,5 18 2 9,5 6 10 9
504 5 0 0 3,5 7,5 25 1 5 5 6,5 5
505 2,5 2 12 19 2 1 0 0 0 0 0
17 10,5 22 30 20 48 4 17 14,5 17 16
601 5 0 0 0 0 1 31 4,5 5 0 0
602 5 0 0 0 0 0 23 7,5 0 6 0
603 9 0 0 0 34,5 0 2 18 5 1 0
604 2 0 0 0 0 0 3 0 3 13 3
21 0 0 0 34,5 1 59 30 13 20 3
TOTAL DES 27 100 100 100 100 100 100 100 100 100 100 100
FACTEURS
* Les facteurs de protection sont repérés (*) ; les autres correspondent à la prévention
1 - Risques
2 - Vol, sabotage matériel
3 - Pannes et dysfonctionnement de matériels et logiciels de base
4 - Erreurs de saisie, transmission et utilisation des informations
5 - Erreurs d'exploitation
6 - Erreurs de conception et de réalisation
7 - Fraude, sabotage immatériel
8 - Détournement d'informations
9 - Détournement de logiciels
10 - Grèves, départ de personnel, sécurité des personnes

TAB. TE SECTEUR I 1 2 3 4 5 6 7 8 9 10
REFERENCE POIDS DU 14,5 1 9 8,5 3,5 9,5 34 16,5 6 0,5

DU FACTEUR FACTEUR
101 3 5 3 2,5 2 3 3 3 3 4,5 7

102* 5,5 1 0 1 7 7 4 10 8 0,5 3
103 5 2 1 1 7 4 9 6 7,5 4,5 4
13,5 8 4 4,5 16 14 16 19 18,5 9,5 14
201 1 1 1 0 1 1 1 1 2 2,5 6
301 3,5 15 8 6 3 2 0 0 0 0 2
302 3 0,5 28 0 2 0 0 2 7 19,5 3
303 0,5 2 0 2 0,5 0 0 0 0 0 0
304 0,5 4 4 1 0 0 0 0 0 0 0
305 3,5 23 10 0 0 0 0 0 0 0 0
306 1 4,5 2 2 1 0 0 0 0 0 0
307 2 6 1 8 0 0 0 0 0 0 0
308* 7,5 21 11,5 22 6,5 7 0 2 0 0 22
309 1,5 0 0 0 2,5 2 4 2 2 1 3
310 3 0 10 0 2 6 5 3 4 8 29
311 1,5 2 2,5 1 1 3 8 1 1 0 3
27,5 78 77 42 18,5 20 17 10 14 28,5 62
401 7,5 0 1 20 8,5 8 1 8 10,5 7,5 1
402 9 0 0 4 3 5 3 13 20,5 10 1
403 3 0 0 1 2 4 1 3 7,5 3 1
19,5 0 1 25 13,5 17 5 24 38,5 20,5 3
501 1 1 1 0,5 3 3 0,5 1 2,5 0,5 3
502 1 0 0 1 4,5 1 0 1 1,5 0 0
503* 8,5 10 8 10,5 4,5 18 2 8,5 6 9,5 8
504 5 0 0 3 6 24 1 4,5 4 8 4
505 2 2 8 13,5 1 2 0 0 0 0 0
17,5 13 17 28,5 19 48 3,5 15 14 18 15
601 5 0 0 0 0 0 35,5 3,5 6 0 0
602 5 0 0 0 0 0 16 9,5 0 8 0
603 9,5 0 0 0 32 0 2 18 4 0 0
604 1,5 0 0 0 0 0 4 0 3 13 0
21 0 0 0 32 0 57,5 31 13 21 0
TOTAL DES 27 100 100 100 100 100 100 100 100 100 100 100
FACTEURS
1 -Risques matériels

TAB. TE SECTEUR II 1 2 3 4 5 6 7 8 9 10
REFERENCE POIDS DU 17,5 1 8,5 8,5 1,5 9 28 14 11,5 2,5

DU FACTEUR FACTEUR
101 3 3 2,5 3 2 3 3 1,5 3 5,5 7,5

102* 4,5 0 0 0 6,5 6,5 3 11 6 2 2
103 4,5 2 1 0 7 5 5 5,5 10 5 4
12 5 3,5 3 15,5 14,5 11 18 19 12,5 13,5
201 1,5 1 1 0 1,5 2 1 1,5 3 1,5 7,5
301 4,5 18 8 6 2,5 2 0 0 1 0 2
302 3,5 0 27,5 0 1 0 0 2,5 7 16 2,5
303 1 3 0 4 0,5 0 0 0 0 0 0
304 1,5 7,5 5 1,5 0 0 0 0 0 0 0
305 5 28,5 10 0 0 0 0 0 0 0 0
306 1 3,5 2 2 1 0 0 0 0 0 0
307 2 3 1 10,5 0 0 0 0 0 0 0
308* 15,5 15,5 10 19,5 6,5 7 0 4 0 2,5 23
309 1,5 0 0 0 1,5 3 5 2 2 1 2
310 3 0 5,5 0 1,5 3 4 3 4 3 28
311 2,5 1,5 3 1 2 3 15 1 1,5 0 3
32,5 80,5 72 44,5 16,5 19 24 12,5 15,5 22,5 60,5
401 7 0 2 23,5 6,5 8 1 5,5 9,5 11 0
402 7,5 0 0 3 1,5 5 3 10,5 18,5 11,5 1
403 2,5 0 0 0,5 1 2,5 1 4,5 5 3,5 1
17 0 2 27 9 15,5 5 20,5 33 26 2
501 1 1,5 1 0 3 3 1 2 2,5 0 1,5
502 0,5 0 0 0 4,5 1 0 0 1 0 0
503* 8 9,5 9 7 5,5 18 2 9,5 6 9 9
504 5,5 0 0 4 8 25 1 7 6 9 6
505 2,5 2,5 11,5 14,5 2,5 1 0 0 0 0 0
17,5 13,5 21,5 25,5 23,5 48 4 18,5 15,5 18 16,5
601 5 0 0 0 0 1 31 5,5 6 0 0
602 4,5 0 0 0 0 0 20,5 7,5 0 5 0
603 8,5 0 0 0 34 0 2 16 5,5 4,5 0
604 1,5 0 0 0 0 0 1,5 0 2,5 10 0
19,5 0 0 0 34 1 55 29 14 19,5 0
TOTAL DES 27 100 100 100 100 100 100 100 100 100 100 100
FACTEURS
1 - Risques

TAB. TE SECTEUR III 1 2 3 4 5 6 7 8 9 10
REFERENCE POIDS DU 15 1 8 7 2 9 30 11,5 15 1,5

DU FACTEUR FACTEUR
101 2,5 3,5 1,5 1,5 2 2,5 2 1,5 3 5 7

102* 5 0,5 0 0 7 7,5 3,5 9,5 7,5 2,5 2,5
103 4,5 1,5 1 0 6,5 3,5 5,5 6,5 9 5 4,5
12 5,5 2,5 1,5 15,5 13,5 11 17,5 19,5 12,5 14
201 1 1 1 0 1 1 1 0,5 1 2 3
301 4 19,5 8,5 6 2,5 2,5 0 0 0,5 0 3
302 3,5 0 26 0 0 0 0 3 7 13 2
303 0,5 2,5 0 2,5 0,5 0 0 0 0 0 0
304 1 6 4 1,5 0 0 0 0 0 0 0
305 4 28 9 0 0 0 0 0 0 0 0
306 1 5 1,5 2 1 0 0 0 0 0 0
307 2 3,5 1 12 0 0 0 0 0 0 0
308* 7 20,5 15 18,5 6 7,5 0 4 0 0 25
309 1,5 0 0 0 3 1,5 4 2 1,5 1 1,5
310 3 0 6 0 1,5 4 4,5 2 3,5 6 28
311 2 0,5 3 0 2,5 3 11,5 1,5 2,5 0 3
29,5 85,5 74 42,5 17 18,5 20 12,5 15 20 62,5
401 7 0 2 22,5 5,5 7 0,5 6 9,5 9,5 1
402 9,5 0 0 3 2 4 7 13,5 19,5 17,5 1,5
403 2,5 0 0 1 1,5 3 0,5 4 7 1 1
19 0 2 26,5 9 14 8 23,5 36 28 3,5
501 1 0 0,5 0 5 3 0,5 1 1,5 0 1,5
502 0,5 0 0 0 4,5 1 0 0,5 1 0 0
503* 7,5 7 9 7 4,5 19 1,5 8 8 9 8
504 5,5 0 0 4,5 8,5 27 1 5,5 5 6 7,5
505 2,5 1 11 18 6 1,5 0 0 0 0 0
17 8 20,5 29,5 28,5 51,5 3 15 15,5 15 17
601 5 0 0 0 0 1,5 30 5 4 2,5 0
602 5 0 0 0 0 0 22 6,5 0 6,5 0
603 8,5 0 0 0 29 0 2 17,5 6 2,5 0
604 3 0 0 0 0 0 3 2 3 11 0
21,5 0 0 0 29 1,5 57 31 13 22,5 0
TOTAL DES 27 100 100 100 100 100 100 100 100 100 100 100
FACTEURS
1 - Risques

8. TABLE FDIC
FACTEURS D I C
101 4 2 3
102 3 7 4
103 2 6 7
201 1 1 1
301 9,5 0 0
302 3 1 11
303 1 0 0
304 2 0 0
305 9 0 0
306 2 0 0
307 5 0 0
308 16 2 0
309 0 2 3
310 2 3 5
311 3 2 0
401 4 8 14
402 5,5 8 13
403 1 5 3
501 1 1 1
502 0 2 0
503 11 7 6
504 2 8 6
505 5 1 0
601 3 8 4
602 3 8 4
603 0 15 15
604 2 3 0
100 100 100

Marion - Marion V5

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Marion - Marion V5

Transféré par

Droits d'auteur :

Formats disponibles

METHODE

CLUB DE LA SECURITE DES SYSTEMES D’INFORMATION FRANÇAIS

MARION -1- © CLUSIF 1998

MARION -2- © CLUSIF 1998

Dominique BUC Buc SA

Marie-Hélène COURBIS Euriscom

Annie DUPONT Jacques Anis et Associés

Guy ESTIVAL Michelin

Jean-Marc LAMERE A.P.S.A.D

Patrick LAUTIER Compagnie Générale des Eaux

Gérard MOLINES Interbrew-Cobrew

MARION -3- © CLUSIF 1998

MARION -4- © CLUSIF 1998

1.1 Concepts de base

MARION -5- © CLUSIF 1998

1.2 Architecture générale de la méthode

PHASE 0 Tables techniques MARION

Schéma global de la méthode MARION

MARION -6- © CLUSIF 1998

1.4 Supports logiciels

1.5.1 Pondération des facteurs

MARION -8- © CLUSIF 1998

Diagramme DIC : (Disponibilité, Intégrité, Confidentialité)

MARION -9- © CLUSIF 1998

MARION - 10 - © CLUSIF 1998

2.2 Définition du champ

Il s’agit de préciser l’existant, en termes de :

2.2.2 Champ de l’étude

MARION - 11 - © CLUSIF 1998

2.3 Objectifs généraux

2.3.1 Objectifs d’entreprise

2.3.2 Objectifs de sécurité

MARION - 12 - © CLUSIF 1998

2.3.3 Objectifs d’assurance qualite de l’étude

On doit également décider du niveau de détail et de profondeur de l’étude. On décidera en

2.4 Conventions et métriques

2.4.1 Choix des critères

2.4.2 Aversion au risque

MARION - 13 - © CLUSIF 1998

2.5 Définition du système

2.5.1 Découpage cellulaire

On schématisera le contenu du champ de l’étude (défini en 2.2) sous la forme de « cellules

2.5.2 Schéma du système

On peut donc avoir un schéma « simple », par exemple :

MARION - 14 - © CLUSIF 1998

2.5.3 Bases de connaissance (BC)

MARION - 15 - © CLUSIF 1998

2.6.1 Préparation de la Mission

On forme un Comité de pilotage (techniciens, utilisateurs, auditeurs) animé par un responsable ou

2.6.2 Préparation Technique

MARION - 16 - © CLUSIF 1998

MARION - 17 - © CLUSIF 1998

6- 6.1 - Préparation de la mission

MARION - 18 - © CLUSIF 1998

Bien entendu, lorsqu’on réalise chronologiquement la phase 1, on ne dispose pas encore de

3.2 Audit de l’existant (pour chaque cellule fournisseur)

MARION - 19 - © CLUSIF 1998

3.3 Représentations graphiques

3.3.1 La rosace d’audit

3.3.2 Le diagramme différentiel

MARION produit des graphiques de positionnement de l’efficacité de la sécurité existante par

MARION - 21 - © CLUSIF 1998

3.4.1 Coût actuel de la sécurité