Académique Documents
Professionnel Documents
Culture Documents
MARION
Version 1998
Commission Méthodes
Présentation Générale.........................................................................................................................4
1. Schéma General ..........................................................................................................................5
1.1 Concepts de base ............................................................................................................................ 5
1.2 Architecture générale de la méthode............................................................................................ 6
1.3 Résumé de la méthode ................................................................................................................... 7
1.4 Supports logiciels............................................................................................................................ 8
1.5 Compléments .................................................................................................................................. 8
1.5.1 Pondération des facteurs ............................................................................................................................. 8
1.5.2 Autres représentations graphiques .............................................................................................................. 9
2. Les Phases de la Méthode : Initialisation (phase 0) ................................................................11
2.1 La sensibilisation .......................................................................................................................... 11
2.2 Définition du champ..................................................................................................................... 11
2.2.1 Définition du SI ........................................................................................................................................ 11
2.2.2 Champ de l’étude ...................................................................................................................................... 11
2.3 Objectifs généraux ....................................................................................................................... 12
2.3.1 Objectifs d’entreprise................................................................................................................................ 12
2.3.2 Objectifs de sécurité.................................................................................................................................. 12
2.3.3 Objectifs d’assurance qualite de l’étude ................................................................................................... 13
2.4 Conventions et métriques ............................................................................................................ 13
2.4.1 Choix des critères...................................................................................................................................... 13
2.4.2 Aversion au risque .................................................................................................................................... 13
2.4.3 Autres paramètres ..................................................................................................................................... 14
2.5 Définition du système................................................................................................................... 14
2.5.1 Découpage cellulaire................................................................................................................................. 14
2.5.2 Schéma du système ................................................................................................................................... 14
2.5.3 Bases de connaissance (BC) ..................................................................................................................... 15
2.6 Préparation de l’étude ................................................................................................................. 16
2.6.1 Préparation de la Mission.......................................................................................................................... 16
2.6.2 Préparation Technique .............................................................................................................................. 16
3. Les Phases de la Méthode : analyse des vulnérabilités (Phase 1)...........................................19
3.1 Préparation ................................................................................................................................... 19
3.2 Audit de l’existant (pour chaque cellule fournisseur)............................................................... 19
3.3 Représentations graphiques ........................................................................................................ 20
3.3.1 La rosace d’audit....................................................................................................................................... 20
3.3.2 Le diagramme différentiel......................................................................................................................... 20
3.3.3 Autres représentations............................................................................................................................... 21
3.4 Compléments ................................................................................................................................ 22
3.4.1 Coût actuel de la sécurité .......................................................................................................................... 22
3.4.2 Contraintes techniques .............................................................................................................................. 22
3.4.3 Consolidation ............................................................................................................................................ 22
3.5 Préparation de la phase 2 ............................................................................................................ 23
4. Les Phases de la Méthode : Analyse des Risques (Phase 2)....................................................24
4.1 Préparation ................................................................................................................................... 24
4.1.1 Préparation des missions........................................................................................................................... 24
7. Tables Techniques.................................................................................................................46
8. Table FDIC ...............................................................................................................................50
Le CLUSIF tient à mettre ici à l'honneur les personnes qui ont rendu possible la réalisation de ce
document, tout particulièrement :
• MARION vise à produire un schéma directeur permettant aux décideurs de prendre des
décisions justifiées dans le domaine de la sécurité des systèmes d’information. La méthode
repose donc sur une approche globale, mettant en avant l’organisation, les procédures, et la
cohérence des solutions de sécurité. Le « Management de la sécurité » est au centre de la
démarche MARION.
• MARION a un but de sensibilisation et d’éducation. La méthode a privilégié la simplicité
et la clarté, en écartant les analyses sophistiquées qui n’auraient pas ajouté grand chose en
matière de justesse.
MARION est une méthode dont les principes sont compréhensibles et assimilables, afin d’être
utilisée de manière autonome dans les entreprises.
• MARION considère que la politique de sécurité ne peut être la même selon que l’on est en
face de Risques Majeurs (RM) ou de Risques Simples (RS) (frontières RM/RS).
Les RM doivent être traités au cas par cas, en donnant priorité à l’impact par rapport à la
potentialité. Les solutions doivent être exactement adaptées au contexte et on doit en vérifier
l’efficacité à l’avance, ce qui permet de les ajuster, notamment au plan organisationnel et vis-à-vis
de l’emboîtement technique/fonctionnel.
Les RM doivent également être bien cernés parce qu’ils constituent le levier décisionnel pour la DG
et la base de l’éducation et de l’engagement des personnes concernées.
A chaque RM identifié correspondront des services de sécurité bien définis (ce sont les facteurs
prioritaires, plutôt tournés vers la protection).
Les RS doivent être traités au plan global car ils constituent un ensemble non fini. Compte tenu de
la diversité des RS, il est préférable de s’appuyer sur l’expérience statistique. Toutefois, les RS sont
parfois des formes atténuées des RM et, également les mesures secondaires qui s’opposent aux RS
jouent un rôle vis-à-vis des RM. On aboutit au fait que les solutions secondaires sont pesées selon
une combinaison d’un poids statistique (corrélation générale facteur/RS) et d’un poids spécifique
(corrélation vis-à-vis de l’ensemble des risques étudiés à partir de scénarios). Les facteurs
secondaires sont plutôt tournés vers la prévention.
On insistera sur la puissance et le caractère pratique des outils et supports (bon compromis
complexité/efficacité qui guide suffisamment, tout en laissant place à la nécessaires réflexion).
• Dans MARION, on considère que la classification des enjeux ne peut se faire qu’en
situation d’examen des risques, appliquant l’adage selon lequel on ne connaît la valeur des
choses qu’après les avoir perdues.
MARION inclut donc une démarche de classification des menaces et des objets qui s’y attachent
(classification relative par rapport à la sécurité existante puis classification intrinsèque en faisant
tendre vers zéro le niveau de la sécurité).
• MARION optimise le choix des solutions, leur adaptation à l’organisation des projets
correspondants (structure, budget, planning), en se fondant sur un algorithme
d’optimisation sous contraintes.
La méthode est articulée en quatre phases, dont les trois actives (1,2,3) sont supportées par des
bases de connaissance (BC). La phase principale est la phase 2 d’analyse des risques supportée par
une base de menaces (MARION fournit une seule base de scénarios, mais on peut imaginer des
bases adaptées au contexte). La phase 2 est facilitée par la réalisation de la phase 1 d’analyse des
vulnérabilités, supportée par une ou plusieurs bases d’audit de vulnérabilités adaptées au type de
système d’information. L'analyse de vulnérabilités produit des indicateurs facilitant l’examen des
risques. La phase 3 de détermination des solutions repose sur un algorithme d’optimisation sous
contraintes, utilisant d’une part la classification des risques majeurs (révélés par la phase 2) pour
déterminer les solutions prioritaires, et d’autre part, le pointage des incohérences et des failles
(réalisé dans la phase 1).
BC/Audit BC/Menaces
PHASE 1 PHASE 2
Analyse de vulnérabilité Analyse de risques
Indicateurs
BC/Solutions
PHASE 3
Plan d’action
La phase 0 permet de préparer concrètement le déroulement de l’étude. Il convient d’y définir les
objectifs de sécurité et les conventions d’évaluation qui en découlent. C’est en phase 0 que l’on
traitera les préalables généraux (définitions du champ, découpage fonctionnel, etc.) et techniques.
La phase 1 est fondée sur l’audit des vulnérabilités (assorti d’une analyse approfondie et d’un débat
contradictoire des justificatifs) qui permet d’inventorier et de qualifier de manière cohérente et
exhaustive les moyens de la sécurité (organisation générale et contrôles hors informatique, facteurs
socio-économiques, sécurité physique et organisation de l’informatique, sécurité des matériels et
logiciels de base, sécurité de l’exploitation, sécurité des applications informatiques). Chacun des
facteurs de sécurité est ainsi, « ausculté » par une batterie de questions largement testées et mises à
jour chaque année. Ces questions reçoivent des réponses quantitatives selon des règles établies. Il
s’agit donc d’un audit quantifié et pondéré, la pondération prenant à la fois les risques majeurs
spécifiques à chaque système d’information étudié et la pondération statistique pour les risques
simples. On en déduit ainsi une photographie objective de la situation du risque, qui se traduit en
pratique par des représentations graphiques : la rosace des facteurs (points faibles et incohérences),
le diagramme différentiel (gravités relatives) et les diagrammes de synthèse (A/E/M1 ; D/I/C2). On
recense également les contraintes générales (techniques, procédurales, budgétaires, structurelles,
humaines, etc.).
La phase 2 est celle de l’analyse des risques. Cette phase comporte des préparatifs, puis
l’instruction des menaces s’appuyant en partie sur les résultats de la phase 1.
Cette étape permet de déterminer exhaustivement et quantitativement les scénarios de risques
majeurs (RM) courus par l’entreprise. La méthode permet de découper le système d’information en
fonction (et en applications et données stratégiques) qui seront analysées dans le cadre de groupes
fonctionnels (informaticiens + utilisateurs) en utilisant une base de connaissance adéquate. Les
scénarios sont détaillés dans leurs aspects techniques et fonctionnels (ce qui permet de bien cerner
les failles majeures et d’y remédier ultérieurement) puis hiérarchisés à partir d’une convention de
mesure des conséquences (il ne s’agit pas nécessairement d’unités monétaires). Les métriques
permettent d’évaluer la gravité des risques en fonction de l’évaluation de l’impact et de la
potentialité. Les risques majeurs sont ceux pour lesquels la gravité et supérieure au seuil RM/RS.
On aboutit ainsi à une échelle des risques et une pré-classification (Disponibilité, Intégrité,
Confidentialité) des risques et des biens fonctionnels (Données, Applications).
La phase 3 aboutit au plan d’action. Cette étape permet d’analyser les moyens à mettre en œuvre ou
à améliorer, l’ordre logique dans lequel on doit intervenir (priorité), le degré d’amélioration
nécessaire pour chaque moyen sélectionné ainsi que l’ordre de grandeur du coût correspondant.
Cette étape peut être considérée comme une « boîte noire » de simulation disposant en entrée des
résultats des phases précédentes ainsi que les hypothèses de disponibilités de ressources (en francs
et en hommes) pour chacune des trois années du plan glissant. Les principes d’optimisation sont les
suivants : redressement des facteurs « prioritaires » (dont ceux de protection), pour autant que les
menaces pour lesquelles ils sont efficaces aient une gravité supérieure au seuil RM/RS, équilibrage
prévention/protection pour minimiser la charge des sinistres, redressement des facteurs
« secondaires » (incluant les prioritaires non retenus) afin d’assurer la cohérence de l’ensemble du
dispositif et d’obtenir le meilleur rapport qualité/coût. L’optimisation se déroule en fonction des
contraintes pointées en phase 1. On définit ensuite le plan technique détaillé. (La base de
connaissance MARION est utilisée afin de sélectionner des recommandations détaillées et
adaptées). Les scénarios de la phase 2 sont revus en fonction des moyens de sécurité proposés, ce
1
AEM : Accident, Erreur, Malveillance
2
DIC : Disponibilité, Intégrité, Confidentialité
MARION -7- © CLUSIF 1998
qui permet d’ajuster ceux-ci de manière itérative jusqu’à ce que les risques majeurs deviennent
inférieurs à l’objectif (RM/RS). On construit en complément la solution assurance, on établit les
budgets et le planning, par année, par responsabilité, par mesure, et l’on établit le bilan
(coût/abaissement des risques majeurs et simples). On précise également la structure et
l’organisation nécessaires à l’application, au suivi et à la révision ultérieure du SDSSI3. On rédige
enfin le SDSSI sous sa forme normative.
Il existe sur le marché des logiciels qui supportent la méthode MARION. Les avantages en sont
nombreux :
• Automatisation, facilitation, fiabilisation de tâches
• Stimulations, facilitation, fiabilisation des corrections
• Gestion correcte des dossiers, analyses, éditions
• « Guide-line » automatique
• Multi-utilisation, réutilisation, utilisation pour contrôle et actualisation (évolution du Plan)
• Aspects didacticiels
• Comparaisons, consolidations
• Garantie de BC et tables techniques à jour
• Etc.
1.5 Compléments
Phase 1 : Analyse des vulnérabilités – On utilise la formule indiquée dans MARION 95, le
coefficient d’équilibrage optimal RM/RS est fonction de la catégorie socio-économique, on pourra
utiliser les chiffres suivants :
Secteur G : Secteur Global.............................................................................. 0.60
Secteur I : Secteur Finances, Banques, Assurances........................................ 0.52
Secteur II : Secteur Industrie, Agriculture...................................................... 0.64
Secteur III : Secteur Distribution, Services, Administration, Divers… ......... 0.70
On doit bien comprendre que ce calcul de pondération des facteurs n’est utile que pour l’obtention
de la note globale du site et non pour l’obtention de la note des facteurs eux-mêmes.
Par contre, cette pondération est utilisée dans l’algorithme de redressement en phase 3.
3
Shéma Directeur SSI
Ces trois notes D, I, C comprises entre 0 et 4 sont reportées sur un diagramme à trois branches
donnant ainsi le diagramme DIC.
On doit noter que ce diagramme n’est fonction que de l’analyse des vulnérabilités et n’est pas à
confondre avec l’échelle des risques en phase 2 donnant une classification DIC.
Diagramme AEM : (Accident, Erreur, Malveillance)
Ce diagramme utilise les tables techniques tableau TR : ces tableaux (1 exemplaire par secteur
socio-économique) comprennent 10 colonnes (une pour chaque type de risques) et donnent un
coefficient par facteur de risque ; La somme de chaque colonne est égale à 100.
Il convient en premier lieu de retenir le tableau correspondant à la catégorie socio-économique
choisie.
On choisit ensuite de regrouper les types de risques en Accident, Erreur et Malveillance ce qui nous
donnera une cotation A, E, M.
Les regroupements sont faits ainsi :
Accidents : Type 1 – Risques matériels
Type 3 – Pannes et dysfonctionnements de matériels et logiciels de base
Erreur : Type 4 – Erreurs de saisie, transmission et utilisation d’informations
Type 5 – Erreurs d’exploitation
Type 6 – Erreurs de conception et de réalisation
Malveillance : Type 2 – Vol, sabotage matériel
Type 7 – Fraude, sabotage immatériel
Type 8 – Détournement d’informations
Type 9 – Détournements de logiciels
Type 10 – Grève, départ de personnel, sécurité des personnes.
Les calculs des cotations sont faits ainsi :
Cotation A = 4 - ( ∑ TR
Type1, 3, facts
Type , I * NoteI ) / 200
Cotation M = 4 - ( ∑ TR
Type 2 , 7 ,8 , 9 ,10
Type , I * NoteI ) / 500
Les trois cotations A, E, M sont alors reportées sur un diagramme à trois branches.
2.1 La sensibilisation
Il s’agit d’une session structurée de une à trois heures, selon les possibilités, destinée à sensibiliser
et impliquer les décideurs de l’entreprise. Bien que cette réunion ne soit pas obligatoire, on constate
par expérience un bien meilleur « rendement » de l’étude lorsqu’on l’organise.
Le plan de session peut être le suivant :
• Définitions liminaires (étendues du SI, sécurité/qualité, phénoménologie du sinistre,
RM/RS).
• Analyse critique d’exemples concrets de sinistres (dans le même secteur d’activité) et de
leçons de cet enseignement.
• Organisation d’une politique de sécurité.
• Notions générales sur le plan de sécurité (illustré par un exemple dans le même secteur
d’activité).
• Préalables pour le lancement d’un plan de sécurité.
On peut également organiser une éducation préliminaire de certains acteurs internes qui auront à
encadrer l’étude du plan de sécurité. La première réunion du Comité de pilotage inclut une partie de
sensibilisation.
2.2.1 Définition du SI
L’étude peut être limitée à une partie du SI. Si le SI est très complexe, on procède à une
segmentation (des fonctions, des ressources SI), de manière à analyser par sous-ensembles
cohérents. On doit donc fixer clairement le champ de l’étude :
On recensera les objectifs d’entreprise à moyen terme, que l’on cherchera à quantifier.
On s’efforcera, même s’il n’existe pas de plan d’entreprise formel et si ces objectifs ne sont pas
totalement établis, de les citer, les définir et, si possible de leur associer une métrique (niveau à
atteindre dans le temps).
Certains de ces objectifs peuvent directement concerner la sécurité, mais c’est rare.
Exemple : Objectifs stratégiques de premier niveau
1 CA ....................................................................... + 6%
2 Marge .................................................................. + 8%
3 Fonds de Roulement............................................ ≥ 100 MF
4 Productivité ......................................................... + 2%
5 Exportation.......................................................... + 10%
6 Qualité produits................................................... + 10%
7 Continuité production
8 Image
On recensera et l’on objectivera des objectifs de sécurité qui, en principe, déroulent des objectifs
généraux.
Par exemple :
1 Perte financière due à un sinistre ≤ 100 MF
2 Interruption de fonctionnement de la production ≤ 2 jours due à l’informatique
3 Protection des recherches en cours sur les projets sensibles
4 Eviter les actes malveillants dont les conséquences seraient supérieures à 10 MF
(4)
Par exemple : informatique centrale + serveurs/LAN/stations de travail + micros « stand alone » et portables +
télécom + fax, télex + téléphone + circuits classiques (papier, oral, etc.), etc.
(5)
On analysera ultérieurement ces flux, porteurs de risques, pouvant intervenir dans l’analyse des menaces (à
l’intérieur) et dans l’analyse des responsabilités (à l’extérieur).
Cette tâche a pour objectif de concrétiser et de préciser les conventions de l’étude, et de les faire
avaliser par les décideurs.
Les études MARION donnent généralement plus de crédibilité à l’impact (i) qu’à la potentialité (p)
dans le cadre de la mesure de la gravité (g) : A (i,p).
On retient donc en général la convention standard pour définir les classes de potentialité. En
revanche, on prendra un grand soin à définir des critères d’impact pertinents, découlant des objectifs
de sécurité (généralement un à six critères, dont un financier). On précisera la définition de chaque
niveau pour chaque critère, et la règle de composition des critères (voir annexe 6.1).
Pour préciser la métrique, de 0 à 4, on fixe d’abord le niveau du risque inacceptable (niveau >2),
ligne de partage (RM/RS) entre risques simples (RS) et risques maximaux (RM). On peut le faire
directement ou en passant par le calcul de ratios objectifs (c’est la notion de capacité pour les
impacts financiers).
L’entreprise peut retenir la table standard A (table prudentielle) livrée avec la méthode ou l’adapter
à sa politique de risque (voir annexe 6.2).
Les tables techniques de coût dépendent du secteur d’activité (I-Finance, II-Industrie, III-Autres, G-
Mixte) et de la classe du SI (KA à KE : grands à petits systèmes).
Cette tâche a pour objet de définir un compromis entre la maille de l’étude (niveau de détail) et la
charge qui en résultera.
F1
F2
SI
F3
F4
F1
SI1
F2
SI2 F3
F4
Le schéma « client/fournisseur » représenté dans les exemples ci-dessus doit être complété par un
schéma d’intégration des cellules.
Par exemple, SI 1 et SI 2 peuvent être dépendants et il peut exister des relations d’ordre
informatique ou pas entre les cellules F. Ces relations logiques entre les cellules s’appellent des
inductions (de risques). Elles sont orientées. On se limite à celles essentielles. Par exemples :
F1
SI1
F2
SI2 F3
F4
On étudiera avec soin ce schéma cellulaire qui sera très utile dans l’analyse des menaces, afin de
bien comprendre les chaînes causales, de maîtriser la cohérence des architectures de sécurité, etc.
On retient soit des BC standard MARION soit d’autres bases ciblées pour l’étude. Concernant les
bases d’audit et de solutions (qui vont de pair), leur choix découle du § 2.4.2 « Aversion au
Risque ».
Les utilisateurs s’appuient en général sur BC MARION qui propose un audit à la maille facteur (27
facteurs : Cf. annexe 6.3).
On réunira le Comité de pilotage afin de valider les § 2.2. à 2.5, en incluant 2.1 et un aperçu de 2.6.
Le coordinateur de l’étude doit rassembler (ou constituer pour l’essentiel) une documentation qui
sera utile pour l’analyse des menaces : schémas informatiques et télécommunications, schémas
d’intégration des applications, schémas de circulation, matrices de contrôles informatiques, règles et
procédures, dossiers applicatifs, etc.
0-2
0-3
0 0-4
0-5
0-6
1-1
1-2
1 1-3
1-4
1-5
2-1
2 2-2
2-3
3-1
3 3-2
3-3
z z z z z
Positionnement
des réunions
du Comité de Pilotage
1- SENSIBILISATION
2- DEFINITION DU CHAMP
2.1 - Définition du SI
2.2 - Champ de l’étude
3- OBJECTIFS GENERAUX
3.1 - Objectifs d’entreprise
3.2 - Objectifs de sécurité
3.3 - Objectifs d’assurance-qualité de l’étude
4- CONVENTIONS ET METRIQUES
4.1 - Choix des critères
4.2 - Aversion au risque
4.3 - Autres paramètres
5- DEFINITION DU SYSTEME
5.1 - Découpage cellulaire
5.2 - Schéma du système
5.3 - Bases de connaissance
Résumer de la phase 0
3.1 Préparation
On prépare les questionnaires d’audits retenus, affectés à leur cible « fournisseur » (Cf.§ 2.5.3), on
les adapte éventuellement pour une meilleure compréhension. (On peut ajouter des réponses type ou
des recommandations aux destinataires (Cf.§ 2.6.1) avec le « mode d’emploi » et notamment une
grille qui indique qui doit répondre à quoi. (MARION fournit une grille standard qui garantit un
auto-contrôle par plusieurs acteurs, mais on peut changer cette grille).
On précise les conventions de réponse, et surtout le protocole d’audit et de justification selon le
niveau d’assurance qualité retenu (Cf. § 2.3.3).
On peut décider de répondre une fois pour toutes à des questions générales dont la réponse est la
même quelle que soit la cellule fournisseur auditée (mais si les réponses peuvent varier selon les
cellules clients, il faut en tenir compte).
Remarque : La pondération des facteurs ou services de sécurité. Les facteurs se décomposent en
thèmes et questions. Les services se décomposent en sous-services et questions. Chaque question a
un poids intrinsèque. Il en va de même pour les thèmes ou les sous-services, ainsi que pour les
facteurs ou les services (par cumul).
* m
Le poids d’un facteur (ou d’un service) i à la forme : p = P a+ p
i
s
i i
(1 − a )
s
p i
est un poids statistique, obtenu par corrélation avec la sinistralité observée (analyse factorielle
réalisée annuellement permettant d’ajuster les tables techniques par secteur d’activité et par type de
SI). Il a un sens pour les risques simples (RS).
m
p i
est un poids spécifique par rapport aux menaces analysées en phase 2 de MARION. MARION
intègre une table de correspondance standard « type de menace/facteurs de sécurité efficaces » qui
m m
p p
permet le calcul automatique de i , pour une cellule fournisseur concernée . i a un sens pour
les risques majeurs (RM).a est ce que l’on appelle le coefficient d’équilibrage optimal RM/RS. Ce
coefficient est calculé par MARION en fonction des caractéristiques de SI, de manière à distinguer
au mieux les mesures prioritaires (visant plutôt RM) et non prioritaires (visant plutôt RS), afin de
minimiser RM + RS.
m
Les destinataires répondent aux questions qui les concernent et les justifient selon le protocole
retenu. Le coordinateur contrôle le processus et valide les résultats. Il contrôle plus particulièrement
Il s’agit d’une représentation en rosace, les rayons représentent les facteurs ou services de sécurité,
le centre correspondant à la notation 0 et la circonférence à la notation 4.
Cette représentation met en lumière les failles et incohérences de la cellule fournisseur étudiée.
Exemple
101
604 4 102
603 103
602 201
3
601 301
2
505 302
1
504 303
0
503 304
502 305
501 306
403 307
402 308
401 309
311 310
C’est une représentation en histogramme des facteurs ou services de sécurité. Chaque bâtonnet est
proportionnel à la différence entre la cotation 3 (objectif de cohérence générale dans l’échelle de 0 à
*
4) et la cotation réelle de l’existant, multipliée par le poids p du facteur ou service (par définition,
le différentiel pondéré est nul si la cotation réelle est déjà supérieure à 3).
MARION - 20 - © CLUSIF 1998
Exemple :
140,00
120,00
100,00
80,00
60,00
40,00
20,00
0,00
101
102
103
201
301
302
303
304
305
306
307
308
309
310
311
401
402
403
501
502
503
504
505
601
602
603
604
3.3.3 Autres représentations
D. I. C. A. E. M.
D
4
A
3 4
2 3
1 2
0 1
C I
M E
MARION produit une évaluation des coûts actuels par facteur, type d’acteur concerné, type de coût.
Cela n’a d’autre intérêt qu’une réflexion et une sensibilisation.
Remarque : Tables de coût de MARION
Les coûts standards d’un facteur (par rapport au budget informatique standard ou en unité
monétaire) sont déterminés à partir de coefficients standard multipliés par la cotation du facteur.
Ces coefficients sont subdivisés de la manière suivante grâce à des tables techniques :
Groupes d’acteurs
Informatique Utilisateur Audit Infrastructure
Coût d’investissement
En trésorerie
En charge humaine
Au total (financier)
Coût de la maintenance annuelle
En trésorerie
En charge humaine
Au total (financier)
Coût complet de gestion (charges
de maintenance + amortissement
des investissements)
En trésorerie
En charge humaine
Au total (financier)
On inventorie les réponses à 0 du questionnaire d’audit en examinant si la réponse est fondée sur
une contrainte technique inamovible dans les trois ans à venir, dans le cas où on débloquerait des
ressources.
Les « vraies » contraintes sont mémorisés de sorte que les mesures correspondantes de sécurité ne
soient pas sélectionnées dans l’algorithme d’optimisation (phase 3 de MARION).
3.4.3 Consolidation
Il est intéressant de disposer d’une synthèse des audits lorsqu’on a audité plusieurs cellules. Le
mode de consolidation n’a pas une grande importance puisqu’on ne déduira rien d’opératoire de
cette consolidation et des représentations graphiques correspondantes. MARION propose d’opérer
cette consolidation en pondérant les résultats partiels avec le poids RM relié à chaque cellule
fournisseur correspondante, tel que ce RM est déterminé en phase 2. L’opération de consolidation,
comme du reste la pondération des facteurs, ne peut être exécutée qu’après avoir achevé la phase 2.
La méthode standard MARION permet de produire pour chaque cellule fournisseur auditée deux
indicateurs (SPOT et SIMP) sommaires dont la valeur est comprise entre 0 et 4, est définie pour
chaque type de scénario (par rapport aux 17 familles de la BC menaces de MARION).
SPOT : L’indicateur de potentialité » est un indicateur de la potentialité de 0 (faible) à 4 (forte) d’un
scénario donné par rapport à une cellule fournisseur causale.
SIMP : L’indicateur d’impact » est un indicateur plus complexe, précisant le degré de non limitation
des conséquences d’un scénario donné, de 0 (limitation efficace) à 4 (pas de limitation), par rapport
à une cellule causale.
La réalité, telle qu’elle est analysable et analysée en phase 2 dans son contexte réel par les acteurs
concernés, peut se révéler très différente dans certains cas de figure. Notons que SIMP doit être
manipulé avec précaution : une valeur élevée signifie que l’on n’a pas inventorié de limitation
possible et efficace du risque du scénario de menaces. Cela ne signifie pas que l’impact sera
important car cela dépend du scénario de crise et des valeurs des objets en cause, ce que seule
l’analyse contextuelle permettra de cerner. Cela ne signifie pas non plus que ce scénario se réalisera
(ceci étant lié à SPOT).
On produit donc automatiquement, grâce à des tables techniques standard d’un tableau qui a la
forme suivante (par exemple) :
Cellule fournisseur Scénarios de menace
01 02 03 04 ………… 17
01 – Grand système central 0.9/0.7 /
02 – LAN xxx client/serveur 2.2/0.0 /
Domaine yyy
03 – Départementaux …/… /
Domaine zzz
SPOT
SIMP
1- PREPARATION
2- AUDIT DE L’EXISTANT
3- REPRESENTATION GRAPHIQUES
3.1 – La rosace d’audit
3.2 – Le diagramme différentiel
3.3 – Autres représentations
4- COMPLEMENTS
4.1 – Coût actuel de la sécurité
4.2 – Contraintes techniques
4.3 - Consolidation
5- PREPARATION DE LA PHASE 2
4.1 Préparation
Cette phase est la plus longue, la plus délicate à conduire, mais également celle qui est la plus riche
en enseignements : il convient de la préparer. L’analyse des risques est réalisée en deux temps : une
préparation technique des scénarios, avec les techniciens des cellules fournisseur concernés, puis
une instruction des scénarios avec les acteurs concernés des cellules client, afin de bien analyser les
situations de crise et de bien évaluer la gravité des menaces. On vérifie que les groupes fonctionnels
destinés à analyser les menaces dans les cellules client (cf. § 0.6.1) sont bien organisés, informés,
préparés et que le planning des interviews a été fixé (environ une demi-journée par fonction et une à
une journée et demie par fonction stratégique, si possible en deux fois.
On vérifie que le schéma cellulaire est complet et exact (cf. § 2.5.2). L’analyse de ce schéma fournit
deux indications liminaires :
• Les liens fournisseur/client [LFC]
• Les relations d’ordre entre cellules client [RCC].
Ces indications servent pour l’instruction des scénarios (cf. § 2.5.2).
LFC sert à déterminer quelles sont les cellules fournisseur qui peuvent constituer des causes
techniques pour tel scénario de menace étudié dans une cellule client donnée.
RCC fixe les chaînes causales. Il est donc absolument indispensable de procéder à l’instruction des
scénarios dans l’ordre fixé. On a en effet besoin de connaître le comportement de la cellule amont
avant de déterminer celui de la cellule aval. Les impacts peuvent se cumuler. La potentialité finale
peut dépendre de celle de plusieurs cellules impliquées dans une chaîne causale (y compris la
cellule fournisseur).
On dresse une liste des scénarios globaux à étudier pour chaque cellule fournisseur à partir des
éléments fournis par la BC Menaces (scénarios globaux), avec les techniciens de la cellule
concernée, en s’aidant éventuellement de SPOT (cf. §3.5) et en préfixant la valeur p de la
potentialité. Pour chaque scénario, on analyse (et on rédige) les conséquences techniques (et leur
incidence en termes d’impact propre à la cellule fournisseur), puis surtout les conséquences
fonctionnelles par cellule client. On décrit donc de façon détaillée, le déploiement dans le temps de
la manière dont chaque cellule client verra la dégradation des services que lui offre habituellement
la cellule fournisseur (cela dépend en principe des éléments SIMP correspondants). Cette
En principe, ce sont les utilisateurs du groupe fonctionnel concerné qui imagineront ces scénarios
(qui sont rappelons-le, propres à chaque fonction), puisque par construction, ce sont eux (« les
propriétaires fonctionnels ») qui connaissent le mieux la valeur des objets concernés, les procédures
(y compris celles de sécurité), et les « chemins » d’atteinte des objets stratégiques.
Remarque : 5 MARION distingue les scénarios globaux qui affectent une cellule fournisseur et dont les conséquences –
additives – se répercutent sur l’ensemble des cellules client, des scénarios fonctionnels qui visent la valeur immatérielle
d’une cellule client. Exemples de scénarios globaux : destruction physique du site, arrêt des télécommunications,
sabotage immatériel total d’un sous-ensemble (BD stratégique par exemple), grève, etc. Exemples de scénarios
fonctionnels : erreur de saisie, transmission, exploitation, fraude, sabotage immatériel partiel, etc.
Il est toutefois possible de leur faciliter la tâche en dressant une liste (scénarios fonctionnels de BC
Menaces). Cette liste peut être complétée, enrichie, diversifiée selon les fonctions par le
coordinateur sécurité (et/ou de l’auditeur interne) en fonction de son expérience et de la
connaissance qu’il a des fonctions. Ces scénarios peuvent être étudiés par les techniciens des
cellules fournisseur concernés. Ils peuvent ajouter au texte du scénario leur propre appréciation de
la potentialité (du moins du point de vue informatique) et de l’efficacité des moyens de détection et
de protection informatiques. Ils peuvent naturellement s’inspirer des éléments SPOT et SIMP pour
cela.
Exemple :
FONCTION 01 – Gestion clients et contrats
S1-01 Erreur de chaînage lien solde client
S1-02 Erreur de chaînage clients-adresses
SI-03 Chargement faux DATA SET clients
S1-04 Vol fichier clients
FONCTION 02 – TP/AG
S201 Détournement de fichier HP4
S2-02 Création compte fictif
S2-03 Fichiers erronés
S2-04 Piratage connexion agence
FONCTION 03 – Comptabilité générale / Trésorerie
S3-01 Situation trésorerie indisponible
MARION - 26 - © CLUSIF 1998
S3-02 Divulgation de comptes
S3-03 Sabotage IFKZ
S3-04 Fraude IFKZ
FONCTION 04 – Produits bancaires et financiers
S4-01 Omission imputation mouvements source
S4-02 Mouvements comptes spéciaux
S4-03 Vol état portefeuille titres
S4-04 Fraude virements spéciaux
S4-05 Sabotage portefeuille produits spéciaux
(Elle est réalisée dans l’ordre du § 4.1.2 avec les éléments du § 4.1.2, selon l’organisation du §
4.1.1, et grâce aux préparations techniques du § 4.1.3 et 4.1.4).
Un groupe fonctionnel réuni, il est nécessaire de consacrer au moins une à deux heures aux
préparatifs :
• Définitions, vocabulaires, sensibilisation
• Commentaire des objectifs de la DG
• A quoi sert le plan de sécurité
• Quels sont les techniques d’évaluation des risques
• Comment cela va concrètement se passer
On doit notamment lister les scénarios retenus (a priori) et expliquer ce que l’on en sait déjà grâce
aux préparations (cf. § 4.1.3, 4.1.4). Une première réflexion conduit à :
• Supprimer certains scénarios (généralement des S-FONC présélectionnés à tort)
• Ajouter certains scénarios (généralement des S-FONC)
• Créer des variantes signifiantes (généralement des S-FONC)
• Modifier les éléments existant des scénarios proposés (S-GLOB et S-FONC)
Généralement, on réalise les étapes 3 et 4.1 lors de l’ouverture du dossier. L’instruction réelle et la
clôture du dossier doivent être réalisées lors d’une (ou de plusieurs) réunion espacée de la première
de sorte que les membres du groupe fonctionnel aient pu réfléchir. Le cœur de l’instruction réside
dans les étapes 4.2 et 5. L’impact financier joue un rôle particulier. En effet, il est le seul à être
universel, objectif et manipulable (on peut ajouter ou comparer des impacts). Il est donc nécessaire
de chiffrer cet impact en unité monétaire, lorsque c’est possible, en plus de l’utilisation des
métriques d’impact de 0 à 4. Cette évaluation est faite par fonction. C’est à ce niveau que le rôle des
« sachants » est important (RSSI interne, expert externe), car c’est à partir de cette « image » que
l’on déterminera la gravité du risque : g=A(i,p) avec i déterminé en 4 (en se servant de SIMP, des
préparatifs et des conventions) et p déterminé en 6 (en se servant de SPOT, des préparatifs et des
conventions).
On élabore en 5 « l’étiquette » de la menace, c’est-à-dire la valeur de l’impact de D, I, C (voire
d’autres composantes). C’est également en 5 que l’on peut procéder (si ce choix a été retenu) à un
inventaire des objets sensibles et à leur classification DIC par rapport à la menace. On détermine
alors d’abord la classification relative qui sert de support pour imaginer la classification absolue,
c’est-à-dire abstraction faite de la sécurité existante. On peut alors disposer de deux lots d’étiquettes
relatives et absolues.
On peut procéder (si ce choix a été retenu) à un examen des mesures de déport (juridique et
assurance) en 8 de manière à calculer l’impact financier net (déduction faite de l’indemnisation), ce
qui permet d’évaluer l’efficacité actuelle de ces mesures, et de les ajuster ultérieurement.
Les divers scénarios instruits doivent être complétés et justifiés. Le coordinateur en contrôle la
cohérence et la vraisemblance. Il tient pour cela compte du poids respectif des fonctions, des
schémas d’intégration et de circulation qu’il a rassemblés (cf. § 0.6.2). Il vérifie le bon emboîtement
des éléments des scénarios (causes/conséquences, fournisseur/clients, chaînes causales, etc.), les
variantes possibles, les éventuels oublis. Il procède à la sommation des impacts pour les scénarios
globaux. Il étudie la possibilité de combinaisons de scénarios fonctionnels. Il élabore un tableau de
synthèse en classant les scénarios en ordre décroissant de la gravité, avec les informations suivantes,
en mettant en exergue ceux dont l’impact est supérieur à la capacité (niveau 2) :
• Référence et libellé du scénario
• Typologie des causes (A, E, M)
• Cellules concernées (fournisseur et client)
• Impact financier
• Impact DIC
• Potentialité
• Gravité
• Impact net.
On peut procéder à une représentation graphique en histogramme.
Exemple :
Scénario Libellé Montant Catégorie Classification
Cause DIC
S03-04 Fraude IFKZ 50 M 030
S01-03 Chargement faux DATA SET clients 35 M 013
S04-03 Vol état portefeuille titres 14 M 003
Capacité 13
S02-01 Détournement fichier HP4 10 M
S02-02 Création comte fictif 8 M
S03-03 Sabotage IFKZ 7 M
S04-04 Fraude virements spéciaux 7 M
S04-01 Omission imputation mouvements source 4 E
S04-02 Mouvements comtes spéciaux 3 E
S03-01 Situation trésorerie indisponible 3 A
S03-02 Divulgation de comptes 3 M
S02-04 Piratage connexion agence 2 M
S01-04 Vol fichier clients 2 M
S01-01 Erreur de chaînage lien solde client 1 E
S01-02 Erreur de chaînage clients-adresses 1 E
S02-03 Fichiers erronés 1 E
S04-05 Sabotage portefeuille produits spéciaux 1 E
1- PREPARATION
1.1 – Préparation des missions
1.2 – Préparation du schéma cellulaire
1.3 – Préparation des scénarios globaux
1.4 – Préparation des scénarios fonctionnels
3- SYNTHESE
6
On prévoit généralement une réunion intermédiaire et une réunion de finalisation, que l’on combine avec la levée des
choix en phase 3
Le plan triennal est établi à partir des simulations reposant sur l’algorithme d’optimisation sous
contraintes qui est le « moteur » de la méthode MARION. On peut considérer celui-ci comme une
boîte noire, ayant pour entrée les résultats des phases 1 et 2, et pour sortie l’affectation des solutions
par année (contenu, assignation des tâches, priorités, coût en trésorerie et en charge humaine, lors
de l’investissement, puis en exploitation).
L’algorithme est exécuté pour chaque sous-ensemble « cellule fournisseur/ensemble des cellules
clients du fournisseur étudié ».
Les résultats et solutions obtenus sont définis à ce niveau. On ne prend en compte pour les cellules
clients que les scénarios de risques dans lesquels la cellule fournisseur joue un rôle causal. Lorsqu’il
y a plusieurs cellules fournisseurs, on exécute plusieurs fois l’algorithme. On consolide les éléments
de décision (charges, budgets) avant de les discuter. On sera également amené à consolider les
solutions :
• Les mesures organisationnelles et procédurales peuvent éventuellement être les mêmes,
• Certaines mesures techniques peuvent être les mêmes ou doivent être cohérentes et
compatibles.
L’algorithme a deux passes :
a) Pour optimiser l’architecture d’ensemble (niveau facteurs ou services),
b) Pour choisir les solutions adéquates (niveau thèmes ou sous-services).
Niveau facteur :
1) Solutions prioritaires :
Ce sont les solutions efficaces vis-à-vis des scénarios de risque majeur (g >2). Elles sont sélectionnées
par table et mises à niveau maximal sous contraintes.
2) Solutions secondaires :
2.1 – L’algorithme relève l’ensemble des facteurs (hors 1) de façon cohérente par niveau (n=1,2,3) en
fonction des hypothèses de ressources et sous contraintes.
2.2 – Pour un niveau maximal n atteint en fonction des hypothèses de ressources, l’algorithme relève au
niveau supérieur (n+1) sous contraintes les facteurs ayant le meilleur rapport qualité/coût.
Niveau Thème : pour un facteur relevé au niveau N, l’algorithme sélectionne les thèmes permettant d’y
parvenir au mieux selon les deux principes suivants, et en tenant compte des contraintes :
1) Sélection des thèmes selon le rapport qualité/coût, et mise à niveau 4 sous contraintes, jusqu’à obtention
de la cotation pondérée (N).
2) Prise en compte des contraintes d’ordonnancement des thèmes (table interne). « Dans la maison délabrée
où le toit et les murs sont en mauvais état, on restaure les murs avant le toit, même si le toit est en plus
mauvais état que les murs ».
Niveau Edition : les thèmes sélectionnés sont édités sous la forme de solutions générique.
5.1.1 Préparation
On choisit d’abord si les évaluations de coût sont exprimées en valeurs relatives du budget
informatique ou en unité monétaire, si l’on exprime les charges humaines en mois x homme ou en
équivalent financier, si l’on désire travailler en coût de trésorerie ou en coût de gestion (frais
d’exploitation + amortissement des investissements).
On procède ensuite à une simulation de « solution de base » :
a) Mise en œuvre des solutions primaires.
b1) Mise en œuvre des solutions secondaires permettant de parvenir à un niveau de cohérence à 17.
b2) Mise en œuvre des solutions permettant de parvenir à un niveau de cohérence à 2.
B3) Mise en œuvre des solutions secondaires permettant de parvenir à un niveau de cohérence à 3.
On examine le contenu des solutions proposées ainsi que les coûts et charges correspondants pour
chaque catégorie d’acteurs concernés. On recherche en principe à atteindre le niveau « b3 » en
troisième année du plan et le niveau « a » dès la première année. C’est généralement impossible du
fait de la charge correspondante.
MARION produit des tableaux détaillés décrivant les solutions sélectionnées. Les solutions de base
constituent un point de départ pour les simulations à venir.
5.1.2 Simulations
7
Un niveau de cohérence à N caractérise un état où tous les facteurs ont une cotation au moins égale
101
604 4 102
603 103
602 3 201
601 301
2
505 302 101 2,63 L'organisation générale
1 102 3,5 Les contrôles permanents
504 303
103 2,12 La réglementation et l'audit
0 201 2,7 Les facteurs socio-économiques
503 304
301 2,45 Environnement de base
502 305 302 2,5 Le contrôle d'accès physique
501 306 303 2,65 La pollution
304 0,5 Les consignes de sécurité physique
403 307
305 0,52 La sécurité spécifique incendie
402 308
401 309 306 2,23 La sécurité spécifique dégâts des eaux
311 310
307 2,36 La fiabilité de fonctionnement des matériels informatiques
308 2,38 Les systèmes et procédures de secours.
On teste donc diverses hypothèses dont le contenu est analysé de près avec les acteurs concernés.
On opère ainsi jusqu’à aboutir à des hypothèses acceptées consensuellement (années 1, 2, 3 du Plan
d’action, vues en années 0).
Les contenus des solutions génériques sont adaptés au contexte et détaillés. L’examen sera
particulièrement attentif pour les solutions prioritaires. On ajuste également les coûts et charges et
l’on élabore un planning précis (attribution des tâches par acteur, planification à la maille du
semestre ou du trimestre). Ces solutions sont examinées puis pré-validées par le Comité de pilotage.
Les dossiers complétés (§ 3.1.3) définissent les dispositifs de sécurité préconisés. On connaît bien
en particulier le dispositif auquel on aspire en troisième année du Plan. MARION fournit des
indicateurs correspondant à cette vision prospective :
Cette simulation présente un grand intérêt pédagogique : explication des liens entre les risques et les
solutions, mise en lumière des aspects organisationnels, implication des « prioritaires fonctionnels »
(les gravités ne seront réduites que pour autant que les acteurs accepteront de faire fonctionner
correctement les solutions après ajustement).
Cette simulation permet en outre d’ajuster les solutions, quelquefois au plan technique, mais la
plupart du temps au plan procédural. C’est là un point fort de MARION que d’élaborer les
procédures de sécurité (techniques et fonctionnelles) dans le contexte d’une simulation concrète. On
travaille de manière itérative jusqu’à atteindre l’objectif recherché (aucune gravité supérieure à 2).
Ceci peut nécessiter d’adapter les hypothèses de ressources, ou de débloquer certaines contraintes.
Il se peut aussi que l’on ne sache pas réduire certains risques. Il convient de l’expliquer clairement.
8
Après mesures techniques et assurance.
Il s’agit de solutions de type juridique et assurance. On examine d’abord les solutions de déport
relatives aux risques que l’on ne parvient pas à réduire suffisamment grâce aux solutions techniques
et procédurales. On examine dans un deuxième temps, mais sous l’angle de l’optimisation
économique seulement, le déport des catégories de risques, quelle que soit leur gravité.
On élabore ainsi un plan précis et justifié d’assurance (risques / garanties, capitaux à assurer,
plafond et limites contractuels d’indemnisation, franchises, conditions). Il se peut toutefois qu’il
demeure encore des risques insupportables
5.3.1 Solutions
On consolide les solutions relatives aux cellules (fournisseurs et clients). On vérifie que les livres de
solutions sont bien disponibles, classés par année du plan, par projet (regroupant des facteurs qui
doivent être traités ensemble), par cellule, et par catégorie d’acteurs concernés.
On élabore les documents consolidés planning (projet, tâche, catégorie d’acteur / année, trimestre
ou semestre) et budget (à la même taille), en trésorerie et en charge humaine (on ajoute les coûts
liés au § 3.2.3). On peut établir un bilan « coût / abaissement de la gravité ».
5.3.4 Rédaction
On finalise la rédaction du plan de sécurité sous la forme adéquate (actuellement standardisée) dont
la structure est généralement la suivante :
• Le schéma directeur ou plan de sécurité (environ 120 à 200 pages, non confidentiel)
Le comité de pilotage se prononce sur les derniers ajustements. La note de synthèse est expliquée à
la DG. Il peut y avoir encore ajustement. Le plan définitif est formalisé puis diffusé (pour la partie
non confidentielle) aux « ayants droits ».
RESUME DE LA PHASE 3 : PLAN D’ACTION
L’impact (potentiel) d’une menace est généralement analysé selon plusieurs critères, dont au moins
un est financier. Ces critères doivent être pertinents au regard des objectifs stratégiques de
l’entreprise, et la métrique associée à ces critères doit elle-même être cohérente avec les
caractéristiques quantitatives de ces objectifs.
Nous présentons ci-après un exemple de table de critères d’impact avec leur métrique. Cet exemple
n’est que symbolique : dans la réalité, le choix des critères, et surtout le calibrage de la métrique (en
particulier le niveau 2 qui marque la frontière conventionnelle RM/RS) doivent faire l’objet d’une
étude approfondie. Les définitions elles-mêmes n’occupent pas – comme dans notre exemple –
quelques lignes mais une ou plusieurs pages définissant avec précision les différents cas de figure.
Plus cette grille sera précise (et s’approchera de la diversité des conséquences de sinistres), et plus
l’évaluation de l’impact sur le terrain sera précise.
La potentialité est un élément plus subjectif que l’impact. Il n’est pas intrinsèque, mais lié à un cas
précis de risque(r), par exemple (rk). Pour un type de risque (r), on a donc en général une série de
couples possibles (ik, rk), dont on conserve celui pour lequel la gravité est maximale, ce qui
correspond généralement à la valeur maximale de ik (avec pk ≠ 0) si l’on utilise la table d’aversion
standard de MARION.
Bien que p soit homogène à une probabilité d’occurrence de (r), elle n’obéit pas aux même lois. Elle
sert essentiellement de modérateur dans l’appréciation de (i) : elle permet aux utilisateurs de citer
des scénarios catastrophiques, tout en considérant que ceux-ci sont peu plausibles. On utilise
généralement une échelle grossière qui se révèle suffisante dans la pratique.
Pertes financières 1 MF 5 MF 10 MF 30 MF
dues à des
malveillances
Les risques (r) sont caractérisés par leur gravité gr. Celle-ci dépend de leur impact (ir) et de leur
potentialité (pr) (voir annexe 1)
gr = A(Ir, Pr)
Métrique : 0 ≤ (g, i, p) ≤ 4
p
P1
S1
P2
S2
P3 S3
i1 i2 i3 i
L’impact est généralement évalué sur un exercice comptable et parfois davantage (risques majeurs).
Dans le premier cas, i incorpore si nécessaire une fréquence (pour les risques simples). Par exemple,
il est plausible (p = 3) d’envisager dix pannes d’impact a, correspondant au total à i = 2.
Lorsqu’on évalue plusieurs variables, dont généralement une évaluation à i maximum pour p > 0,
on recherche la gravité maximale :
g* = Max (g1, g2, g3) dans notre exemple.
Ceci dépend naturellement de la forme de A. S’il s’agit de la table standard, g* correspondra
souvent à g (i Max, p ≠ 0).
La table d’aversion présentée est dite « raisonnablement prudentielle ». C’est la table standard que
nous proposons pour MARION mais qui peut être adaptée à la politique d’aversion de chaque
entreprise, c’est à dire que :
g ≡ i si i ≥ 3 (sauf si p ≡ 0)
g ~ i si 2 < i <3 (sauf si p ≡ 0)
g ≡ A- (i, p) ≤ i si i ≤ 2.
Un audit MARION est réalisé par facteurs (maille universelle quel que soit le système) qui se
décomposent en thèmes et en questions (dont la nature, le nombre, et le contenu dépendent du
système analysé).
Les méthodes, même « parfaites », peuvent être mal utilisées, servir de support à de mauvais
raisonnements, et, in fini, fournir de mauvais résultats.
Nous suggérons de décrire des règles de fonctionnement canoniques, par classe d’assurance des
informations collectées et restituées.
Cela permettrait d’introduire une certaine souplesse contrôlable dans la pratique de la méthode et
cela pourrait favoriser l’usage de la méthode9 pour l’évaluation des risques dans un domaine et des
circonstances donnés, par exemple, lorsqu’une partie de l’activité propre à une entreprise ou liant
plusieurs entreprises est liée à la sécurité d’un domaine de SI.
On aurait ainsi une idée plus normalisée, plus formelle que la « confiance » que l’on peut accorder à
une évaluation MARION. Il y a bien des cas où l’on peut se contenter d’une assurance de bas
niveau et l’application de MARION serait alors rapide et légère. Il y a en revanche des cas où une
assurance d’un niveau plus élevé est nécessaire. Cela permettrait aussi un meilleur emboîtement
avec une évaluation ITSEC.
Le tableau annexé ci-après suggère ce qui pourrait être fait, étant entendu que les conditions
minimales obligatoires indiquées, cumulatives entre un niveau n et un niveau n + 1, pourraient être
complétées et développées plus formellement. Le niveau d’assurance En n’est acquis que si les
spécifications relatives aux phases (0, 1, 2, 3) sont au moins respectées - cumulativement – au
niveau n pour chaque phase.
9
Pour des SI, ou des sous-SI, ou des applications sensibles.
On doit pouvoir établir un lien entre toute méthode d’analyse des risques et les critères d’évaluation
(ITSEC, pour la circonstance).
La phase 2 (Analyse des risques) dans MARION apporte une première évaluation en nature et
niveau des menaces de base. La phase 3 fournit un résultat en termes de spécification de solution
(selon la trame facteurs/thèmes). Il est possible d’établir une classification intrinsèque des besoins
en ne tenant plus compte de la sécurité existante, mais en utilisant le même canevas. Il est possible
d’établir une interface entre la trame MARION et la trame des services de sécurité (fonctionnalités)
en entrée des ITSEC, de manière à spécifier objectivement la TOE, pour le sous-ensemble du
système d’information qu’il est possible et licite de faire évaluer dans un cadre ITSEC. En retour,
l’évaluation de services de sécurité apporte une partie des réponses dans la phase 1 d’audit.
Si les deux actions MARION/ITSEC(1) et ITSEC/MARION(2) sont réalisées à la suite, on peut
opérer une simulation (itérative). Mais les deux actions sont généralement déconnectées. La
première opération est alors une aide à la définition de la TOE et la seconde est une aide à l’audit
grâce à l’évaluation.
ITSEC
O
Evaluation
1 2
3 Evaluation intrinsèque
Evaluation intrinsèque
(2)
REFERENCE POIDS DU 16 1 8 8 3 11 30 10 12 1
DU FACTEUR FACTEUR
* Les facteurs de protection sont repérés (*) ; les autres correspondent à la prévention
1 -Risques matériels
2 - Vol, sabotage matériel
3 - Pannes et dysfonctionnement de matériels et logiciels de base
4 - Erreurs de saisie, transmission et utilisation des informations
5 - Erreurs d'exploitation
6 - Erreurs de conception et de réalisation
7 - Fraude, sabotage immatériel
8 - Détournement d'informations
9 - Détournement de logiciels
10 - Grèves, départ de personnel, sécurité des personnes
* Les facteurs de protection sont repérés (*) ; les autres correspondent à la prévention
1 - Risques
2 - Vol, sabotage matériel
3 - Pannes et dysfonctionnement de matériels et logiciels de base
4 - Erreurs de saisie, transmission et utilisation des informations
5 - Erreurs d'exploitation
6 - Erreurs de conception et de réalisation
7 - Fraude, sabotage immatériel
8 - Détournement d'informations
9 - Détournement de logiciels
10 - Grèves, départ de personnel, sécurité des personnes
* Les facteurs de protection sont repérés (*) ; les autres correspondent à la prévention
1 - Risques
2 - Vol, sabotage matériel
3 - Pannes et dysfonctionnement de matériels et logiciels de base
4 - Erreurs de saisie, transmission et utilisation des informations
5 - Erreurs d'exploitation
6 - Erreurs de conception et de réalisation
7 - Fraude, sabotage immatériel
8 - Détournement d'informations
9 - Détournement de logiciels
10 - Grèves, départ de personnel, sécurité des personnes
FACTEURS D I C
101 4 2 3
102 3 7 4
103 2 6 7
201 1 1 1
301 9,5 0 0
302 3 1 11
303 1 0 0
304 2 0 0
305 9 0 0
306 2 0 0
307 5 0 0
308 16 2 0
309 0 2 3
310 2 3 5
311 3 2 0
401 4 8 14
402 5,5 8 13
403 1 5 3
501 1 1 1
502 0 2 0
503 11 7 6
504 2 8 6
505 5 1 0
601 3 8 4
602 3 8 4
603 0 15 15
604 2 3 0
100 100 100