4ITSEC-AFRICA

Soutenance

Processus D’Audit
Des Systemes d’information
1 MEHARI

2 Phases de MEHARI

3 EBIOS

4
Phases de EBIOS
 2 MEHARI

Phase 1 : enjeux et classification des actifs

MEHARI
1. Identifier les activités et leurs finalités
EBIOS
2. Identifier les disfonctionnements qui pèsent sur les actifs :
- Au niveau fonctionnel
- Au niveau technique
3. Identifier les conséquences de chaque disfonctionnement
4. Evaluation du niveau de gravite de ces disfonctionnements

2
 3 MEHARI

Phase 2 : diagnostic (audit) des services de sécurité

1. Le schéma de l’audit
MEHARI
- Distinguer des domaines de responsabilité pour lesquels il est
EBIOS
possible de définir des responsables de domaine ayant une politique
de sécurité cohérente
- Identifier des sous-domaines dans chaque domaine
Domaine Variantes

Les salles informatiques

Locaux
Les locaux techniques

2. Le processus de l’audit
Une fois le schéma d’audit élaborer, il suffit d’utiliser le questionnaire
pour chaque responsable de domaine ou sous-domaine.
3
 4 MEHARI

Phase 3 : Appréciation des risques

1. Identification des risques

MEHARI
Identifier les types d’actifs, les évènements, les incidents dans la feuilles
EBIOS Excel
2. L’estimation des risques identifiés
1 : très improbable (chute de l’immeuble)
2 : improbable (incendie)
3 : plutôt probable (panne d’un équipement informatique)
4 : très probable (erreur de saisie)

3. L’évaluation de la gravité des scénarii de risques

Gravite = impact * vraisemblance
4
 ETUDE DE CAS
D’UNE PME TIC VENTE DE PRODUITS EN LIGNE

Mission : assurer le déroulement de la vente de produits

en ligne
 Disponibilité des infrastructures matérielles et
logicielles
 Disponibilité du service de livraison
 Garantir la sécurité du paiement en ligne

6
 5 MEHARI

Phase 4 : traitement des risques

MEHARI
- Réduire le risque c’est-à-dire prendre des mesures pour que l’impact
EBIOS
ou la potentialité ou les deux soient réduits et diminuent la gravité
résiduelle en conséquence
- Décider d’éviter le risque en supprimant la situation de risque par
des mesures structurelles ou organisationnelles
- Transférer le risque, essentiellement par l’assurance
- Accepter le risque tel quel

5
 6 EBIOS

Phase 1 : Etude de contexte

MEHARI

- Définir le cadre de gestion de risque

EBIOS
- Préparer les métriques (échelle)
- Identifier les actifs

6
 7 EBIOS

Phase 2 : Etude des évènements redoutés (concerne les biens

MEHARI essentiels)

EBIOS
- Identifier les évènements redoutés pour chaque bien essentiel,
- Identifier ses besoins de sécurité (critère de sécurité : DIC),
- Identifier ses sources de menaces,
- Evaluer son impact
- Evaluer sa gravite : Négligeable, limitée, importante, critique

7
 8 EBIOS

MEHARI Phase 3 : Etude des scenario de menaces (concerne les biens

supports)
EBIOS

Pour chaque actif support, on détermine les scenario de menaces

possibles, ensuite identifier les sources de ses menaces et enfin sa
vraisemblance (Minime, significative, forte, maximale)

8
 9 EBIOS

Phase 4 : Etude des risques

MEHARI Apprécier les risques : Pour chaque évènement redouté, identifier son

EBIOS
besoin en sécurité, ses sources de menaces, son impact et sa gravite.
Risque = gravite * vraisemblance
Choisir les options de traitement des risques : accepter, éviter, réduire,
transférer
Traiter les risques résiduels (risque à réduire) : évaluer sa graviter et sa
vraisemblance
Enfin analyser les risques résiduels