Académique Documents
Professionnel Documents
Culture Documents
Soutenance
Processus D’Audit
Des Systemes d’information
1 MEHARI
2 Phases de MEHARI
3 EBIOS
4
Phases de EBIOS
2 MEHARI
MEHARI
1. Identifier les activités et leurs finalités
EBIOS
2. Identifier les disfonctionnements qui pèsent sur les actifs :
- Au niveau fonctionnel
- Au niveau technique
3. Identifier les conséquences de chaque disfonctionnement
4. Evaluation du niveau de gravite de ces disfonctionnements
2
3 MEHARI
1. Le schéma de l’audit
MEHARI
- Distinguer des domaines de responsabilité pour lesquels il est
EBIOS
possible de définir des responsables de domaine ayant une politique
de sécurité cohérente
- Identifier des sous-domaines dans chaque domaine
Domaine Variantes
2. Le processus de l’audit
Une fois le schéma d’audit élaborer, il suffit d’utiliser le questionnaire
pour chaque responsable de domaine ou sous-domaine.
3
4 MEHARI
6
5 MEHARI
MEHARI
- Réduire le risque c’est-à-dire prendre des mesures pour que l’impact
EBIOS
ou la potentialité ou les deux soient réduits et diminuent la gravité
résiduelle en conséquence
- Décider d’éviter le risque en supprimant la situation de risque par
des mesures structurelles ou organisationnelles
- Transférer le risque, essentiellement par l’assurance
- Accepter le risque tel quel
5
6 EBIOS
6
7 EBIOS
EBIOS
- Identifier les évènements redoutés pour chaque bien essentiel,
- Identifier ses besoins de sécurité (critère de sécurité : DIC),
- Identifier ses sources de menaces,
- Evaluer son impact
- Evaluer sa gravite : Négligeable, limitée, importante, critique
7
8 EBIOS
8
9 EBIOS
MEHARI Apprécier les risques : Pour chaque évènement redouté, identifier son
EBIOS
besoin en sécurité, ses sources de menaces, son impact et sa gravite.
Risque = gravite * vraisemblance
Choisir les options de traitement des risques : accepter, éviter, réduire,
transférer
Traiter les risques résiduels (risque à réduire) : évaluer sa graviter et sa
vraisemblance
Enfin analyser les risques résiduels