Professional Documents
Culture Documents
Etude
comparative
des mthodes
d'audit dans un
Sommaire
Introduction..................................................................................................3
Menaces et risques......................................................................................4
Politique de scurit.....................................................................................4
Audit............................................................................................................5
Diffrence entre une mthode et une norme...............................................5
Pourquoi une norme ?..................................................................................5
La norme ISO 27002....................................................................................6
1. Historique............................................................................................6
2. Objectifs..............................................................................................7
3. Contenu de la norme...........................................................................7
Prsentation des mthodes........................................................................13
1. EBIOS................................................................................................13
2. Melisa................................................................................................15
3. Marion...............................................................................................15
4. Mehari...............................................................................................18
Comparatif des mthodes..........................................................................20
Critres de choix........................................................................................23
Conclusion..................................................................................................24
Bibliographie..............................................................................................25
Webographie..............................................................................................25
Liste des tableaux......................................................................................25
Liste de figures..........................................................................................25
Introduction
Aujourdhui, le monde de la scurit dinformation joue un rle capital
dans la stratgie dentreprise. Depuis le dbut de la crise, beaucoup de
chose ont chang, tant au niveau des mentalits que des ressources
techniques et humaines engages dans la scurit par les entreprises.
Il est toutefois difficilement concevable lheure actuelle dimaginer
mettre en place des rgles et des instruments destins assurer la
scurit de linformation sans se baser sur des outils spcifiquement
conus cet effet, tant les systmes et leurs interactions sont devenu
complexes. Il est aujourdhui acquis quune entreprise se doit de
considrer sa structure de manire systmique, et chaque secteur
indpendamment. Cest l quinterviennent les normes et mthodes,
vritables salvatrices des responsables de la scurit des SI.
Mais quelle sont-elles rellement ? Dans quel cadre et comment les
utiliser ? Sont-elles toutes ncessaires ? Peut-on les classer ou les dissocier
les unes des autres ?
Cest dans le but de rpondre ces questions que nous devions raliser un
comparatif global et une prsentation de ces normes et mthodes savoir
:
EBIOS
MEHARI
MELISA
MARION
ISO 27002 2005 / ISO 27002 2013
Suite cette analyse, nous serons tre capables de rpondre aux deux
problmatiques suivantes :
Menaces et risques
Le risque est au centre des mthodes danalyse de scurit cest pour cela
quil ne faut pas confondre risque et menace : La menace est une atteinte
potentielle la scurit dun systme. La prvention a pour but de
diminuer le degr dexposition dun systme la menace. Le risque est la
concrtisation de la menace sous la forme dagressions et de sinistre
entranant ainsi des pertes ou plus gnralement des prjudices ou des
dommages.
Les causes de ces sinistres peuvent tre de diffrentes natures, il peut
sagir notamment de pannes, dvnements naturels, de vol de donnes,
dinfection par virus etc. ... Il faut tre en mesure de mettre en place des
procdures pour raliser dans des dlais acceptables une reprise dactivit
(PRA, PRS).Comment scuriser les systmes. Tenter de scuriser un
systme d'information revient essayer de se protger contre les risques
lis l'informatique pouvant avoir un impact sur la scurit de celui-ci, ou
des informations qu'il traite. Afin de scuriser les Systmes dinformation
nous pouvons donc avoir recours des mthodes ou des best practice
selon les besoins en scurit engendrs par le SI. En effet, nous nous
tournerons vers des mthodes diffrentes selon le contexte dans lequel
nous voluerons. De nombreuses questions permettront de dfinir sil faut
se pencher sur une analyse, une mthode, ou des rgles de bonnes
conduites. Certains systmes sont dits scuriss, mais ne respectent pas
les lments de bases lis la scurit (par exemple la rdaction de
procdures de scurit qui doivent tre analyses par des quipes
spcialises et amliores ds que possible) : donc dans ces cas-l il
vaudra peut-tre mieux envisager une analyse par le haut (objet du best
practice).Dans le cas dune organisation nouvelle, ou dune organisation
qui ne possde pas rellement de stratgie ou de politique de scurit, il
faudra envisager une analyse par le bas (objet de la mthode ou du
parcours).
Politique de scurit
Une politique de scurit peut tre vue comme l'ensemble des modles
d'organisation, des procdures et des bonnes pratiques techniques
permettant d'assurer la scurit du systme d'information.
Mais qu'est-ce que la scurit d'un SI ? Elle tourne autour des 5 principaux
concepts
suivants
l'information
et
l'intgrit
des
des
changes,
donnes,
la
la
confidentialit
disponibilit
des
de
services,
Audit
Un audit de scurit permet de mettre en vidence les faiblesses de la
mise en uvre d'une politique de scurit. Le problme peut venir de la
politique
elle-mme
mal
conue
ou
inadapte
aux
besoins
de
de
s'accorder
sur
des
normes
pour
aider
scuriser
dtailles.
En 1998, le BSI scinde le premier document en deux tomes : le BS
7799-1 correspondant aux codes des bonnes pratiques, et le BS
possibilit de certification.
En 2007, la norme ISO/CEI 17799:2005 tant obsolte, a t
ISO 27002:2013
11 Chapitres +4
14 Chapitres +4
39 Objectifs de scurit
35 Objectifs de scurit
la
norme
et
les
11
chapitres
suivants
couvrent
le
de
l'information
est
explicitement
dfinie
comme
la
gnrales
sur
la
slection
et
l'utilisation
de
mthodes
le domaine financier.
Relations avec les autorits : un grand nombre dorganismes sont
tenus davoir des relations avec les autorits. Ces relations doivent
tre formalises et entretenues. Les autorits avec lesquelles il faut
avec
le
dveloppement
des
parcs
mobiles
(smartphones, tablettes).
g. Chapitre n 7 : Scurit des ressources humaines
Il existe un certains nombres de mesures de scurit prendre auprs du
personnel avant son embauche, pendant sa prsence dans lorganisme,
puis son dpart :
de linformation.
Publication dune charte destine aux utilisateurs,
Concevoir et formaliser un processus disciplinaire afin de recadrer le
personnel.
Au dpart du personnel : la norme conseil de clarifier autant que
possible les rgles de scurit qui seront applicables au salari,
mme quand il aura quitt lentreprise.
recommande
de
adquate.
Les
procdures
doivent
tre
correctement
formalises.
k. Chapitre n 11 : Scurit physique et environnementale
Mesure de scurit des salles machines et des autres locaux de
lorganisme :
Les salles machine doivent tre conu dans les rgles de lart,
Contrle daccs physique doit interdire laccs toute personnes
non habilites,
Protections contre les dsastres naturels, contre les attaques
malveillantes ainsi que contre les accidents.
importants :
Documentation
des
procdures
dexploitation :
la
norme
les
environnements
de
production
et
ceux
de
sauvegarde.
Journalisation : la norme recommande de journaliser les vnements
jugs les plus pertinents. Elle conseille aussi de protger les
journaux
administrateurs.
Surveillance
de
lactivit
des
administrateurs.
Gestion des vulnrabilits techniques : cette mesure consiste
mettre en place une veille en vulnrabilits et appliquer dans un
dlai appropri tout correctif qui serait ncessaire.
DMZ).
Transferts dinformation : Il est recommand de prendre des
dispositions techniques et organisationnelles pour scuriser les
changes
dinformation.
Une
des
mesures
recommande
au
Il
est
conseill
de
disposer
dengagement de confidentialit.
n. Chapitre n 14 : Acquisition, dveloppement et maintenance des
systmes dinformation
Il est convenu de mettre en place des mesures pour assurer la scurit des
services rseaux. Les mesures de scurit recommandent de protger les
transactions contre les erreurs et les traitements incomplets. Concernant
les changements applicatifs, la norme rappelle les mesures lmentaires
(exemple :
le
fait
deffectuer
des
revues
techniques
aprs
les
changements).
o. Chapitre n 15 : Relations avec les fournisseurs
Il sagit dun des points le plus important de la norme.
personnel
et
la
cryptographie,
qui
doit
tre
utilise
Outillages)
et
d'un
logiciel
permettant
de
simplifier
Etude du contexte
Expression des besoins de scurit
Etude des menaces
Identification des objectifs de scurit
Dtermination des exigences de scurit
l'entreprise,
architecture
du
systme
d'information,
contraintes
uvre une politique de scurit en tant que tel. A base d'un questionnaire,
elle donne une valuation chiffre du risque informatique.
Marion repose sur l'valuation des aspects organisationnels et techniques
de la scurit de l'entreprise auditer.
Elle utilise 27 indicateurs classs en 6 thmatiques. Chaque indicateur se
voit attribuer une note entre 0 (inscurit) et 4 (excellent), la valeur 3
indiquant une scurit correcte.
a. Thmatiques des indicateurs de la mthode Marion
Scurit organisationnelle
Scurit physique
Continuit
Organisation informatique
Scurit logique et exploitation
Scurit des applications
chacun
des
indicateurs
et
les
facteurs
de
risques
particulirement importants.
Accidents physiques
Malveillance physique
Carence de personnel
Carence de prestataire
Panne du SI
intgrit,
disponibilit).
Ces
enjeux
expriment
les
Le Plan Stratgique de Scurit fixe les objectifs de scurit ainsi que les
mtriques permettant de les mesurer. C'est ce stade que le niveau de
gravit des risques encourus par l'entreprise est valu. Il dfinit la
Source
Langue
France (DCSSI et
Club EBIOS)
CLUSIF
Anglais, Franais et
autres
Franais
Masse
critique
Disponible
d'utilisateurs
Oui
Oui
Oui
Oui
Qualit
Crdibilit
Authenticit
Criticit
Intgrit
Explicit
Ralisme
Crativit
Exhaustivit
Congruence
Sensibilit
BIOS
MHARI
Oui
Non
Oui
Oui
Non
Oui
Oui
Non
Oui
Oui
Oui
Non
Oui
Oui
Non
Non
Oui
Non
Oui
Non
Critres /
Mthodes
Intitul
EBIOS
Langue
Franais
Pays
France
Conformit
ISO 31000, 27001,
27005
Documentation
Riche et disponible
en tlchargement
gratuit sur
http://www.ssi.gou
v.fr/fr/guides-etbonnespratiques/outilsmethodologiques/
Outils
Fonctionnalits
Logiciel EBIOS
2010, gratuit et
Analyse des
tlchargeable sur
risques
le site
Maturit SSI : la
https://adullact.net
DCSSI met
/projects/ebios201
disposition un
0/
document
dcrivant une
approche
mthodologique
pour dterminer
le niveau
adquat de
maturit de la
scurit des
systmes
dinformation
(http://www.ssi.g
ouv.fr/IMG/pdf/m
aturitessimethode-200711-02.pdf).
Etapes de mise
en uvre
Etablissement du
contexte
Apprciation des
risques
Traitement des
risques
Validation du
traitement des
risques
Communication et
concertation
relatives aux
risques
Surveillance et
revue des
risques
EBIOS formalise
une dmarche
itrative de
gestion des
risques
dcoupe en
cinq modules :
Etude du contexte
Etude des
vnements
redouts
Etude des
scnarios de
menaces
Complexit de
mise en uvre
La mise en uvre
de cette mthode
est facilite par la
mise disposition
des utilisateurs de
bases de
connaissances riches
et enrichissables,
d'un logiciel libre et
gratuit permettant
de simplifier
lapplication et
dautomatiser la
cration des
documents de
synthse. Par
ailleurs, un club
dutilisateurs
EBIOS a t cr
en 2003 et
constitue une
communaut
dexperts
permettant le
partage des
expriences.
Critres /
Mthodes
Intitul
MEHARI
Langue
Franais, anglais,
allemand,
Pays
France
Conformit
ISO 27001, 27002,
27005
Documenta
tion
Riche et
disponible en
tlchargem
ent gratuit
sur
https://www.
clusif.asso.fr/
fr/production
/mehari/pres
entation.asp
outils
Un premier
niveau
d'outil est
directemen
t inclus
dans la
base de
connaissan
ces de la
mthode,
en utilisant
les
formules
Excel et
Open
Office. Un
manuel de
rfrence,
Fonctionnalit
s
Analyse des
risques
Tableau de bord
Indicateurs
Maturit SSI : la
mthode
donne des
indications de
maturit de la
capacit de
l'organisation
grer la
scurit de
l'information
sous toutes
ses formes.
Complexit de
mise en uvre
La mise en uvre
de MEHARI ne peut
tre conduite
quen conjonction
avec un logiciel ou
des feuilles de
calculs ddis. Le
dmarrage de
lanalyse ncessite
une adaptation un
peu complique de
"la base de
connaissances".
Par ailleurs, une
version MEHARIPro qui vise
principalement les
petites ou
Elle permet de
mesurer le
niveau de
maturit de la
scurit des
systmes
dinformation
travers
plusieurs
indicateurs
(par exemple :
l'efficacit, la
rsilience, les
aspects de
continuit).
moyennes
organisations,
prives ou
publiques est
disponible au
http://www.clusif.as
so.fr/fr/production/
mehari/presentatio
n.asp
Critres de choix
Nous ne donnons pas dans ce comparatif un avis favorable ou une
prfrence pour lune ou lautre des mthodes prsentes. En outre, nous
citons ci-aprs quelques critres qui pourraient aider en choisir une :
considration
La base de connaissance et les outils supportant la mthode : leur
certain
La prennit : Il est trs important que lditeur de la mthode en
assure la prennit
La compatibilit: la compatibilit avec des normes internationales
rapport au risque
L'existence d'outils logiciels en facilitant l'utilisation
La facilit d'utilisation et le pragmatisme de la mthode
Le cot de la mise en uvre
La quantit de moyens humains qu'elle implique et la dure de
mobilisation
La taille de l'entreprise laquelle elle est adapte
Le support de la mthode par son auteur, une mthode abandonne
n'offre plus la possibilit de conseil et de support de la part son
diteur
Sa popularit, une mthode trs connue offre un rservoir de
personnels qualifis pour la mettre en uvre
Conclusion
Dans ce comparatif, nous avons abord quatre mthodes que nous
estimons les plus utilises pour laudit de scurit des systmes
dinformation et danalyse des risques. LISO/27002 nest pas une
mthode mais une norme qui a lavantage davoir le soutien dun
organisme international et dont le statut lui confre une popularit native.
Elle permet de dvelopper sa propre mthode. Par ailleurs, pour mener
efficacement une analyse des risques, il est recommand de tenir compte
des points suivants :
Bibliographie
Webographie
http://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-
identification-des-objectifs-de-securite/
http://www.leger.ca/EBIOS/pages/articles/evaluation_methodes.htm
http://cyberzoide.developpez.com/securite/methodes-analyserisques/
Liste de figure