Etude Comparative

Universit Hassan 1er
Facult des Sciences et Techniques

Settat
Etude
comparative
des mthodes
d'audit dans un
Comparatif des mthodes daudit
Anne universitaire 2015 - 2016
Sommaire
Introduction..................................................................................................3
Menaces et risques......................................................................................4
Politique de scurit.....................................................................................4
Audit............................................................................................................5
Diffrence entre une mthode et une norme...............................................5
Pourquoi une norme ?..................................................................................5
La norme ISO 27002....................................................................................6
1. Historique............................................................................................6
2. Objectifs..............................................................................................7
3. Contenu de la norme...........................................................................7
Prsentation des mthodes........................................................................13
1. EBIOS................................................................................................13
2. Melisa................................................................................................15
3. Marion...............................................................................................15
4. Mehari...............................................................................................18
Comparatif des mthodes..........................................................................20
Critres de choix........................................................................................23
Conclusion..................................................................................................24
Bibliographie..............................................................................................25
Webographie..............................................................................................25
Liste des tableaux......................................................................................25
Liste de figures..........................................................................................25
Introduction
Aujourdhui, le monde de la scurit dinformation joue un rle capital
dans la stratgie dentreprise. Depuis le dbut de la crise, beaucoup de
chose ont chang, tant au niveau des mentalits que des ressources
techniques et humaines engages dans la scurit par les entreprises.
Il est toutefois difficilement concevable lheure actuelle dimaginer
mettre en place des rgles et des instruments destins assurer la
scurit de linformation sans se baser sur des outils spcifiquement
conus cet effet, tant les systmes et leurs interactions sont devenu
complexes. Il est aujourdhui acquis quune entreprise se doit de
considrer sa structure de manire systmique, et chaque secteur
indpendamment. Cest l quinterviennent les normes et mthodes,
vritables salvatrices des responsables de la scurit des SI.
Mais quelle sont-elles rellement ? Dans quel cadre et comment les
utiliser ? Sont-elles toutes ncessaires ? Peut-on les classer ou les dissocier
les unes des autres ?
Cest dans le but de rpondre ces questions que nous devions raliser un
comparatif global et une prsentation de ces normes et mthodes savoir
:
EBIOS
MEHARI
MELISA
MARION
ISO 27002 2005 / ISO 27002 2013
Suite cette analyse, nous serons tre capables de rpondre aux deux
problmatiques suivantes :
En quoi ces mthodes constituent un moyen de consolider le fait
quil sagit bien de scurit ?

Quelle mthode choisir ?
Menaces et risques
Le risque est au centre des mthodes danalyse de scurit cest pour cela
quil ne faut pas confondre risque et menace : La menace est une atteinte
potentielle la scurit dun systme. La prvention a pour but de
diminuer le degr dexposition dun systme la menace. Le risque est la
concrtisation de la menace sous la forme dagressions et de sinistre
entranant ainsi des pertes ou plus gnralement des prjudices ou des
dommages.
Les causes de ces sinistres peuvent tre de diffrentes natures, il peut
sagir notamment de pannes, dvnements naturels, de vol de donnes,
dinfection par virus etc. ... Il faut tre en mesure de mettre en place des
procdures pour raliser dans des dlais acceptables une reprise dactivit
(PRA, PRS).Comment scuriser les systmes. Tenter de scuriser un
systme d'information revient essayer de se protger contre les risques
lis l'informatique pouvant avoir un impact sur la scurit de celui-ci, ou
des informations qu'il traite. Afin de scuriser les Systmes dinformation
nous pouvons donc avoir recours des mthodes ou des best practice
selon les besoins en scurit engendrs par le SI. En effet, nous nous
tournerons vers des mthodes diffrentes selon le contexte dans lequel
nous voluerons. De nombreuses questions permettront de dfinir sil faut
se pencher sur une analyse, une mthode, ou des rgles de bonnes
conduites. Certains systmes sont dits scuriss, mais ne respectent pas
les lments de bases lis la scurit (par exemple la rdaction de
procdures de scurit qui doivent tre analyses par des quipes
spcialises et amliores ds que possible) : donc dans ces cas-l il
vaudra peut-tre mieux envisager une analyse par le haut (objet du best
practice).Dans le cas dune organisation nouvelle, ou dune organisation
qui ne possde pas rellement de stratgie ou de politique de scurit, il
faudra envisager une analyse par le bas (objet de la mthode ou du
parcours).
Politique de scurit
Une politique de scurit peut tre vue comme l'ensemble des modles
d'organisation, des procdures et des bonnes pratiques techniques
permettant d'assurer la scurit du systme d'information.
Mais qu'est-ce que la scurit d'un SI ? Elle tourne autour des 5 principaux
concepts
suivants
l'information
et
l'intgrit
des
des
changes,
donnes,
la
la
confidentialit
disponibilit
des
de
services,
l'authentification des utilisateurs et la non rpudiation des transactions.

Pour garantir la scurit, une politique de scurit est gnralement
organise autour de 3 axes majeurs: la scurit physique des installations,
la scurit logique du systme d'information et la sensibilisation des
utilisateurs aux contraintes de scurit.
Audit
Un audit de scurit permet de mettre en vidence les faiblesses de la
mise en uvre d'une politique de scurit. Le problme peut venir de la
politique
elle-mme
mal
conue
ou
inadapte
aux
besoins
de
l'entreprise, ou bien d'erreurs quant sa mise en application.

Des audits sont ncessaires : suite la mise en place initiale d'une
politique de scurit, puis rgulirement pour s'assurer que les mesures
de scurit sont mises niveau et que les usages restent conformes aux
procdures.
Seront abordes ici les principales mthodes employes en Europe et en
Amrique du Nord.
Diffrence entre une mthode et une norme

Une norme peut tre dfinie ainsi : cest un document de rfrence bas
sur un consensus couvrant un large intrt industriel ou conomique et
tabli par un processus volontaire.
la diffrence, une mthode est un moyen darriver efficacement un

rsultat souhait, prcis. Mais une mthode nintgre pas la notion de
document de rfrence, ni la notion de consensus.
Il ne faut donc pas opposer norme et mthode, mais plutt les associer,
une mthode sera loutil utilis pour satisfaire une norme. Ainsi pour
mettre en uvre efficacement la norme ISO27002, il faut sappuyer sur
une mthode de gestion des risques de type MEHARI, MARION, EBIOS,
Pourquoi une norme ?

Les mthodes existantes de scurit de linformation qu'elles soient
prives (Marion, Mehari, ..) ou publics (EBIOS, ), ne constituent pas un
label de confiance pour la scurit globale de l'entreprise, lis leur
dimension locale et leur faible prennit et volutivit. C'est pour rpondre
ce besoin de confiance globale de lconomie numrique, qu'ont t
lancs des travaux pour tablir des standards internationaux dans la
scurit de linformation. Des entreprises ayant de nombreux changes de
donnes avec dautres socits (nationales ou internationales) ou avec de
nombreux partenaires et clients ont senti depuis une dizaine dannes la
ncessit
de
s'accorder
sur
des
normes
pour
aider
scuriser
linformation et les processus dchanges. C'est cet objectif, justement, qui

a prsid la cration de cette norme ISO17799 actuellement ISO 27002.
Cette norme a pour objectif dtablir un label de confiance pour la scurit
globale de linformation de l'entreprise
La norme ISO 27002

1. Historique
En 1995, le standard britannique "BS 7799" qui fut cr par le

"British Standard Institue" (BSI) dfinit des mesures de scurit
dtailles.
En 1998, le BSI scinde le premier document en deux tomes : le BS
7799-1 correspondant aux codes des bonnes pratiques, et le BS
7799-2 correspondant aux spcifications d'un systme de gestion
de la scurit de l'information (SMSI).

En 2000, l'Organisation internationale de normalisation (ISO) dite
la norme ISO/CEI 17799:2000 correspondant aux codes des
bonnes pratiques issues de la BS 7799.

En 2005, deux normes sont dites :
ISO/CEI 17799:2005 qui remanie les domaines et objectifs,
ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la
possibilit de certification.
En 2007, la norme ISO/CEI 17799:2005 tant obsolte, a t
remplace par la norme 27002 qui en reprend l'essentiel.

En 2013, la norme a t mise jour et son titre a t modifi. Elle
a connu de nombreuses modifications telles que :
ISO 27002:2005
ISO 27002:2013
11 Chapitres +4
14 Chapitres +4
39 Objectifs de scurit
35 Objectifs de scurit
133 Mesures de scurit
113 Mesures de scurit
La rvision 2013 de la norme internationale permettra aux entreprises de

toutes tailles et secteurs d'accueillir l'volution rapide et la complexit
accrue du management des informations et le dfi constant que
reprsente la cyberscurit.
2. Objectifs
ISO/CEI 27002 est plus un code de pratique, quune vritable norme ou
quune spcification formelle telle que lISO/CEI 27001. Elle prsente une
srie de contrles (35 objectifs de contrle) qui suggrent de tenir compte
des risques de scurit de informations relatives la confidentialit,
l'intgrit et les aspects de disponibilit. Les entreprises qui adoptent
l'ISO/CEI 27002 doivent valuer leurs propres risques de scurit de
l'information et appliquer les contrles appropris, en utilisant la norme
pour orienter lentreprise. La norme ISO 27002 n'est pas une norme au
sens habituel du terme. En effet, ce nest pas une norme de nature
technique, technologique ou oriente produit, ou une mthodologie
d'valuation d'quipement telle que les critres communs CC/ISO 15408.
4
Elle na pas de caractre d'obligation, elle namne pas de certification, ce

domaine tant couvert par la norme ISO/CEI 27001.
3. Contenu de la norme
La norme ISO/CEI 27002 est compos de 18 chapitres dont les 4 premiers
introduisent
la
norme
et
les
11
chapitres
suivants
couvrent
le
management de la scurit aussi bien dans ses aspects stratgiques que

dans ses aspects oprationnels.
a. Chapitre n 1 : Champ d'application
La norme donne des recommandations pour la gestion de la scurit des
informations pour ceux qui sont chargs de concevoir, mettre en uvre ou
maintenir la scurit.
b. Chapitre n 2 : Termes et dfinitions
Scurit
de
l'information
est
explicitement
dfinie
comme
la
prservation de la confidentialit, l'intgrit et la disponibilit de

l'information. Ceux-ci et d'autres termes connexes sont dfinies plus loin.
c. Chapitre n 3 : Structure de la prsente norme
Cette page explique que la norme contient des objectifs de contrle.
d. Chapitre n 4 : valuation des risques et de traitement
ISO/CEI 27002 couvre le sujet de la gestion des risques. Elle donne des
directives
gnrales
sur
la
slection
et
l'utilisation
de
mthodes
appropries pour analyser les risques pour la scurit des informations ;

elle ne prescrit pas une mthode spcifique, puisque celle-ci doit tre
approprie selon le contexte.
e. Chapitre n 5 : Politique de scurit de l'information
Il existe deux mesures de scurit. Elles concernent la composition de la
politique de scurit et sa revue priodique. Il sagit de rsumer les points
des articles quatre et cinq de la norme ISO 27001. Ensuite lISO 27002
conseille daborder chaque domaine relatif la scurit. voquer chaque
chapitre de la norme.
f. Chapitre n 6 : Organisation de la scurit de l'information

Il nexiste aucuns liens particuliers entre les diffrentes mesures de
scurit abordes dans ce chapitre. Elles sont toutes organisationnelles.
Rpartition des rles et responsabilits : une mesure conseille de

rpartir clairement les rles et responsabilits en matire de
scurit. Il est galement possible, selon la norme, didentifier les
responsables pour les principaux actifs.

Sparation des tches : la norme recommande la sparation des
tches dans le but de prvenir les risques de fraude et/ou de
modifications illicites. Cette recommandation est trs rpandue dans
le domaine financier.
Relations avec les autorits : un grand nombre dorganismes sont
tenus davoir des relations avec les autorits. Ces relations doivent
tre formalises et entretenues. Les autorits avec lesquelles il faut
tre en contact varient en fonction de lactivit de lorganisme.

Relations avec les groupes de travail spcialiss : il est conseill de
participer des forums professionnels abordant les questions de
scurit. Cela permet dchanger les expriences et damliorer le
niveau gnral de scurit.

Gestion de projet : il est recommand par la norme dintgrer la
scurit dans la gestion de projet. Le conseil donn est dapprcier
les risques puis dintgrer des points scurit tous.

Mobilit et tltravail : cette mesure aborde les questions de la
mobilit malgr sont aspect technique. Cette mesure a pris de
limportance
avec
le
dveloppement
des
parcs
mobiles
(smartphones, tablettes).
g. Chapitre n 7 : Scurit des ressources humaines
Il existe un certains nombres de mesures de scurit prendre auprs du
personnel avant son embauche, pendant sa prsence dans lorganisme,
puis son dpart :
Avant lembauche : il est souhaitable de prciser des critres de

slection avant lembauche en matire de comptence gnrales et
comptences en scurit ncessaire pour chaque post. La norme
conseil, de plus, de formaliser dans les contrats de travail les
engagements du futur salari en matire de scurit.

Pendant la dure du contrat : la direction doit faire en sorte que tout
le monde adopte un comportement adquat par rapport la scurit
de linformation.
Publication dune charte destine aux utilisateurs,
Concevoir et formaliser un processus disciplinaire afin de recadrer le
personnel.
Au dpart du personnel : la norme conseil de clarifier autant que
possible les rgles de scurit qui seront applicables au salari,
mme quand il aura quitt lentreprise.
h. Chapitre n 8 : Gestion des actifs

Ce chapitre aborde les actifs dinformation au sens large du terme comme
les supports physiques.
Responsabilits relatives aux actifs : la norme recommande de

dresser un inventaire des actifs dinformation (lments important
en matire dinformation). Elle conseil ensuite de prciser, pour
chaque actif, quelle est son utilisation nominale.

Classification de linformation : cette partie
recommande
de
classifier linformation. Cela met en vidence les actifs les plus
sensibles, dans le but de mieux les protger.

Manipulation des supports : cette mesure rappelle quil est prudent
de bien penser les procdures de manipulation des supports
amovibles. La norme rappelle quil convient de prvoir une
procdure de destruction ou deffacement des donnes lorsque les
supports amovibles sont en fin de vie.
i. Chapitre n 9 : Contrle daccs

Lobjectif de cette catgorie est de contrler laccs aux informations des
installations de traitement, dinformation et des processus commerciaux.
j. Chapitre n 10 : Cryptographie
Il existe deux mesures de scurit :
Politique de chiffrement : cette mesure conseille de chiffrer les

informations en fonction de leur sensibilit et chiffrer les changes
lorsque les liaisons ne sont pas considres comme sres.

Gestion des cls : les consquences lies la divulgation des cls ou
la perte de celles-ci sont telles quil convient de les protger de
faon
adquate.
Les
procdures
doivent
tre
correctement
formalises.
k. Chapitre n 11 : Scurit physique et environnementale
Mesure de scurit des salles machines et des autres locaux de
lorganisme :
Les salles machine doivent tre conu dans les rgles de lart,
Contrle daccs physique doit interdire laccs toute personnes
non habilites,
Protections contre les dsastres naturels, contre les attaques
malveillantes ainsi que contre les accidents.
Scurit des quipements :
Les services gnraux doivent tre exploits conformment aux

spcifications du fabricant. Le cblage rseau doit tre pos de telle
sorte quil soit difficile dintercepter les flux,

Le matriel doit tre maintenu rgulirement afin de prvenir des
pannes et de prvoir des procdures appropries en vue de la mise
au rebut, en fin de vie,

Les quipements laisss sans surveillance doivent tre protgs et
les postes de travail doivent tre automatiquement verrouills.
l. Chapitre n 12 : Scurit lie lexploitation
Ce chapitre aborde de trs nombreux domaine : voici les plus
importants :
Documentation
des
procdures
dexploitation :
la
norme
recommande de documenter les procdures dexploitation ainsi que
les conduites tenir en cas derreur.

Gestion des changements : cette mesure consiste planifier les
changements, en apprcier les risques et prvoir les procdures
de mise en uvre. Elles consistent aussi prvoir des retours en
4
arrire en cas de problme, de vrifier que tous les acteurs

impliqus sont informs et que les diffrents responsables ont donn
leur accord pour le changement.

Dimensionnement du systme : des mesures doivent tre prises
pour garantir la capacit de traitement du SI. Il faut galement
vrifier que les nouveaux dispositifs ne vont pas consommer trop de
ressources et surveiller la charge du systme et de supprimer les
quipements et les donnes devenues inutiles.

Sparation des environnements : cette mesure consiste sparer
clairement
les
environnements
de
production
et
ceux
de
dveloppement. Cette norme recommande de ne pas placer
dinformations sensibles dans les bases de tests.

Protection contre les codes malveillants : la norme recommande
vivement le dploiement dantivirus, afin de prvenir les attaques
par code malveillant.

Sauvegardes : la norme donne des conseils sur les sauvegardes et
insiste sur le fait que des tests de restauration doivent tre raliss
priodiquement pour sassurer de lefficacit des processus de
sauvegarde.
Journalisation : la norme recommande de journaliser les vnements
jugs les plus pertinents. Elle conseille aussi de protger les
journaux
administrateurs.
Surveillance
de
lactivit
des
administrateurs.
Gestion des vulnrabilits techniques : cette mesure consiste
mettre en place une veille en vulnrabilits et appliquer dans un
dlai appropri tout correctif qui serait ncessaire.
m. Chapitre n 13 : Scurit des communications

Ce chapitre traite des mesures relatives la scurit des rseaux.
Scurit des services : Cette mesure recommande de spcifier avec

lentit qui fournit le service rseau les proprits du service rendu.
Cela concerne en autre la capacit des rseaux, leur dispositif de
continuit de service, mais galement les services supplmentaires
comme le filtrage, le chiffrement
Cloisonnement des rseaux : Le cloisonnement des diffrents

domaines de rseau est recommand (poste de travail, serveurs,
DMZ).
Transferts dinformation : Il est recommand de prendre des
dispositions techniques et organisationnelles pour scuriser les
changes
dinformation.
Une
des
mesures
recommande
au
personnel de ne pas tenir de conversations confidentielles dans les

lieux publics. Une autre mesure voque les prcautions prendre
dans la messagerie lectronique.

Engagement de confidentialit :
Il
est
conseill
de
disposer
dengagement de confidentialit.
n. Chapitre n 14 : Acquisition, dveloppement et maintenance des
systmes dinformation
Il est convenu de mettre en place des mesures pour assurer la scurit des
services rseaux. Les mesures de scurit recommandent de protger les
transactions contre les erreurs et les traitements incomplets. Concernant
les changements applicatifs, la norme rappelle les mesures lmentaires
(exemple :
le
fait
deffectuer
des
revues
techniques
aprs
les
changements).
o. Chapitre n 15 : Relations avec les fournisseurs
Il sagit dun des points le plus important de la norme.
Relations avec les fournisseurs : Il est conseill de rdiger une

politique de scurit destine aux fournisseurs, dinsrer des articles
relatifs la scurit des SI dans les contrats pour que les
fournisseurs sengagent dans le domaine.

Gestion de la prestation de service : Le fournisseur doit tre en
mesure dapporter la preuve quil respecte ses engagements en
matire de scurit.
p. Chapitre n 16 : Gestion des incidents lis la scurit de

linformatique
Ce chapitre voque toutes les mesures lies la gestion des incidents de
scurit de linformation.
Signalement des incidents : La norme a pour but dinciter les
utilisateurs du SI signaler tout incident.

Signalement des failles lies la scurit : Il est conseill de signaler
sans dlai toute vulnrabilit qui serait dtecte.

Apprciation des vnements et prise de dcision : La norme
recommande dtablir des critres pour valuer la gravit et par
consquence prendre les mesures adaptes.

Tirer les enseignements des incidents : Afin damliorer le processus
de gestion des incidents il est recommand dorganiser des retours
dexprience pour comprendre les causes des incidents.

Recueil des preuves : Il est trs important de collecter des preuves
de faon fiable en cas de poursuites judiciaires.
q. Chapitre n 17 : Aspects de la scurit de linformation dans la

gestion de la continuit dactivit
Il est recommand de raliser un plan de continuit (PCA) ou de reprise
(PRA), qui doit tre test et mis jour. De plus ce chapitre mentionne
quune catastrophe ne justifie pas de faire limpasse sur la scurit
(contrle daccs, chiffrement des donnes sensibles, protection des
donnes caractre personnel).
r. Chapitre n 18 : Conformit
Il est conseill didentifier les lgislations applicables dans le pays o se
situe lorganise. Des textes peuvent formuler des exigences concernant la
scurit des systmes dinformation que lorganisme se doit de respecter
sous peine de poursuites judiciaires ou de pnalits contractuelles. La
norme invite aussi les organismes mettre en place un processus de
gestion des licences ainsi que des dispositifs pour viter linstallation
illicite de logiciels. De plus la norme aborde la protection des donnes
caractre
personnel
et
la
cryptographie,
qui
doit
tre
utilise
conformment aux rglementations locales. La seconde partie du chapitre

prsente les mesures de scurit conseillant de faire auditer de faon
rgulire le Si tant du point de vue technique quorganisationnel.
Prsentation des mthodes

1. EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Scurit)
permet d'identifier les risques d'un SI et de proposer une politique de
scurit adapte aux besoin de l'entreprise (ou d'une administration). Elle
a t cre par la DCSSI (Direction Centrale de la Scurit des Systmes
d'Information), du Ministre de la Dfense (France). Elle est destine avant
tout aux administrations franaises et aux entreprises.
La mthode EBIOS se compose de 5 guides (Introduction, Dmarche,
Techniques,
Outillages)
et
d'un
logiciel
permettant
de
simplifier
l'application de la mthodologie explicite dans ces guides. Le logiciel libre

et gratuit (les sources sont disponibles) permet de simplifier l'application
de la mthode et d'automatiser la cration des documents de synthse. La
DCSSI possde un centre de formation o sont organiss des stages
destination des organismes publics franais. Un club d'utilisateurs EBIOS a
t cr en 2003 et constitue une communaut experte permettant le
partage des expriences. Une base de connaissances laquelle se
connecte le logiciel EBIOS permet d'avoir accs la description d'un
ensemble de vulnrabilits spcifiques, de contraintes de scurit, de
mthodes d'attaques. Elle peut tre enrichie via le logiciel.
La mthode EBIOS est dcoupe en 5 tapes :
Etude du contexte
Expression des besoins de scurit
Etude des menaces
Identification des objectifs de scurit
Dtermination des exigences de scurit
a. Dmarche EBIOS globale
Figure 1 : Dmarche globale de EBIOS
L'tude du contexte permet d'identifier quel systme d'information est la

cible de l'tude. Cette tape dlimite le primtre de l'tude : prsentation
de
l'entreprise,
architecture
du
systme
d'information,
contraintes
techniques et rglementaires, enjeux commerciaux. Mais est aussi tudi

le dtail des quipements, des logiciels et de l'organisation humaine de
l'entreprise.
L'expression des besoins de scurit permet d'estimer les risques et de
dfinir les critres de risque. Les utilisateurs du SI expriment durant cette
tape leurs besoins de scurit en fonction des impacts qu'ils jugent
inacceptables.
L'tude des menaces permet d'identifier les risques en fonction non plus
des besoins des utilisateurs mais en fonction de l'architecture technique
du systme d'information. Ainsi la liste des vulnrabilits et des types
d'attaques est dresse en fonction des matriels, de l'architecture rseau
et des logiciels employs. Et ce, quelles que soient leur origine (humaine,
matrielle, environnementale) et leur cause (accidentelle, dlibre).
L'identification des objectifs de scurit confronte les besoins de scurit
exprims et les menaces identifies afin de mettre en vidence les risques
contre lesquels le SI doit tre protg. Ces objectifs vont former un cahier
4
des charges de scurit qui traduira le choix fait sur le niveau de

rsistance aux menaces en fonction des exigences de scurit.
La dtermination des exigences de scurit permet de dterminer
jusqu'o on devra aller dans les exigences de scurit. Il est vident
qu'une entreprise ne peut faire face tout type de risques, certains
doivent tre accepts afin que le cot de la protection ne soit pas
exhorbitant. C'est notamment la stratgie de gestion du risque tel que
cela est dfini dans un plan de risque qui sera dtermin ici : accepter,
rduire ou refuser un risque. Cette stratgie est dcide en fonction du
cot des consquences du risque et de sa probabilit de survenue. La
justification argumente de ces exigences donne l'assurance d'une juste
valuation.
EBIOS fournit donc la mthode permettant de construire une politique de
scurit en fonction d'une analyse des risques qui repose sur le contexte
de l'entreprise et des vulnrabilits lies son SI.
2. Melisa
Melisa (Mthode d'valuation de la vulnrabilit rsiduelle des systmes
d'information) fut invente par Albert Harari au sein de la Direction
Gnrale de l'Armement (DGA/DCN) en France. Elle a t rachete par la
socit CF6 qui en a fait la promotion pendant de nombreuses annes.
Depuis le rachat de CF6 par Telindus, Melisa a t abandonne par ses
propritaires bien qu'elle fut largement utilise en France.
Melisa est une mthode assez lourde base sur un thsaurus de questions.
Elle a vocation tre utilise par de grandes entreprises.
3. Marion
Marion (Mthodologie d'Analyse de Risques Informatiques Oriente par
Niveaux) a t dveloppe par le CLUSIF dans les annes 1980 mais a t
abandonne en 1998 au profit de la mthode Mehari. C'est une mthode
d'audit de la scurit d'une entreprise, elle ne permet pas de mettre en
uvre une politique de scurit en tant que tel. A base d'un questionnaire,
elle donne une valuation chiffre du risque informatique.
Marion repose sur l'valuation des aspects organisationnels et techniques
de la scurit de l'entreprise auditer.
Elle utilise 27 indicateurs classs en 6 thmatiques. Chaque indicateur se
voit attribuer une note entre 0 (inscurit) et 4 (excellent), la valeur 3
indiquant une scurit correcte.
a. Thmatiques des indicateurs de la mthode Marion
Scurit organisationnelle
Scurit physique
Continuit
Organisation informatique
Scurit logique et exploitation
Scurit des applications
b. Phases de droulement de la mthode
Phases de la mthode Marion

Prparation
Audit des vulnrabilits
Analyse des risques
Plan d'action
La phase de prparation permet de dfinir les objectifs de scurit

atteindre ainsi que le champ d'action de l'audit et le dcoupage
fonctionnel du SI adopter pour simplifier la ralisation de l'tude.
L'audit des vulnrabilits consiste rpondre aux questionnaires. Ces
rponses donnes vont permettre de recenser les risques du SI et les
contraintes de l'entreprise. A l'issu de cet audit, sont construits une rosace
et un diagramme diffrentiel reprsentant respectivement la note
attribue
chacun
des
indicateurs
et
les
facteurs
de
risques
particulirement importants.
Figure 2: Rosace marion
La rosace prsente dans un cercle la valeur de chacun des 27 indicateurs.

Elle est un moyen de visualiser rapidement les points vulnrables du SI qui
doivent tre mieux protgs.
Figure 3 : Histogramme diffrentiel de MARION
L'histogramme diffrentiel est construit avec des barre reprsentant

l'loignement de chaque valeur d'indicateur la valeur de rfrence 3. Cet
loignement est pondr avec l'importance donn au facteur mesur. Les
indicateurs de valeur gale ou suprieure 3 ne sont pas reprsents. On
visualise ainsi les vulnrabilits du SI en fonction de leur criticits
relatives.
L'analyse des risques permet de classer les risques selon leur criticit (en
classes : Risques Majeurs et Risques Simples). Elle procde au dcoupage
fonctionnel du SI pour une analyse dtaille des menaces, de leur impact
respectif et de leur probabilit. La mthode Marion dfinit 17 types de
menaces :
c. Types de menaces Marion
Accidents physiques
Malveillance physique
Carence de personnel
Carence de prestataire
Panne du SI
Interruption de fonctionnement du rseau

Erreur de saisie
Erreur de transmission
Erreur d'exploitation
Erreur de conception / dveloppement
Dtournement de fonds
Dtournement de biens
Vice cach d'un progiciel
Copie illicite de logiciels
Indiscrtion / dtournement d'information
Sabotage immatriel
Attaque logique du rseau
Le plan d'action propose les solutions mettre en uvre pour lever la

valeur des 27 indicateurs la valeur 3 (niveau de scurit satisfaisant) de
l'audit des vulnrabilits et atteindre les objectifs fixs en prparation. Le
cot de la mise niveau est valu et les tches raliser pour y parvenir
sont ordonnances.
Cette mthode par questionnaire est assez simple mettre uvre et est
bien rode du fait de son ge. Son pouvoir de comparaison des entreprises
audites est un plus indniable.
La mthode Mehari qui lui succde va plus loin en proposant la cration
complte de la politique de scurit.
4. Mehari
Mehari (MEthode Harmonise d'Analyse de RIsques) est dveloppe par le
CLUSIF depuis 1995, elle est drive des mthodes Melisa et Marion.
Existant en langue franaise et en anglais, elle est utilise par de
nombreuses entreprises publiques ainsi que par le secteur priv.
Le logiciel RISICARE dvelopp par la socit BUC SA est un outil de
gestion des risques bas sur la mthode Mehari.
La dmarche gnrale de Mehari consiste en l'analyse des enjeux de
scurit : quels sont les scnarios redouts ?, et en la classification
pralable des entits du SI en fonction de trois critres de scurit de base
(confidentialit,
intgrit,
disponibilit).
Ces
enjeux
expriment
les
dysfonctionnements ayant un impact direct sur l'activit de l'entreprise.

Puis, des audits identifient les vulnrabilits du SI. Et enfin, l'analyse des
risques proprement dite est ralise.
Figure 4 : Schma gnral de la mthode Mehari
a. Plans de la mthode Mehari
Le Plan Stratgique de Scurit (PSS)

Les Plans Oprationnels de Scurit (POS)
Le Plan Oprationnel d'Entreprise (POE)
Figure 5 Synoptique de la dmarche MEHARI
Le Plan Stratgique de Scurit fixe les objectifs de scurit ainsi que les
mtriques permettant de les mesurer. C'est ce stade que le niveau de
gravit des risques encourus par l'entreprise est valu. Il dfinit la
politique de scurit ainsi que la charte d'utilisation du SI pour ses

utilisateurs.
Les Plans Oprationnels de Scurit dfinissent pour chaque site les
mesures de scurit qui doivent tre mises en uvre. Pour cela, ils
laborent des scnarios de compromission et audite les services du SI. Sur
la base de cet audit, une valuation de chaque risque (probabilit, impact)
est ralise permettant par la suite d'exprimer les besoins de scurit, et
par les mme mesures de protections ncessaires. Enfin, une planification
de la mise niveau de la scurit du SI est faite.
Le Plan Oprationnel d'Entreprise assure le suivi de la scurit par
l'laboration d'indicateurs sur les risques identifis et le choix des
scnarios de catastrophe contre lesquels il faut se prmunir.
Des bases de connaissances permettent d'automatiser certains calculs de
gravit des scnarios de risques, proposent des liens entre menaces et
parades...
Mehari apporte une dmarche centre sur les besoins de continuit
d'activit de l'entreprise et fournit des livrables types aids d'un guide
mthodologie. Les audits qu'elle propose permettent la cration de plan
d'actions concrets. Cette mthode permet donc de construire une politique
de scurit destine pallier les vulnrabilits constates lors des audits
du Plans Oprationnels de Scurit et d'atteindre le niveau de scurit
correspondant aux objectifs fixs dans le Plan Stratgique de Scurit.
Comparatif des mthodes

Il existe de nombreuses mthodes d'analyse des risques, certaines simples
d'utilisation, avec parfois des outils logiciels en simplifiant l'utilisation.
D'autres mthodes sont rserves des grands comptes du fait de leur
complexit et des ressources humaines impliques. Il vous reste choisir
la mthode qui s'applique le mieux votre entreprise ou organisme public.
Les tableaux suivants rsument ce quon a vu dans les chapitres
prcdents :
4
A noter que la mthode MEHARI remplace actuellement les deux

mthodes MELISA et MARION donc on va se contenter de comparer les
deux mthodes MEHARI et EBIOS.
Mthodologi
e
BIOS
MHARI
Source
Langue
France (DCSSI et
Club EBIOS)
CLUSIF
Anglais, Franais et
autres
Franais
Masse
critique
Disponible
d'utilisateurs
Oui
Oui
Oui
Oui
Tableau 1: Tableau comparatif 1
Qualit
Crdibilit
Authenticit
Criticit
Intgrit
Explicit
Ralisme
Crativit
Exhaustivit
Congruence
Sensibilit
BIOS
MHARI
Oui
Non
Oui
Oui
Non
Oui
Oui
Non
Oui
Oui
Oui
Non
Oui
Oui
Non
Non
Oui
Non
Oui
Non
Tableau 2 : Tableau comparatif 2

Tableau 3 :Tableau comparatif 3
Critres /
Mthodes
Intitul
EBIOS
Langue
Franais
Pays
France
Conformit
ISO 31000, 27001,
27005
Documentation
Riche et disponible
en tlchargement
gratuit sur
http://www.ssi.gou
v.fr/fr/guides-etbonnespratiques/outilsmethodologiques/
Outils
Fonctionnalits
Logiciel EBIOS
2010, gratuit et
Analyse des
tlchargeable sur
risques
le site
Maturit SSI : la
https://adullact.net
DCSSI met
/projects/ebios201
disposition un
0/
document
dcrivant une
approche
mthodologique
pour dterminer
le niveau
adquat de
maturit de la
scurit des
systmes
dinformation
(http://www.ssi.g
ouv.fr/IMG/pdf/m
aturitessimethode-200711-02.pdf).
Etapes de mise
en uvre
Etablissement du
contexte
Apprciation des
risques
Traitement des
risques
Validation du
traitement des
risques
Communication et
concertation
relatives aux
risques
Surveillance et
revue des
risques
EBIOS formalise
une dmarche
itrative de
gestion des
risques
dcoupe en
cinq modules :
Etude du contexte
Etude des
vnements
redouts
Etude des
scnarios de
menaces
Complexit de
mise en uvre
La mise en uvre
de cette mthode
est facilite par la
mise disposition
des utilisateurs de
bases de
connaissances riches
et enrichissables,
d'un logiciel libre et
gratuit permettant
de simplifier
lapplication et
dautomatiser la
cration des
documents de
synthse. Par
ailleurs, un club
dutilisateurs
EBIOS a t cr
en 2003 et
constitue une
communaut
dexperts
permettant le
partage des
expriences.

Etude des risques
Etude des mesures
de scurit
Tableau 4: Tableau comparatif 4
Critres /
Mthodes
Intitul
MEHARI
Langue
Franais, anglais,
allemand,
Pays
France
Conformit
ISO 27001, 27002,
27005
Documenta
tion
Riche et
disponible en
tlchargem
ent gratuit
sur
https://www.
clusif.asso.fr/
fr/production
/mehari/pres
entation.asp
outils
Un premier
niveau
d'outil est
directemen
t inclus
dans la
base de
connaissan
ces de la
mthode,
en utilisant
les
formules
Excel et
Open
Office. Un
manuel de
rfrence,
Fonctionnalit
s
Analyse des
risques
Tableau de bord
Indicateurs
Maturit SSI : la
mthode
donne des
indications de
maturit de la
capacit de
l'organisation
grer la
scurit de
l'information
sous toutes
ses formes.
Etapes de mise en uvre

Phase prparatoire
Prise en compte du contexte
Stratgique
Technique
Organisationnel
Cadrage de la mission danalyse et
du traitement des risques
Primtre technique
Primtre organisationnel
Structure de pilotage de la mission
Fixation des principaux paramtres
danalyse des risques
Grille dacceptabilit des risques
Grille des expositions naturelles
Grille dapprciation des risques
Phase oprationnelle de lanalyse
des risques
Complexit de
mise en uvre
La mise en uvre
de MEHARI ne peut
tre conduite
quen conjonction
avec un logiciel ou
des feuilles de
calculs ddis. Le
dmarrage de
lanalyse ncessite
une adaptation un
peu complique de
"la base de
connaissances".
Par ailleurs, une
version MEHARIPro qui vise
principalement les
petites ou

qui est
gratuit,
explique
son
utilisation.
Il est
possible
d'adapter la
base de
donnes de
connaissan
ces aux
domaines
spcifiques
de
l'activit,
au niveau
de
maturit,
la porte et
la
Elle permet de
mesurer le
niveau de
maturit de la
scurit des
systmes
dinformation
travers
plusieurs
indicateurs
(par exemple :
l'efficacit, la
rsilience, les
aspects de
continuit).
Analyse des enjeux et classification

des actifs
Echelle de valeur des
dysfonctionnements
Classification des actifs
Tableau dimpact
Diagnostic de la qualit des
services de scurit
Etablissement du schma daudit
Diagnostic de la qualit des
services de scurit
Apprciation des risques
Slection des scnarios de

risque
Estimation des risques
Phase de planification du
traitement des risques
moyennes
organisations,
prives ou
publiques est
disponible au
http://www.clusif.as
so.fr/fr/production/
mehari/presentatio
n.asp
Critres de choix
Nous ne donnons pas dans ce comparatif un avis favorable ou une
prfrence pour lune ou lautre des mthodes prsentes. En outre, nous
citons ci-aprs quelques critres qui pourraient aider en choisir une :
La langue : il est important de bien comprendre le vocabulaire
employ par la mthode

La culture du pays dorigine de la mthode : est prendre en
considration
La base de connaissance et les outils supportant la mthode : leur
existence est fortement souhaitable pour faciliter son utilisation

La documentation : son existence et sa qualit sont dun apport
certain
La prennit : Il est trs important que lditeur de la mthode en
assure la prennit
La compatibilit: la compatibilit avec des normes internationales
doit peser normment

Le retour dexprience: le support dun club dutilisateurs, de
forums, etc. est un atout

Lorigine gographique de la mthode, la culture du pays jouant
beaucoup sur le fonctionnement interne des entreprises et leur
rapport au risque
L'existence d'outils logiciels en facilitant l'utilisation
La facilit d'utilisation et le pragmatisme de la mthode
Le cot de la mise en uvre
La quantit de moyens humains qu'elle implique et la dure de
mobilisation
La taille de l'entreprise laquelle elle est adapte
Le support de la mthode par son auteur, une mthode abandonne
n'offre plus la possibilit de conseil et de support de la part son
diteur
Sa popularit, une mthode trs connue offre un rservoir de
personnels qualifis pour la mettre en uvre
Conclusion
Dans ce comparatif, nous avons abord quatre mthodes que nous
estimons les plus utilises pour laudit de scurit des systmes
dinformation et danalyse des risques. LISO/27002 nest pas une
mthode mais une norme qui a lavantage davoir le soutien dun
organisme international et dont le statut lui confre une popularit native.
Elle permet de dvelopper sa propre mthode. Par ailleurs, pour mener
efficacement une analyse des risques, il est recommand de tenir compte
des points suivants :
Choisir lquipe qui conduira lanalyse des risques avant la mthode

Intgrer lanalyse des risques au processus projet
Lanalyse des risques doit tre mene progressivement mais ds le
lancement du projet, ds ltude d'opportunit et de faisabilit d'un
systme d'information et jusqu la fin de vie du systme

Dsigner une quipe dexperts qui prendra en charge le choix et la
mise en uvre des mesures de scurit

Ne pas essayer de tout faire dune seule itration
Bibliographie
Etude methodes analyse de risques EBIOS MEHARI, Projet SERE :
Audit de scurit, 2007

Comparatif des mthodes d'audit et d'analyse des risques de
scurit des systmes d'information, 2014, ANSI
Webographie
http://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-
identification-des-objectifs-de-securite/
http://www.leger.ca/EBIOS/pages/articles/evaluation_methodes.htm
http://cyberzoide.developpez.com/securite/methodes-analyserisques/
Liste des tableaux

Tableau 1: Tableau comparatif 1................................................................19
Tableau 2 : Tableau comparatif 2...............................................................19
Tableau 3 :Tableau comparatif 3................................................................20
Tableau 4: Tableau comparatif 4................................................................21
Liste de figure
Figure 1 : Dmarche globale de EBIOS.......................................................13

Figure 2: Rosace marion.............................................................................15
Figure 3 : Histogramme diffrentiel de MARION.........................................15
Figure 4 : Schma gnral de la mthode Mehari......................................17
Figure 5 Synoptique de la dmarche MEHARI............................................18

Etude Comparative

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Etude Comparative

Uploaded by

Copyright:

Available Formats

Universit Hassan 1er

Facult des Sciences et Techniques

Comparatif des mthodes daudit

Anne universitaire 2015 - 2016

Comparatif des mthodes daudit

Comparatif des mthodes daudit

En quoi ces mthodes constituent un moyen de consolider le fait

quil sagit bien de scurit ?

Comparatif des mthodes daudit

Comparatif des mthodes daudit

l'authentification des utilisateurs et la non rpudiation des transactions.

l'entreprise, ou bien d'erreurs quant sa mise en application.

Diffrence entre une mthode et une norme

Comparatif des mthodes daudit

la diffrence, une mthode est un moyen darriver efficacement un

Pourquoi une norme ?

linformation et les processus dchanges. C'est cet objectif, justement, qui

La norme ISO 27002

En 1995, le standard britannique "BS 7799" qui fut cr par le

Comparatif des mthodes daudit

7799-2 correspondant aux spcifications d'un systme de gestion

de la scurit de l'information (SMSI).

bonnes pratiques issues de la BS 7799.

remplace par la norme 27002 qui en reprend l'essentiel.

133 Mesures de scurit

113 Mesures de scurit

La rvision 2013 de la norme internationale permettra aux entreprises de

Comparatif des mthodes daudit

Elle na pas de caractre d'obligation, elle namne pas de certification, ce

management de la scurit aussi bien dans ses aspects stratgiques que

prservation de la confidentialit, l'intgrit et la disponibilit de

appropries pour analyser les risques pour la scurit des informations ;

Comparatif des mthodes daudit

f. Chapitre n 6 : Organisation de la scurit de l'information

Rpartition des rles et responsabilits : une mesure conseille de

responsables pour les principaux actifs.

tre en contact varient en fonction de lactivit de lorganisme.

niveau gnral de scurit.

les risques puis dintgrer des points scurit tous.

Avant lembauche : il est souhaitable de prciser des critres de

Comparatif des mthodes daudit

conseil, de plus, de formaliser dans les contrats de travail les

engagements du futur salari en matire de scurit.

h. Chapitre n 8 : Gestion des actifs

Responsabilits relatives aux actifs : la norme recommande de

chaque actif, quelle est son utilisation nominale.

classifier linformation. Cela met en vidence les actifs les plus

sensibles, dans le but de mieux les protger.

i. Chapitre n 9 : Contrle daccs

Comparatif des mthodes daudit

Politique de chiffrement : cette mesure conseille de chiffrer les

lorsque les liaisons ne sont pas considres comme sres.

Scurit des quipements :

Les services gnraux doivent tre exploits conformment aux

sorte quil soit difficile dintercepter les flux,

au rebut, en fin de vie,

l. Chapitre n 12 : Scurit lie lexploitation

Ce chapitre aborde de trs nombreux domaine : voici les plus

recommande de documenter les procdures dexploitation ainsi que

les conduites tenir en cas derreur.

Comparatif des mthodes daudit

arrire en cas de problme, de vrifier que tous les acteurs

leur accord pour le changement.

quipements et les donnes devenues inutiles.