MARION, MELISA, MEHARI, EBIOS


Accueil
Remonter
On en parle
Métiers
Références
Profils
Plan du site
Recherche


MARION, MELISA, MEHARI et EBIOS sont différentes méthodes d'évaluation des risques informatiques. 

Leurs principales caractéristiques sont les suivantes :

MARION

Méthode développée initialement en 1985, puis régulièrement améliorée et adaptée

Le risque est mesurée par sa gravité : évaluation de ses conséquence (impact) et, depuis 1993, de sa potentialité

3 phases :

    Phase 1 : analyse des risques (analyse de 17 scénarios types, mesure des risques, sélection des risques majeurs)

    Phase 2 : analyse des vulnérabilités au travers de l'audit de 27 facteurs de sécurité (repose sur la réponse à un questionnaire de plus de 600 questions), pondération, synthèse

    Phase 3 : définition du plan d'action, avec distinction des mesures prioritaires, secondaires de mise en cohérence, avec intérations et optilisation

Avantages de la méthode :

    Possibilité de se comparer aux autres entreprises d'un même secteur d'activité au travers de la note acquise

    Existence de bases de connaissance mises à jour annuellement

MELISA

Méthode d'auto audit dévelopée initialement par la DGA (Direction générale de l'Armement) et la DCN (Direction des constructions navales) en 1985, puis étendue

Le risque est mesurée au travers de l'analyse des vulnérabilités grace à l'étude d'évènements, sortes de mini-scénarios imagés et détaillés (environ 600 par base de connaissance). La vulnérabilité est considérée comme la résultante de la gravité des conséquences de l'évènement (impact), le risque de non détection de l'évènement, sa facilité de réalisation et du "facteur d'exposition structurelle" (id. la vulnérabilité liée aux sujets). Pour chaque mini-scénario, le choix d'une parade permet d'évaluer la vulnérabilité résiduelle.

Avantages de la méthode :

    Approche concrête

    Existence de bases de connaissance mises à jour annuellement, spécialisées par type de système et types de sensibilité (S : sensible, P : vitales, R : réseaux)

MEHARI

Méthode développée par le CLUSIF (Club de la Sécurité Informatique Français) dans les années 1993 en partant des concepts de MARION et MELISA. 

Le risque est mesurée au travers de l'étude de 6 facteurs de risques et 6 mesures de sécurité :

    La potentialité est considérée liée à 3 paramètres : l'exposition naturelle (attrait, ciblage), le niveau de risque pour l'agresseur (risque d'être identifié et sanctionné), le niveau des moyens requis (intellectuels, matériels, temps)

    L'impact est considéré lié à 3 paramètres : la circonscription des dommages (matériels, données), les capacités de reprise (opérations, flux financiers, communication), la capacité de récupération financière.

    Les 6 mesures sont considérés comme ayant une influence sur un des facteurs : les mesures structurelles (localisation, architecture, organisation), dissuasives (identification, journalisation, sanctions), préventives (contrôle d'accès, détection, interception), de prévention (détection, intervention, non propagation), palliatives (restauration, reconfiguration, secours), de récupération (assurances, actions en justice)

    La méthode introduit 16 familles de services, décomposés en sous-service, et une base de connaissance basée sur 12 familels de scénarios de 10 scnéarios chacune en moyenne

    Depuis 1995, la méthode distinque plans stratégiques et opérationnels, ce qui revient en fait à distinguer les mesures d'ordre global (mesures assurant la cohérence pour l'ensemble de l'entreprise) et local (plans réalisés par chaque entité : ressources locales)

Avantages de la méthode :

    Depuis 1996, une approche globale, basée sur la classification des ressources, l'analyse d'un nombre limité de scénarios et l'évaluation de l'effet global des mesures a été mise en oeuvre. Elle est d'application plus rapide.

EBIOS

EBIOS (Expression des Besoins et Identification des Objectifs de sécurité) est une méthode créée en 1995 par la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) du Secrétariat général de la défense nationale.

La méthode est compatible avec les normes internationales telles que l'ISO 13335 (GMITS), l'ISO 15408 (critères communs) et l'ISO 17799.

Le risque de sécurité des systèmes d'information (SSI) est considéré une combinaison d'une menace et des pertes qu'elle peut engendrer. La menace SSI peut être considérée comme un scénario envisageable, avec une certaine opportunité (représentant l'incertitude). Ce scénario met en jeu : une méthode d'attaque, les éléments menaçants susceptibles de l'employer (naturels ou humains, manière accidentelle ou délibérée), les vulnérabilités des entités (matériels, logiciels, réseaux, organisations, personnels, locaux), qui vont pouvoir être exploitées par les éléments menaçants dans le cadre de la méthode d'attaque. Les pertes sont généralement estimées en termes d'atteinte des besoins de sécurité des éléments essentiels (le patrimoine informationnel et les processus associés) et d'impacts induits sur l'organisme

La gestion des risques SSI est considérée comme un processus continu et itératif en 4 phases :

    Phase 1 : appréciation des risques représente l'ensemble du processus d'analyse et d'évaluation du risque. Elle consiste à décrire le contexte (l'organisme, le système d'information, les éléments essentiels à protéger, les entités sur lesquelles ils reposent, les enjeux liés au SI, les contraintes à prendre en compte, …), puis les besoins de sécurité des éléments essentiels en termes de disponibilité, d'intégrité et de confidentialité, et enfin à identifier et à caractériser les menaces pesant sur le SI en terme d'opportunité (représentant l'incertitude de ces menaces) puis à déterminer les risques en confrontant les menaces aux besoins de sécurité.

    Phase 2 : traitement des risques est le processus de sélection et de mise en oeuvre des mesures de protection contre les risques. Il consiste tout d'abord à identifier les objectifs de sécurité exprimant la volonté de traiter ou non les risques en ne préjugeant pas des solutions à mettre en œuvre puis à déterminer les exigences de sécurité décrivant la manière de traiter les risques (dissuasion, protection, détection, récupération, restauration, compensation et les mesures de sécurité, techniques ou non techniques à mettre en oeuvre.

    Phase 3 : acceptation des risques SSI représente la décision d'accepter les risques résiduels. Elle est prononcée pour une durée déterminée, par une autorité d'homologation, qui doit être désignée.

    Phase 4 :  communication relative aux risques SSI représente le partage d'informations concernant les risques. 

Avantages de la méthode :

    Le reférentiel est composé d'un ensemble d'outils pour découvrir la méthode, s'y former, la pratiquer et contribuer à son développement communautaire.

    La méthode est directement applicables à la plupart des secteurs, mais chacun peut l'adapter à son contexte particulier.

    Des éléments nécessaires à la prise de décision et à la gestion de celle-ci sont fournis (EBIOS est proposée comme un outil de négociation et d'arbitrage)

    Des formations gratuites sont assurées par la DCSSI pour les intervenants des organismes publics

Plus d'information sur EBIOS

Remonter ] COBIT ] ITIL ] CCMI ] [ MARION, MELISA ] EBIOS ]

Pour toute question ou demande d'information, envoyez un courrier électronique à renaud.guillemot@activconseil.fr
Copyright © 2007 ACTIV Conseil