|
|
|
MARION,
MELISA, MEHARI et EBIOS sont différentes méthodes
d'évaluation des risques informatiques.
Leurs
principales caractéristiques sont les suivantes :
MARION
 |
Méthode
développée initialement en 1985, puis
régulièrement améliorée et
adaptée. |
|
Le
risque est mesuré par sa gravité :
évaluation de
ses conséquences / impacts et de sa
potentialité (depuis 1993). |
|
3
phases :
Phase 1 : analyse des risques (analyse de 17
scénarios types, mesure des risques, sélection
des risques majeurs)
Phase
2 : analyse des vulnérabilités au travers de
l'audit de
27 facteurs de sécurité (repose sur la
réponse
à un questionnaire de plus de 600 questions),
pondération, synthèse
Phase
3 : définition du plan d'action, avec distinction des
mesures
prioritaires, secondaires de mise en cohérence, avec
intérations et optilisation
|
|
Avantages
de la méthode :
- Possibilité de se
comparer aux autres entreprises d'un même secteur
d'activité au travers de la note acquise
- Existence de bases de
connaissance mises à jour annuellement |
MELISA
|
Méthode
d'auto audit
dévelopée initialement par la DGA (Direction
générale de l'Armement) et la DCN (Direction des
constructions navales) en 1985, puis étendue. |
|
Le
risque est mesuré au travers de l'analyse des
vulnérabilités grace à
l'étude
d'évènements, sortes de
mini-scénarios
imagés et détaillés (environ 600 par
base de
connaissance). La vulnérabilité est
considérée comme la résultante de la
gravité des conséquences de l'évènement
(impact), le risque de non détection de
l'évènement, sa facilité de réalisation et
du "facteur d'exposition structurelle" (id. la
vulnérabilité liée aux sujets). Pour chaque
mini-scénario, le choix d'une parade permet d'évaluer la
vulnérabilité résiduelle. |
|
Avantages
de la méthode :
- Approche concrête
- Existence
de bases de connaissance mises à jour annuellement,
spécialisées par type de système et
types de
sensibilité (S : sensible, P : vitales, R :
réseaux). |
MEHARI
|
Méthode développée
par le CLUSIF (Club de la Sécurité Informatique
Français) dans les années 1993 en partant des concepts de
MARION et MELISA. |
|
Le risque est mesuré au travers de l'étude
de 6 facteurs de risques et 6 mesures de sécurité.
La potentialité est considérée liée à 3 paramètres : l'exposition
naturelle (attrait, ciblage), le niveau de risque pour l'agresseur
(risque d'être identifié et sanctionné), le niveau
des moyens requis (intellectuels, matériels, temps)
L'impact
est considéré lié à 3 paramètres :
la circonscription des dommages (matériels, données), les
capacités de reprise (opérations, flux financiers,
communication), la capacité de récupération
financière.
Les
6 mesures sont considérées comme ayant une influence sur
un des facteurs : les mesures structurelles (localisation,
architecture, organisation), dissuasives (identification,
journalisation, sanctions), préventives
(contrôle d'accès, détection, interception), de
prévention (détection, intervention, non propagation),
palliatives (restauration, reconfiguration, secours), de
récupération (assurances, actions en justice)
La
méthode introduit 16 familles de services,
décomposés en sous-service, et une base de connaissance
basée sur 12 familles de scénarios de 10 scnéarios
chacune en moyenne
Depuis
1995, la méthode distinque plans stratégiques et
opérationnels, ce qui revient en fait à distinguer les
mesures d'ordre global (mesures assurant la cohérence
pour l'ensemble de l'entreprise) et local (plans réalisés par
chaque entité : ressources locales).
Depuis
1996, une approche globale, basée sur la classification des
ressources, l'analyse d'un nombre limité de scénarios et
l'évaluation de l'effet global des mesures a été
mise en oeuvre.
|
|
Avantages
de la méthode :
- Application rapide |
EBIOS
|
EBIOS
(Expression des Besoins et Identification des Objectifs de
sécurité) est une méthode créée
en 1995 par la Direction Centrale de la Sécurité des
Systèmes
d’Information (DCSSI) du Secrétariat général de la défense nationale.
La méthode est compatible avec les normes
internationales telles que l'ISO 13335 (GMITS),
l'ISO 15408 (critères communs) et l'ISO 17799.
|
|
Le
risque de sécurité des
systèmes d'information (SSI) est considéré une combinaison d'une menace
et des pertes
qu'elle peut engendrer. La menace SSI peut être considérée comme un
scénario
envisageable, avec une certaine opportunité (représentant
l'incertitude). Ce scénario met en jeu : une méthode d'attaque, les
éléments
menaçants susceptibles de l'employer (naturels ou humains, manière
accidentelle ou délibérée), les vulnérabilités des entités
(matériels,
logiciels, réseaux, organisations, personnels, locaux), qui vont
pouvoir être
exploitées par les éléments menaçants dans le cadre de la méthode
d'attaque. Les pertes sont généralement estimées en termes d'atteinte
des
besoins de sécurité des éléments essentiels (le patrimoine
informationnel et les processus associés) et d'impacts induits
sur
l'organisme. |
|
La
gestion des risques SSI est considérée comme un processus continu et
itératif en 4 phases :
Phase 1 : appréciation
des risques représente l'ensemble du
processus
d'analyse et d'évaluation du risque. Elle consiste à décrire le contexte
(l'organisme,
le système d'information, les éléments essentiels à protéger, les
entités
sur lesquelles ils reposent, les enjeux liés au SI, les contraintes à
prendre
en compte, …), puis les besoins de sécurité des éléments
essentiels
en termes de disponibilité, d'intégrité et de confidentialité, et enfin
à
identifier et à caractériser les menaces pesant sur le SI en
terme
d'opportunité (représentant l'incertitude de ces menaces) puis à
déterminer
les risques en confrontant les menaces aux besoins de sécurité.
Phase 2 : traitement des risques
est le processus de sélection et de mise en oeuvre des mesures de
protection
contre les risques. Il consiste tout d'abord à identifier les objectifs
de sécurité exprimant la volonté de traiter ou non les risques en
ne préjugeant pas
des solutions à mettre en œuvre puis à déterminer les exigences de
sécurité
décrivant la manière de traiter les risques (dissuasion, protection,
détection,
récupération, restauration, compensation et les mesures de
sécurité, techniques
ou non techniques à mettre en oeuvre.
Phase 3 : acceptation
des risques SSI représente la décision d'accepter les risques
résiduels.
Elle est prononcée pour une durée déterminée, par une autorité
d'homologation, qui doit être désignée.
Phase 4 : communication relative aux risques SSI représente
le partage d'informations
concernant les risques. |
|
Avantages
de la méthode :
- Le reférentiel est composé
d'un ensemble d'outils pour découvrir la méthode,
s'y former, la pratiquer et contribuer à son développement
communautaire.
-La
méthode est directement applicables à la plupart des
secteurs, mais chacun peut l'adapter à son contexte particulier.
- Des éléments
nécessaires à la prise de décision et à la gestion de celle-ci sont
fournis (EBIOS est proposée comme un
outil de négociation et d'arbitrage).
- Des formations gratuites sont assurées par la DCSSI pour les
intervenants des organismes publics. |
|
Plus d'information sur EBIOS |
|
