La plupart des entreprises de moyenne et grande taille déploient, à leur manière, une politique de sécurité. Quelle soit minimaliste ou omniprésente, cette dernière se doit d'être périodiquement auditée, pour plus de performance et d'efficacité.
Pour procéder à ces contrôles réguliers, un certain nombre de méthodes existent, parfois similaires, parfois opposées, mais toujours complémentaires dans leur approche. Le tableau ci-dessous présente un aperçu des principales.
La plus ancienne de ces méthodes s'appelle MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux). Elaborée par le CLUSIF (Club de la Sécurité des Systèmes d'Information Français), elle a surtout été appliquée dans les années 1980 et 1990. L'entreprise auditée se soumet à un certain nombre de questionnaires débouchant sur différentes notes de 0 à 4 (en tout, 27 indicateurs répartis en 6 catégories) évaluant sa performance à la fois par rapport à un standard - jugé satisfaisant - mais aussi par rapport aux autres entreprises ayant procédé à l'audit.
La méthode fonctionne en 3 phases. Elle réalise tout d'abord un audit des vulnérabilités, aboutissant - via des rosaces ou diagrammes - à l'identification des points faibles de la politique de sécurité. En découle une analyse des risques
(disctinction entre risques majeurs et simples) et une mise en avant des menaces pontielles. Partant de là (3e phase), des plans d'action sont définis.
Le CLUSIF, anticipant les incontournables évolutions que la méthode MARION allait connaître (ouverture des réseaux et travail coopératif entre partenaires, clients et fournisseurs), a publié la méthode MEHARI (Méthode Harmonisée d'Analyse de Risques). MEHARI permet ainsi d'apprécier les risques au regard des objectifs fixés par la direction générale, et non plus seulement par rapport à des niveaux de vulnérabilité donnés.
Les principales méthodes d'audit de sécurité
|
|
Nom
|
Signification
|
Origine
|
Caractéristiques
|
|
Cobit
|
Control objectives for information and technology
|
ISACA
|
Méthode accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances mais la méthode est aujourd'hui davantage assimilée à une méthode de gouvernance des SI.
|
|
Ebios
|
Expression des Besoins et Identification des Objectifs de Sécurité
|
DCSSI
|
Notamment déployée au sein de l'administration française, cette méthode comprend une base de connaissances et un recuiel de bonnes pratiques. Elle est téléchargeable sur le site de la DCSSI et s'accompagne d'un logiciel.
|
|
Feros
|
Fiche d'Expression Rationnelle des Objectifs de Sécurité
|
SCSSI
|
Pas une méthode à proprement parler mais un document permettant à une autorité donnée (secteur secret défense notamment) de définir le niveau d'engagement de sa
responsabilité dans l'application d'une politique de sécurité.
|
|
Marion
|
Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux
|
CLUSIF
|
Fonctionne par questionnaires débouchant sur 27 indicateurs répartis en 6 catégories. 2 phases (audit des vulnérabilités et analyse des risques) permettent la définition et la mise en oeuvre de plans d'actions personnalisés.
|
|
Mehari
|
Méthode Harmonisée d'Analyse de Risques
|
CLUSIF
|
Succède à la méthode Marion. S'articule autour de 3 plans. Permet désormais d'apprécier les risques au regard des objectifs "business" de l'entreprise.
|
MEHARI s'articule autour de 3 plans : le Plan Stratégique de Sécurité, qui fixe les objectifs de sécurité et les indicateurs de mesure et détermine le niveau de gravité des risques encourus. Les Plans Opérationnels de Sécurité, qui définissent, par site, les mesures de sécurité à prendre. Et le Plan Opérationnel d'Entreprise, axé sur le pilotage stratégique et le suivi d'indicateurs clés.
La méthode EBIOS (Expression du Besoin et Identification des Objectifs de Sécurité) a été élaborée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) qui est rattachée au SGDN (Secrétariat Général de la Défense Nationale), lui-même placé sous l'autorité des services du Premier Ministre.
Elle est particulièrement déployée au sein de l'administration française. Elle comprend une base de connaissances qui décrit les types d'entités, les méthodes d'attaques, les vulnérabilités, les objectifs de sécurité et les exigences de sécurité. Elle propose également un recueil des meilleures pratiques sur l'élaboration de schémas directeurs SSI, la rédaction de profils de protection,
de cibles de sécurité et de SSRS (System-specific Security Requirement Statement) qui proviennent de l'OTAN.
La méthode se veut un outil de gestion des risques SSI mais aussi de sensibilisation, de négociation et d'arbitrage. Elle est téléchargeable sur le site de la DCSSI
et s'accompagne d'un logiciel d'assistance, distribué sous licence libre.
Les résultats de la méthode EBIOS peuvent être exploités dans le cadre d'une FEROS (Fiche d'Expression Rationnelle des Objectifs de Sécurité), document créé par la DCSSI (Direction centrale de la sécurité des systèmes d'information) qui dépend, elle aussi, des services du Premier Ministre. Ce document est obligatoire pour les systèmes traitant d'informations classées "défense".
Il présente l'ensemble des objectifs de
sécurité du système étudié et les risques résiduels, mais aussi la démarche et l'argumentation
qui a permis de les identifier. Ainsi, après avoir extrait certaines données (système étudié, besoins de sécurité, menaces, risques...) en provenance d'une étude EBIOS, la fiche FEROS permet de réorganiser et de classer les objectifs de sécurité et de définir les responsabilités qui doivent - ou ne doivent pas - être engagées.
Enfin, la méthode COBIT (Control objectives for information and technology) vient, quant à elle, de l'ISACA (Information Systems Audit and Control Association). Elle est diffusée en France par la branche française de cette association : l'AFAI (Association Française de l'Audit et du Conseil Informatique).
Actuellement dans sa 3e édition, COBIT se veut accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances, une liste de facteurs clés de succès et de bonnes pratiques pour les non techniciens. Cela en fait aujourd'hui plus une méthode de gouvernance des SI que d'audit des politiques de sécurité (lire l'interview de Serge Yablonsky, Président
de l'AFAI, du 09/09/2004).
|
Chaîne 
