Méthode d'analyse de risques informatiques optimisée par niveau

Méthode d'analyse de risques informatiques optimisée par niveau

La méthode d'analyse de risques informatiques orientée par niveau (Marion) est une méthode d'audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité informatique d'une entreprise. L'objectif est double :

  1. situer l'entreprise auditée par rapport à un niveau jugé correct, et par rapport au niveau atteint par les entreprises similaires
  2. identifier les menaces et vulnérabilités à contrer.

Sommaire

Principe

Six thèmes

L'analyse est articulée en 6 grands thèmes:

  1. la sécurité organisationnelle
  2. la sécurité physique
  3. la continuité de service
  4. l'organisation informatique
  5. la sécurité logique et l'exploitation
  6. la sécurité des applications

Vingt-sept indicateurs

Les indicateurs, répartis dans ces 6 thèmes, vont être évalués, et valorisés sur une échelle de 0 (très insatisfaisant) à 4 (très satisfaisant), le niveau 3 étant le niveau jugé correct. Chaque indicateur est affecté d'un poids en fonction de son importance.

Dix-sept types de menaces

  1. Accidents physiques
  2. Malveillance physique
  3. Panne du SI
  4. Carence de personnel
  5. Carence de prestataire
  6. Interruption de fonctionnement du réseau
  7. Erreur de saisie
  8. Erreur de transmission
  9. Erreur d'exploitation
  10. Erreur de conception / développement
  11. Vice caché d'un progiciel
  12. Détournement de fonds
  13. Détournement de biens
  14. Copie illicite de logiciels
  15. Indiscrétion / détournement d'information
  16. Sabotage immatériel
  17. Attaque logique du réseau

Phases

Préparation

  • Les objectifs de sécurité de l'entreprise sont définis
  • Le champ d'action de l'analyse est défini, ainsi que le découpage fonctionnel de ce champ d'action

Audit des vulnérabilités

Exemple de rosace réalisée dans le cadre de la méthode MARION

Cette phase se base sur les questionnaires fournis par la méthode

  • Les contraintes de l'entreprise sont identifiées.
  • Les indicateurs sont valorisés de 0 à 4. Chaque indicateur est affecté d'un poids relatif.
  • L'ensemble des indicateurs est très souvent représenté sous forme graphique : rosace/radar, diagramme en barres, ... Des diagrammes de synthèse sont également possibles: rosace par source des risques (accident, malveillance, erreur), par impact des risque (disponibilité, intégrité, confidentialité des informations), ...

Analyse des risques

  • L'exploitation des résultats de l'audit permet de répartir les risques en majeurs (RM) et simples (RS).
  • Le SI est alors découpé en fonctions. Les groupes fonctionnels spécifiques hiérarchisés selon l'impact et la potentialité des risques les concernant sont identifiés. Pour chaque groupe fonctionnel de l'entreprise, chaque fonction est revue en détail afin d'évaluer les scénarios d'attaque possibles avec leur impact et leur potentialité. Voir ci-dessus la typologie des menaces proposée par la méthode.

Élaboration du plan d'action

  • Les menaces et vulnérabilités qui pèsent sur l'entreprise étant identifiées et valorisées, l'entreprise décide du degré d'amélioration à apporter pour réduire ces risques et idéalement atteindre la note globale de 3.
  • Elle définit les moyens à y affecter. On évalue le coût de la mise en conformité.
  • Les tâches sont décrites et ordonnancées.

Évolution

La méthode MARION n'a plus évolué depuis 1998. Le CLUSIF, qui considère que la méthode MARION est devenue obsolète dans la prise en compte des urbanisations informatiques et des environnements d'applications et de réseaux, propose désormais une méthode harmonisée d'analyse des risques (Méhari).

Annexes

Voir aussi

Bibliographie

  • Alphonse Carlier (2006). Stratégie appliquée à l'audit des SI. Editions Lavoisier (Paris) 432 p.

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Méthode d'analyse de risques informatiques optimisée par niveau de Wikipédia en français (auteurs)

Игры ⚽ Нужно сделать НИР?

Regardez d'autres dictionnaires:

  • Methode d'analyse de risques informatiques optimisee par niveau — Méthode d analyse de risques informatiques optimisée par niveau La méthode d analyse de risques informatiques optimisée par niveau (Marion) est une méthode d audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité… …   Wikipédia en Français

  • Méthode D'analyse De Risques Informatiques Optimisée Par Niveau — La méthode d analyse de risques informatiques optimisée par niveau (Marion) est une méthode d audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité informatique d une entreprise. L objectif est double: situer l… …   Wikipédia en Français

  • Methode harmonisee d'analyse des risques — Méthode harmonisée d analyse des risques Pour les articles homonymes, voir Méhari. La méthode harmonisée d analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d une entreprise ou d un organisme. Elle a été… …   Wikipédia en Français

  • Méthode Harmonisée D'analyse Des Risques — Pour les articles homonymes, voir Méhari. La méthode harmonisée d analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d une entreprise ou d un organisme. Elle a été développée et est proposée par le CLUSIF. Sommaire …   Wikipédia en Français

  • Méthode harmonisée d'analyse des risques — Pour les articles homonymes, voir Méhari. La méthode harmonisée d analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d une entreprise ou d un organisme. Elle a été développée et est proposée par le CLUSIF. Le… …   Wikipédia en Français

  • Méthode MARION — Méthode d analyse de risques informatiques optimisée par niveau La méthode d analyse de risques informatiques optimisée par niveau (Marion) est une méthode d audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité… …   Wikipédia en Français

  • Methode d'evaluation de la vulnerabilite residuelle des systemes d'information — Méthode d évaluation de la vulnérabilité résiduelle des systèmes d information La Méthode d évaluation de la vulnérabilité résiduelle des systèmes d information (ou Mélisa) est une méthode d analyse de risques mise au point dans le cadre de la… …   Wikipédia en Français

  • Méthode D'évaluation De La Vulnérabilité Résiduelle Des Systèmes D'information — La Méthode d évaluation de la vulnérabilité résiduelle des systèmes d information (ou Mélisa) est une méthode d analyse de risques mise au point dans le cadre de la Direction Générale de l Armement française par Albert Harari. La méthode a été… …   Wikipédia en Français

  • Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information — La Méthode d évaluation de la vulnérabilité résiduelle des systèmes d information (ou Mélisa) est une méthode d analyse de risques mise au point dans le cadre de la Direction Générale de l Armement française par Albert Harari. La méthode a été… …   Wikipédia en Français

  • Mehari — Méthode harmonisée d analyse des risques Pour les articles homonymes, voir Méhari. La méthode harmonisée d analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d une entreprise ou d un organisme. Elle a été… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”