1.5. Les causes de
l'insécurité
On distingue généralement deux causes
d'insécurités qui sont :
· Cause active d'insécurité,
c'est-à-dire la non connaissance par l'utilisateur des
fonctionnalités du système dont certaines pouvant lui être
nuisibles (par exemple ; le fait de ne pas désactiver des services
réseaux non nécessaires à l'utilisateur) ;
· Cause passive d'insécurité,
c'est-à-dire la méconnaissance des moyens de
sécurité mis en place (par exemple ; lorsque
l'administrateur ou l'utilisateur ne connaît pas les dispositifs de
sécurité dont il dispose).
1.6. Les méthodologies de
sécurité
Réalisées par des grands utilisateurs de
techniques de sécurité ou des groupes de travail, elles sont
applicables par des prestataires de service sous forme d'audit de
sécurité analyse de risques propositions d'actions pour
améliorer la situation
Méthode M.A.R.I.O.N (Méthode d'Analyse des
Risques Informatiques et Optimisation par Niveau. (à partir de
1984)).
Norme :
· CLUSIF: Club des Utilisateurs de La
Sécurité Informatique Français ;
· APSAD: Assemblée Plénière des
Sociétés d'Assurances Dommages.
Objectif: Mettre en place le schéma directeur de la
sécurité des systèmes d'information SDSSI. Trois approches
selon le sujet traité:
· Marion-AP (avant-projet) (Applicable aux grands comptes
et aux compagnies d'assurance) ;
· Marion-PME - Marion-RSX (Applicable aux
réseaux).
Il existe six étapes d'élaboration du
Schéma Directeur de Sécurité du Système
d'Information :
a) Analyse des risques
Établissement des scénarios de risques courus
par l'entreprise.
b) Expression du risque maximum
admissible
Calcul de la perte maximale subie par l'entreprise face
à des événements mettant sa survie en péril.
c) Analyse des moyens de la sécurité
existants
Identifier et qualifier les moyens de la
sécurité (organisation générale, physique et
logique).
d) Évaluation des contraintes techniques et
financières
Recensement des contraintes générales,
techniques, humaines et détermination d'un budget pour la
prévention et la protection.
e) Choix des moyens de
sécurité
Moyens à mettre en oeuvre ou à améliorer
pour supprimer les risques en fonction des contraintes et du coût
parade/risque.
f) Plan d'orientation
Phase de bilan définissant le plan technique
détaillé et rédaction finale du SDSSI.
Méthode M.E.L.I.S.A (Délégation
générale à l'armement 1985). Il existe :
· MELISA S - Confidentialité des données
sensibles ;
· MELISA P - Pérennité de fonctionnement du
système ;
· MELISA M - Sécurité micro mini
informatique ;
· MELISA. R - Sécurité réseau.
| 
