4. Les méthodes d'audits
Les systèmes d'information (SI) actuels doivent faire
face à de nombreuses menaces susceptibles d'exploiter leur
vulnérabilité. Afin de limiter les impacts résultant de
ces menaces, une politique de traitement des risques doit être mise en
place. L'analyse des risques en sécurité de l'information permet
d'identifier les dangers induits par les applications et les SI, de les
évaluer, et de définir et mettre en oeuvre des mesures de
protection adaptées. Pour réaliser une analyse des risques, Il
existe environ deux cent (200) méthodes dont plus de 80% sont mortes ou
confidentielles. Mais nous parlerons de quelques-unes en occurrence.
a. La méthode MEHARI
MEHARI est l'acronyme de (Méthode Harmonisée
d'Analyse des Risques). Elle est développée et maintenue depuis
1995 par le CLUSIF (Club de la Sécurité de l'Information
Français) MEHARI représente une évolution notable depuis
deux autres méthodes françaises MARION et MELISA. Le but de la
méthode d'approche top-down est de mettre à disposition des
règles, modes de présentation et schémas de
décision. L'objectif de la méthode est de proposer, au niveau
d'une activité comme à celui d'une entreprise, un plan de
sécurité qui se traduit par un ensemble cohérent de
mesures permettant de palier aux mieux, les failles constatées, et
d'atteindre le niveau de sécurité répondant aux exigences
des objectifs fixés. Elle présente 3 phases à savoir :
? Etablissement d'un plan stratégique de
sécurité (global) qui fournit notamment (la reconnaissance et la
détermination des valeurs de l'entreprise, l'établissement d'une
politique de sécurité entreprise, l'établissement d'une
charte de management)
Projet tutoré rédigés et
présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean
Huges
6
6
|
AUDIT DE SECURITE DU SYSTEME TELEPHONIQUE IP DE L'IUC
|
|
> Etablissement des plans opérationnels de
sécurité réalisés par les différentes
unités de l'entreprise.
> Consolidation des plans opérationnels (globaux).
b. La méthode MARION
La méthode MARION (Méthodologie d'Analyse de
Risques Informatiques Orientée par Niveaux) est issue du CLUSIF. Il
s'agit d'une méthodologie d'audit qui permet d'évaluer le niveau
de sécurité d'une entreprise à travers de questionnaires
pondérés donnant des indicateurs sous la forme de notes dans
différents thèmes concourant à la sécurité.
L'objectif est d'obtenir une vision de l'entreprise auditée à la
fois par rapport à un niveau jugé "correct ", et d'autre part par
rapport aux entreprises ayant déjà répondu au même
questionnaire. Le niveau de sécurité est évalué
suivant 27 indicateurs répartis en 6 grands thèmes, chacun d'eux
se voyant attribuer une note de 0 à 4, le niveau 3 étant le
niveau à atteindre pour assurer une sécurité jugée
correcte. À l'issue de cette analyse, une analyse de risque plus
détaillée est réalisée afin d'identifier les
risques (menaces et vulnérabilités) qui pèsent sur
l'entreprise. Ces différents thèmes sont :
> Sécurité organisationnelle
> Sécurité physique
> Continuité
> Organisation informatique
> Sécurité logique et exploitation
> Sécurité des applications
Cette méthode se déroule en 4 phases, à
savoir :
i. Phase de préparation (1)
Durant cette phase, les objectifs de sécurité
sont définis, ainsi que le champ d'action et le découpage
fonctionnel permettant de mieux dérouler la méthode par la
suite.
ii. Phase d'audit des vulnérabilités
(2)
Cette phase voit le déroulement des questionnaires
ainsi que le recensement des contraintes propres à l'organisme.
iii. Phase d'analyse des risques (3)
Cette phase voit l'exploitation des résultats
précédents et permet d'effectuer une ségrégation
des risques en Risques Majeurs (RM) et Risques Simples (RS).
iv. Phase du plan d'action (4)
Durant cette ultime phase de la méthode, une analyse
des moyens à mettre en oeuvre est réalisée afin
d'atteindre la note " 3 ", objectif de sécurité de la
méthode, suite aux questionnaires. Ce sur cette méthode que nous
allons réaliser notre audit
Projet tutoré rédigés et
présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean
Huges
7
7
|
AUDIT DE SECURITE DU SYSTEME TELEPHONIQUE IP DE L'IUC
|
|
c. La méthode EBIOS
EBIOS est l'acronyme de (Expression des Besoins et
Identification des Objectifs de Sécurité). C'est une
méthode publiée par la Direction Centrale de la
Sécurité des Systèmes d'Information (DCSSI) en France en
1995. . Elle comprend une base de connaissances qui décrit les types
d'entités, les méthodes d'attaques, les
vulnérabilités, les objectifs de sécurité et les
exigences de sécurité.
d. La méthode OCTAVE
OCTAVE est l'acronyme de (Operationally Critical Threat, Asset
and Vulnerability Evaluation). Elle est produite par le Software Engineering
Institute (SEI) de l'université Carnegie Million de Pittsburgh aux USA
en 1999. La méthodologie est conçue pour etre conduite en interne
; Elle comprend trois phases principales :
i. Vue organisationnelle
Création des profils de menaces sur les biens de
l'entreprise à partir des connaissances des cadres supérieurs,
des cadres opérationnels et des équipes de production.
ii. Vue technique :
Identification des vulnérabilités
d'infrastructure,
iii. Développement de la stratégie
:
Analyse de risques, mise en place des mesures de
sécurité Les documents produits à la fin de l'utilisation
de la méthode sont :
? Une stratégie de protection pour l'organisationnel et
l'opérationnel, ? Un plan de gestion des risques pour l'IT,
? Un plan d'action à court terme pour l'ensemble de
l'organisation.
e. Autres méthodes
Il existe plusieurs d'autres méthodes pour la
réalisation d'un audit de sécurité, nous pouvons citer
:
i. CRAMM est l'acronyme de (CCTA Risk Analysis and
Management Method).
Elle est créée par le CCTA (Central Computer and
Télécommunication Agency du gouvernement anglais) en 1985 et est
actuellement la propriété d'une société anglaise
(Insight Consulting, une division de Siemens). Elle est proposée en deux
variantes, CRAMM Express et CRAMM Expert.
| 
