Introduction
Les systèmes d’information (SI) actuels doivent faire face
à de nombreuses menaces susceptibles d'exploiter leur ulnérabilité. Afin de
limiter les impacts résultant de ces menaces, une politique de traitement des
risques doit être mise en place. L’analyse des risques en sécurité de
l’information permet d’identifier les dangers induits par les applications et
les SI, de les évaluer, et de définir et mettre en oeuvre des mesures de
protection adaptées. Pour réaliser une analyse des risques, Il existe environ
deux cent (200) méthodes dont plus de 80% sont mortes ou confidentielles. Dans ce
document, nous présentons une synthèse de la norme ISO 27005 et une comparaison
de quelques méthodes d’audit et d’analyse des risques.
1. La norme ISO/IEC 27005
Cette norme internationale fournit des lignes directrices pour la
gestion des risques de sécurité de l'information. Elle s’appuie sur les
concepts généraux spécifiés dans la norme ISO/CEI 27001 et est conçu pour aider
à la mise en oeuvre d’un niveau de sécurité de l'information satisfaisant basé
sur une approche de gestion du risque. Une connaissance des concepts, des
modèles, des processus et de la terminologie de l'ISO/CEI 27001 et de l’ISO/IEC
27002 est importante pour une compréhension complète de la norme internationale
ISO/IEC 27005. Elle est applicable à tous les types d'organisations (par
exemple, des entreprises commerciales, des organismes gouvernementaux, des
organisations à but non lucratif) qui ont l'intention de gérer les risques qui
pourraient compromettre l’organisation de la sécurité de l'information. Le
processus de gestion des risques défini par cette norme comprend les étapes
suivantes :
ü
Etablissement du
contexte
ü
Identification du risque
ü
Estimation du risque
ü
Evaluation du risque
ü
Traitement du risque
ü
Acceptation du risque
ü Communication du risque
2. La méthode EBIOS
EBIOS est l’acronyme de « Expression des Besoins et Identification
des Objectifs de Sécurité ». C’est une méthode publiée par la Direction
Centrale de la Sécurité des Systèmes d’Information (DCSSI) en France en 1995.
Etapes
de mise en oeuvre
ü Etablissement du contexte
ü Appréciation des risques
ü Traitement des risques
ü Validation du traitement des risques
ü Communication et concertation
relatives aux risques
ü Surveillance et revue des risques
3. La méthode MEHARI
MEHARI est l’acronyme de «
Méthode Harmonisée d’Analyse des Risques ». Elle est développée et maintenue
depuis 1995 par le CLUSIF (Club de la Sécurité de l’Information Français) et
reprend et remplace les méthodes MELISA et MARION.
Etapes
de mise en oeuvre
o Phase préparatoire
- Prise
en compte du contexte
Ø Contexte stratégique
Ø Contexte technique
Ø Contexte organisationnel
- Cadrage de la mission d’analyse et du
traitement des risques
Ø Périmètre technique
Ø Périmètre organisationnel
Ø Structure de pilotage de la mission
- Fixation des principaux paramètres d’analyse
des risques
Ø Grille d’acceptabilité des risques
Ø Grille des Expositions Naturelles
Ø Grilles d’appréciation des risques
o Phase opérationnelle de l’analyse des
risques
- Analyse des enjeux et classification des
actifs
Ø Echelle de valeur des
dysfonctionnements
Ø Classification des actifs
Ø Tableau d’impact intrinsèque
- Diagnostic de la qualité des services de
sécurité
Ø Etablissement du schéma d’audit
Ø Diagnostic de la qualité des services
de sécurité
- Appréciation des risques
Ø Sélection des scénarios de risque
Ø Estimation des risques
o Phase de planification du
traitement des risques
4. La méthode COBIT
COBIT est l’acronyme de «
Control Objectives for Information and Related Technology », c’est un
référentiel publié par l’ISACA (Information Systems Audit and Control
Association). COBIT 5 établit la nouvelle génération d’orientations de l’ISACA
sur la gouvernance et la gestion des TI de l’entreprise. Elles s’appuient sur
plus de 15 années d’expérience pratique et d’application de COBIT par de
nombreuses entreprises et de nombreux utilisateurs du monde des affaires, des
TI, du risque, de la sécurité et de l’assurance.
COBIT 5
se fonde sur cinq principes clés pour la gouvernance et la gestion des TI de
l’entreprise :
ü Répondre aux besoins des parties prenantes
ü Couvrir l’entreprise de bout en bout
ü Appliquer un référentiel unique et
intégré
ü Faciliter une approche globale
ü Distinguer la gouvernance de la
gestion
Le cycle de vie de la mise en oeuvre de COBIT 5 comprend sept
étapes :
ü Lancement du programme
ü Définition des problèmes et des
possibilités
ü Définition de la feuille de route
ü Planification du programme
ü Exécution du plan
ü Réalisation des bénéfices
ü Révision de l’efficacité
COBIT 5 utilise le framework Risk-IT publié par l’ISACA
pour la gestion des risques. Le modèle de ce framework est divisé en trois
domaines :
o La gouvernance des risques
ü Établir et maintenir une vue commune
du risque
ü Intégrer avec la Gestion des Risques
d'Entreprise (GRE)
ü Prendre des décisions
professionnelles en prenant en compte les risques
ü Déterminer l’appétit et la tolérance
aux risques
ü Communiquer et sensibiliser
o L’évaluation des risques
ü Collecter les informations
ü Analyser les risques
ü Maintenir les profils des risques
ü Etablir des scénarios de risque
ü Décrire les impacts sur le métier
o Réponse aux risques
ü Exprimer les risques
ü Gérer les risques
ü Réagir aux événements
ü Définir des indicateurs clés des
risques
ü Définir et prioriser les réponses aux
risques
