Documente Academic
Documente Profesional
Documente Cultură
desrisques
RESUME :
CerapportprsentelanormeISO/IEC27005,lesmthodesEBIOS,MEHARI,OCTAVE/OCTAVESetIT
Grundschutzsouslangledesobjectifs,desprocessusetdesoutils.
AUTEURS :
S.PoggiMai2005
O.DerrouaziMai2009(versionmisejour)
www.cases.lu
http://www.cases.lu
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
SOMMAIRE
Introduction..................................................................................................................................................7
1.
ISO/IEC27005.......................................................................................................................................8
1.1OBJECTIFS............................................................................................................................................8
1.2PROCESSUS..........................................................................................................................................9
1.3OUTIL.................................................................................................................................................10
2.
EBIOS...................................................................................................................................................11
2.1OBJECTIFS..........................................................................................................................................11
2.2PROCESSUS........................................................................................................................................12
Pralable.............................................................................................................................................13
Etape1:Etudeducontexte................................................................................................................13
Etape2:Expressiondesobjectifsdescurit....................................................................................13
Etape3:Etudedesmenaces..............................................................................................................14
Etape4:Identificationdesbesoinsdescurit.................................................................................14
Etape5:Dterminationdesexigencesdescurit............................................................................15
RsultatsdunetudeEBIOS...............................................................................................................15
2.3OUTILS...............................................................................................................................................16
Logiciel................................................................................................................................................18
3.
MEHARI...............................................................................................................................................21
3.1OBJECTIFS..........................................................................................................................................21
3.2PROCESSUS........................................................................................................................................21
Analysedessituationsderisque.........................................................................................................22
Etape1:Evaluationdelexpositionnaturelle....................................................................................22
Etape2:Evaluationdesfacteursdedissuasionetprvention..........................................................23
Etape3:Evaluationdelapotentialit................................................................................................23
Etape4:Evaluationdelimpactintrinsque......................................................................................24
Etape5:Evaluationdesfacteursdeprotection,palliationetrcupration......................................24
Etape6:Evaluationdelarductiondimpact,valuationdelimpact..............................................25
Etape7:Evaluationglobaledurisque................................................................................................25
Enrsum...........................................................................................................................................26
Version2009
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
3.3OUTIL.................................................................................................................................................26
OCTAVE/OCTAVES....................................................................................................................................28
4.1OBJECTIFS..........................................................................................................................................28
4.2PROCESSUS........................................................................................................................................28
Phase1:Vueorganisationnelle:Constitutiondesprofilsdemenacesbasssurlesactifsde
lentreprise..........................................................................................................................................28
Phase2:Vuetechnique:Identificationdesvulnrabilitsdelinfrastructure..................................29
Phase3:Dveloppementdelastratgiedescuritetplanification...............................................29
OCTAVE...............................................................................................................................................29
Phase1:Vueorganisationnelle..........................................................................................................29
Phase2:Vuetechnique......................................................................................................................30
Phase3:Dveloppementdelastratgie...........................................................................................30
OCTAVES............................................................................................................................................31
Phase1:Vueorganisationnelle..........................................................................................................31
Phase2:Vuetechnique......................................................................................................................31
Phase3:Dveloppementdelastratgie...........................................................................................31
4.3OUTILS...............................................................................................................................................32
OCTAVE...............................................................................................................................................32
OCTAVES............................................................................................................................................32
5.ITGrundschutz........................................................................................................................................33
5.1OBJECTIFS..........................................................................................................................................33
5.2PROCESSUS........................................................................................................................................34
Lestandard1002:lamthodologiedelITGrundschutz..................................................................35
Etape1:InitialisationduprocessusdescuritIT..............................................................................36
Etape2:Productionduconceptdescurit......................................................................................36
Etape3:Implmentationduconceptdescurit.............................................................................36
Etape4:Maintienetamlioration.....................................................................................................36
5.3OUTILS...............................................................................................................................................37
Synthse......................................................................................................................................................39
Tabledesfigures.........................................................................................................................................41
Version2009
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
ACRONYMES
BSI
BundesamtfrSicherheitinderInformationstechnik
CERT/CC
ComputerEmergencyResponseTeam/ CoordinationCenter
CLUSIF
CLUbdelaScuritdel'InformationFranais
DCSSI
DirectionCentraledelaScuritdesSystmesdInformation
EBIOS
ExpressiondesBesoinsetIdentificationdesObjectifsdeScurit
FEROS
Fiched'ExpressionRationnelledesObjectifsdeScurit
ISO
InternationalStandardizationOrganization
MA
MthodesdAttaque
MEHARI
MEthodeHarmonised'AnalysedeRisques
OCTAVE
OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation
PP
ProtectionProfile
PSSI
Politiquedescuritdessystmesdinformation
Version2009
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
RSSI
ResponsabledelaScuritdesSystmesdInformation
SEM
SurvivableEnterpriseManagement
SI
SystmedInformation
SSI
ScuritdesSystmesdInformation
SSIC
ScuritdesSystmesdelInformationetdelaCommunication
ST
SecurityTarget
Version2009
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Introduction
Denosjours,lesorganismessontdpendantsdesperformancesduSI(SystmedInformation).Celuici
contienttouteslesdonnesstratgiquesetestainsidevenulecentrenvralgiquedelentreprise.Cette
dpendanceauSIentrainedesrisques,quipeuventremettreencauselaprennitdel'entreprise.
L'analyse de risque permet d'identifier les dangers induits par les applications et les systmes
informatiques,d'valuerlesrisquesetdedfinirdesbarriresdeprotectionquivontlesrduiredes
niveauxacceptables.
Les mthodes de gestion des risques sont nombreuses et leurs approches peuvent tre diffrentes. Il
nexistepasdebonneoudemauvaisemthodedegestiondesrisques,puisquilyaunegrandediversit
danslesactivits,danslesenjeuxetdanslesapprochesdelascurit.
Danscedocument,sontprsents:
La norme internationale ISO/IEC 27005 qui traite de la gestion des risques des SI (Systme
dInformation)
Les mthodes les plus utilises savoir EBIOS (Expression des Besoins et Identification des
ObjectifsdeScurit),MEHARI(MthodeHarmonised'AnalysedeRIsques),OCTAVE/OCTAVES
(OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation/Small)etITGrundschutz
Pourchacunedelles,lesobjectifs,lesprocessusetlesoutilsassocisauxmthodessontprsentsde
manireenfaciliterlacomparaison.
Version2009
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
1. ISO/IEC27005
1.1OBJECTIFS
L'ISO/IEC27005(InternationalStandardizationOrganization)donnedeslignesdirectricespourgrerles
risques en scurit de l'information. La norme taye les concepts gnraux spcifis dans lISO/IEC
27001.
Elle a pour but daider mettre en uvre lISO/IEC 27001, la norme relative aux Systmes de
ManagementdelaScuritdelInformation(SMSI),pourlapartiegestiondurisque.Pourcomprendre
cette norme internationale, il est important de connatre les concepts, modles, processus et termes
expossdanslISO/IEC27001etl'ISO/IEC27002(Codedebonnepratiquepourlagestiondelascurit
delinformation).
Version2009
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
1.2PROCESSUS
Leprocessusdegestiondurisqueenscuritdel'informationsedcomposecommesuit:
Dfinitionducontexte
Identificationdurisque
Estimationdurisque
Evaluationdurisque
Traitementdurisque
Version2009
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
1.3OUTIL
LoutillogicielleplusconnupourlanormeISO/IEC27005estSCOREISMS(outilpayantetdisponiblesur
le march) qui supporte actuellement EBIOS, MEHARI, AS/NZS 4360 prpare lintgration de lISO/IEC
27005.
Version2009
10
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
2. EBIOS
2.1OBJECTIFS
LamthodeEBIOS(ExpressiondesBesoinsetIdentificationdesObjectifsdeScurit),estunemthode
dapprciation et de traitement des risques, mais galement un outil dassistance la matrise
douvrage. La mthode peut couvrir aussi bien un systme dj existant que sinscrire dans une
dmarchedamlioration.LadmarcheproposeparEBIOSapporteunevisionglobaleetcohrentede
laSSIC(ScuritdesSystmesdelInformationetdelaCommunication).Ellefournitunvocabulaireet
desconceptscommuns,ellepermetd'treexhaustifetdedterminerdesobjectifsdescuritadapts
au travers de cinq tapes. Elle permet aussi dimpliquer lensemble des acteurs du SI dans la
problmatiquedescurit.
De plus, un logiciel libre distribu gratuitement par la DCSSI (Direction Centrale de la Scurit des
SystmesdInformation)permetdefaciliterunetudeEBIOS.Ilpermeteneffetdeconsignerl'ensemble
desrsultatsd'unetudeetdeproduirelesdocumentsdesynthsencessaires.
Version2009
11
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
2.2PROCESSUS
Pralable
Expressiondes
besoinsde
scurit
Etudedu
contexte
Etudede
lorganisme
Etudedes
menaces
Ralisationdes
Etudedusystme
cible
Etudedes
originesdes
menaces
Synthsedes
fichesdebesoins
Dterminationde
lacibledel'tude
scurit
Etudedes
vulnrabilits
fichesdebesoins
Identification
desobjectifsde
scurit
Formalisationdes
menaces
Confrontationdes
menacesaux
besoins
Formalisationdes
objectifsde
scurit
Dtermination
desminimumsde
scurit
Expressiondes
exigencesde
scurit
Exigences
fonctionnelles
Exigences
dassurance
Rsultats
12
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Pralable
Idalement l'tude EBIOS s'appuie sur diffrents documents, existants ou dfinir, relatifs
l'organisme,sonsystmed'informationetausystmetudier.Parexempleleschmadirecteurde
l'organisme,laPSSI(PolitiquedeScuritdesSystmesdInformation)etlesspcificationsgnralesdu
systme.
Etape1:Etudeducontexte
Activit1.1:Etudedelorganisme
Cetteactivitconsistedfinirlecadredel'tude,identifierglobalementlesystmecibleetlesituer
danssonenvironnementpourdterminerprcismentlacibledel'tudedescurit.Desinformations
gnralessurlorganisme concernparleprojetde scuritdoiventdonctrerunies danslebutde
mieux apprcier sa nature, son organisation et les contraintes qui psent sur celuici. Il est aussi
ncessaire d'obtenir une vision fonctionnelle du systme d'information de l'organisme. Le cadre
rglementairenedoitgalementpastreoubli.
Activit1.2:Etudedusystmecible
Cette activit a pour but de prciser le contexte d'utilisation du systme concevoir ou existant. Elle
permetnotammentdeprciserpourlesystmelesenjeux,lecontextedesonutilisation,lesmissionsou
servicesqu'ildoitrendreetlesmoyensutiliss.Pourcela,ilestncessairedeprciserlesousensemble
du systme d'information de l'organisme constituant le systme cible de ltude et ses enjeux. Le
systmecibleestalorsdcritetsontrecensesleshypothses,lesrglesdescuritetsescontraintes.
Activit1.3:Dterminationdelacibledel'tudescurit
Cette activit a pour but de recenser et dcrire les entits sur lesquelles reposent les lments
essentielsdusystmecible(fonctionsetinformations).
Etape2:Expressiondesobjectifsdescurit
Activit2.1:Ralisationdesfichesdebesoin
Elles permettront aux utilisateurs d'exprimer les besoins de scurit des lments qu'ils manipulent
habituellementdanslecadredeleuractivit,d'unemanireobjectiveetcohrenteselonlesexigences
oprationnellesdusystmeetnonselonlessolutionstechniques.Ils'agit d'uneactivitcontribuant
l'estimation des risques et la dfinition des critres de risques dans le processus de gestion des
risques. On tudiera donc particulirement les impacts dus au nonrespect des besoins de scurit
exprims.
Version2009
13
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Activit2.2:Synthsedesbesoinsdescurit
Cette activit a pour but d'affecter aux lments essentiels les besoins de scurit qui rsultent de la
synthsedesvaleursattribuesparlesutilisateurs.l'issuedecetteactivit,ilserapossiblededisposer
d'unevisionobjectiveetcohrentedesbesoinsdescuritdusystmecible.
Etape3:Etudedesmenaces
Cettetapeapourobjectifladterminationdesmenacespesantsurlesystme.
Activit3.1:Etudedesoriginesdesmenaces
Cetteactivitapourbutdeslectionnerlesmthodesd'attaquequisontpertinentespourlesystme
cible.Chacunedesmthodesd'attaqueestcaractriseparlescritresdescuritqu'ellepeutaffecter.
Elleestassociedeslmentsmenaantscaractrissselonleurtypeouleurcause.Silesmthodes
d'attaquecomposentdesrisquesrelspourlesystmecible,leniveaudesmesuresdescuritdevra
trecohrentaveccepotentield'attaque.
Activit3.2:Etudedesvulnrabilits
Cetteactivitapourobjetladterminationdesvulnrabilitsspcifiquesdusystmecible,provenant
des caractristiques des entits qui le composent, et ventuellement la caractrisation de cellesci en
termesdeniveau.
Activit3.3:Formalisationdesmenaces
Cetteactivitapourbutdedterminerlesmenacespouvantaffecterlesystmecible.Ellesrsultentde
l'associationdesmthodesd'attaque(activit3.1)auxvulnrabilitsretenues(activit3.2).l'issuede
cette activit, il sera possible de disposer d'une vision objective et exhaustive des menaces relles
pesantsurlesystmecible.
Etape4:Identificationdesbesoinsdescurit
Activit4.1:Confrontationdesmenacesauxbesoins
Cetteactivitapourbut dedterminerlesrisquesrelspesantsurlesystme cible.La confrontation
desmenacesauxbesoinsdescuritpermetderetenirethirarchiserlesrisquesquisontvritablement
susceptiblesdeporteratteinteauxlmentsessentiels.L'ensembledecesrisquesdevratrevalu,la
plupartd'entreeuxdevanttrecouvertspardesobjectifsdescurit.
Activit4.2:Formalisationdesobjectifsdescurit
Version2009
14
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Cette activit a pour but de dterminer les objectifs de scurit permettant de couvrir les risques,
conformmentladterminationdesniveauxdescurit.Lacompltudedelacouverturedesrisques
par les objectifs de scurit, en prenant en compte les hypothses, rgles de scurit et contraintes,
devratredmontre.
Activit4.3:Dterminationdesniveauxdescurit
Cetteactivitapourbutdedterminerleniveaudersistanceadquatpourlesobjectifsdescurit.
Ellepermetgalementdechoisirleniveaudesexigencesdescuritd'assurance,cequipermetdtre
enadquationaveclanormeISO/IEC15408(CritresCommuns).
Etape5:Dterminationdesexigencesdescurit
Activit5.1:Dterminationdesexigencesdescuritfonctionnelles
Cetteactivitapourbutdedterminerlesexigencesdescuritfonctionnellespermettantdecouvrir
les objectifs de scurit identifis pour le systme cible. Elle permet de dcider de la manire dont
chaquerisqueidentifidevratretrait.
Activit5.2:Dterminationdesexigencesdescuritd'assurance
Cette activit a pour but l'expression complte des exigences de scurit dassurance de la cible de
l'tudedescurit.Ellessontslectionnesselonleniveaud'assurancechoisilorsdeladtermination
desniveauxdescurit.Ellesconstituentlefondementdelaconfiancedanslefaitquunsystmecible
satisfaitsesobjectifsdescurit.
RsultatsdunetudeEBIOS
Lamthode permetdidentifierdesobjectifsetexigencesdescuritlasuite duneapprciationde
risques.Ellepermetdoncdecontribuerlaralisationd'unschmadirecteurSSI(ScuritdesSystme
dInformation), dune PSSI, dun plan daction SSIC, d'une FEROS (Fiche d'Expressions Rationnelles des
ObjectifsdeScurit),duncahierdescharges,d'unPP(ProtectionProfile)oud'uneST(SecurityTarget)
ausensdelISO/IEC15408.
Version2009
15
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
2.3OUTILS
IlexistecinqdocumentsdesupportEBIOSfournisdirectementparlaDCSSI.
UndocumentdIntroductionquiprsentelecontexte,l'intrtetlepositionnementdeladmarche
EBIOS.Ellecontientaussiunebibliographie,unglossaireetdesacronymes.
Un document intitul Dmarche qui expose le droulement des activits de la mthode. Chaque
activit est organise de la faon suivante: pralable, donnes en entre, actions, donnes en sortie,
conseilspratiques.Lestapessontprsentesdefaonclaireetaccompagnesdeschmas.
Le document appel Techniques est un guide daccompagnement qui contient des moyens pour
raliserunetudeEBIOS.Lesconceptsautourdechaqueactivitsontainsiprsentsplusavant.
Le document Outillage pour l'apprciation des risques SSI est la premire partie de la base de
connaissancedelamthode.Ellecontientunetypologiedestypesetsoustypesd'entitspouvanttre
soumises une tude EBIOS. On y trouvera les mthodes d'attaque les plus rpandues avec leurs
principalesatteintessurlescritresdescurit(ConfidentialitIntgritDisponibilit).Ladernire
partiedudocumentestunesynthsedesdeuxpartiesprcdentes,cestdirequelleprsentepour
chaquetypeetsoustypes,lesmthodesdattaqueauxquelleslesentitssontexposes.
Type
d'entits
MA
Vulnrabilit
RES
LexemplecidessussignifiequelesentitsRES(rseaux)sontvulnrablesauxMA(mthodesdattaque)
detype5, savoirladestructionde matrielsoudesupports.Lavulnrabilitestemployeici,siles
supports sont accessibles des personnes non autorises. La mthode dattaque 5 portant atteinte
lintgritetladisponibilit.Anoterquecedocumentestrutilislorsdesactivits1.3et3.1.
LedocumentOutillagepourletraitementdesrisquesSSI(indispensablepourlesactivits4.2et5.1)
estladeuximepartiedelabasedeconnaissancedelamthode.Ellecontientenpremirepartieune
base dobjectifs de scurit gnriques par type d'entits. La seconde partie permet la compatibilit
avecdeuxautresstandardsinternationaux:ISO/IEC15408etISO/IEC27002.Elleprsentelesexigences
de scurit fonctionnelles gnriques proposes dans ces rfrentiels. Dautres exigences de scurit
fonctionnellessontgalementprsentes.Ladernirepartiedudocumentestunesynthsedesdeux
Version2009
16
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
parties prcdentes mais aussi du document sur lapprciation des risques. Il prsente pour chaque
vulnrabilitdechaquetypeetsoustypedentit,lesobjectifsetlesexigencesdescuritrduisantla
vulnrabilit.
Silonreprendlexempleprcdent,celadonne:
Type
d'entits
MA
Vulnrabilit
Objectif
de
scurit
Exigence de
scurit
RES
ORG_01
BPE_ZOS.2.1
RES
ORG_01
BPE_SEM.1.1
RES
ORG_01
CET_EGT.2.3
RES
ORG_01
BPE_ZOS.1.1
Lexemple cidessus signifie que les entits rseaux sont vulnrables aux MA de type 5, savoir la
destructiondematrielsoudesupports,silessupportssontaccessiblesdespersonnesnonautorises.
Afindediminuerlavulnrabilit,ilestrecommanddaccomplirlobjectifdescuritORG_01.Silonse
rfreaucodecorrespondantcelasignifiequel'organisationdoitprotgerlesquipementsetsupports
contrel'accsphysiquepardespersonnesnonautorises.Celaveutdirequilfautremplirlesexigences
descuritsuivantes:
BPE_ZOS.2.1:Leszonesdescuritdoiventtreprotgespardesmesuresdematriseappropries
l'entrepourfaireensortequeseullepersonnelautorispuisseyavoiraccs.
BPE_SEM.1.1 : Le matriel informatique doit tre situ et protg de faon rduire les risques
prsents par les menaces et les dangers lis l'environnement et les occasions d'accs non
autoriss.
CET_EGT.2.3 : A partir de sa prise en charge, l'interlocuteur interne est responsable d'un visiteur
jusqu'sondpart.Ildoitnotamments'assurerquelavisitesedrouleenaccordaveclesprincipes
descuritnoncsdanslapolitiquedescurit.
BPE_ZOS.1.1:Lesorganismesdoiventutiliserdesprimtresdescuritpourprotgerleszonesqui
contiennentdesinfrastructuresdetraitementdel'information.
On pourra trouver galement sur le site de la DCSSI dans la rubrique les meilleures pratiques,des
documentsdestinsformaliserlesrsultatsdunetudeEBIOSsousformed'unschmadirecteurSSI,
dunePSSI,dunplandactionSSIC,d'uneFEROS,duncahierdescharges,d'unPP,d'uneST,etc.
Version2009
17
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Logiciel
La mthode EBIOS est galement disponible sur CDROM sur simple demande la DCSSI. Ce CDROM
contientladocumentationetlelogicieldassistance.
CelogicielpermetdesimplifierlaralisationdunetudeEBIOS.Ilintgreainsitouteunesriedaides
trsintressantescommedesquestionnairesoudeslistesdecontraintes.Deplusilimplmentelabase
deconnaissanceEBIOS.IlpermetgalementdegnrerautomatiquementuneFEROSenfonctiondes
donnesdunetuderaliselaidedulogiciel.
LelogicieldassistanceproposegalementunexempledtudeEBIOSetunmoduledautoformation.
Version2009
18
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Version2009
19
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Version2009
20
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
3. MEHARI
3.1OBJECTIFS
MEHARIestutilispouraiderlesRSSI(ResponsabledelaScuritdesSystmesdInformation)dansleur
tchedemanagementdelascuritdessystmesdinformation.
MEHARIestavanttoutunemthodedanalyseetdemanagementdesrisques.Enpratique,MEHARIet
lensemble de ses bases de connaissances sont btis pour permettre une analyse prcise des risques,
quand cela sera jug ncessaire, sanspour autant imposer lanalyse des risques comme une politique
majeuredemanagement.
3.2PROCESSUS
Pour cette partie il convient de se focaliser sur lanalyse des situations de risque qui est lun des
processusdelamthodeMEHARI.
Version2009
21
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Analysedessituationsderisque
Leprocessusdanalysedunesituationderisquecomprendunedmarchedebase,ventuellement
assistepardesautomatismes,selonlamaniredontlasituationestdcriteetselonlexistenceou
nondunauditpralabledesservicesdescurit.
Etape1:Evaluationdelexpositionnaturelle
Cette tape se divise en deux parties. Tout dabord lexposition naturelle standard et deuximement
lexpositionnaturellespcifique.
Version2009
22
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Expositionnaturellestandard
Les scnarios 1 de la base de connaissances MEHARI se rfrent une liste limite dvnements de
base,quilsagissedaccidents,derreursoudactesvolontaires,pourlesquelsunevaluationaprioride
lexpositionestdonne.
Parexemple,ilestestimquelexpositionnaturellestandardduneentrepriseunincendieestde
niveau2(pluttimprobable),unepannedquipementinformatiquedeniveau3(pluttprobable)et
uneerreurpendantunprocessusdesaisiedeniveau4(trsprobable).
Lalistedecesvnementsetdelexpositionnaturellestandardestdonneenannexe1delamthode.
Expositionnaturellespcifique
Il doit tre clair que lvaluation standard propose nest quune valuation par dfaut et que
lvaluation directe de lexposition de lentreprise la situation de risque analyse est de loin
prfrable.
Etape2:Evaluationdesfacteursdedissuasionetprvention
La potentialit du risque reprsente, en quelque sorte, sa probabilit d'occurrence, bien que cette
occurrencenesoitpasmodlisableentermesdeprobabilit.Cettepotentialitestfonctionducontexte
etdesmesuresdescuritenplace.
Lvaluationdelapotentialitestfaitesurunechellecomprenant4niveaux,prsentsciaprs.
chelledepotentialit
Niveau4:Trsprobable
A ce niveau, il est raisonnable de penser que le scnario se produira trs certainement et
vraisemblablementcourtterme.
Quandlerisquesurvient,personnenestsurpris.
Niveau3:Probable
Ilsagitldesscnariosdontilestraisonnabledepenserquilspourraientbienseproduire,plusou
moins court terme. Lespoir que le risque ne survienne pas nest pas insens mais dnote un certain
optimisme.
Lasurvenancedurisquedoit,maisnesurprendpas.
Version2009
23
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Niveau2:Improbable
Ilsagitldescnariosdontilestraisonnabledepenserquilsnesurviendrontpas.Lexpriencepasse
montredailleursquilsnesontpassurvenus.
Ilsdemeurentnanmoinspossiblesetnesontpascompltementinvraisemblables.
Niveau1:Trsimprobable
Aceniveau,loccurrencedurisqueesttoutfaitimprobable.Detelsscnariosnesontpasstrictement
impossiblescarilexistetoujoursuneinfimeprobabilitpourquecelaseproduise.
Niveau0:Nonenvisag
Les scnarios rellement impossibles nont pas faire partie de la base des scnarios tudier. Ce
niveauestutilispourclasserlesscnariosquelorganisationadciddenepasanalyser.
Etape4:Evaluationdelimpactintrinsque
Limpact intrinsque est une estimation maximaliste des consquences du risque, en dehors de toute
mesuredescurit.
Ladmarchedvaluationdesimpactsintrinsquesconsisterempliruntableaudimpactintrinsque,
bassurceluifournienAnnexe3delamthode,dontunextraitestdonncidessous.
Mmeprocessusquepourltape2.
Version2009
24
ProjetR2SICet
ISMSPME
Etudecomparedesmthodesdegestiondesrisques
CITI
Etape6:Evaluationdelarductiondimpact,valuationdelimpact
LvaluationdelarductiondimpactaussiappelSTATUSRIsefaitpartirdetroisautresindicateurs
appelsSTATUSdimpact (STATUSPROTpourprotection,STATUSPALLpourpalliation,STATUSRECUP
pourrcupration)etenutilisantlagrillecorrespondantlanatureduscnario(Disponibilit,Intgrit,
Confidentialit)
Exemple:
PrenonslescnarioAltrationdedonnesparerreurlorsdelasaisiequiestdenatureIntgrit.
Sinousavons:
STATUSPROT=2,STATUSPALL=2,STATUSRECUP=4
Selonlagrilleproposeenannexedelamthodeonobtient:
Larductiondimpactestgale3.
Etape7:Evaluationglobaledurisque
Dans cette tape on dcide de la manire de grer le risque, en fonction de son impact et de sa
potentialit:laccepter,lerefuserouletransfrer.
Version2009
25
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Enrsum
Une situation de risque peut tre caractrise par une potentialit et un impact intrinsques, en
labsencedetoutemesuredescurit.
PotentialitintrinsqueetImpactintrinsquepeuventtrevalus.
Des mesures de scurit peuvent venir rduire ce risque intrinsque par le biais de facteurs
significatifsderductionderisque.
Cesfacteursdattnuationderisquepeuventtrevalus.
Sur la base de ces lments, il est possible dvaluer une potentialit et un impact rsiduels,
caractristiquesdurisque,etdendduireunindicateurdegravitderisque.
MEHARIproposedesoutilsdassistancetoutaulongdeceprocessusdanalyseetdvaluation.
3.3OUTIL
RISICARE est une approche associe un outillage, sappuyant sur la mthode MEHARI et qui permet
damliorerlaproductivitetlajustessedunedmarchedegestiondesrisques.Cetoutilestpayantet
disponiblesurlemarch.
RISICAREsappuiesurlescaractristiquessuivantes:
LutilisationdelamthodeMEHARIdveloppeauseinduCLUSIF(CLUbdelaScuritdessystmes
d'InformationFranais)commemodledanalysedesrisques
Version2009
26
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Lapossibilitdepersonnaliserlesbasesdeconnaissances,voiredeconstruiresespropresbasesde
connaissances(RISIBASE)
Unerelationentreunauditdelexistantetlaquantificationdescnarios
Llaborationdeplansdactionscohrentsoptimisantlarductiondelensembledesrisques
Une aide en ligne trs dveloppe avec laccs un ensemble de rubriques mthodologiques et
techniques
Unoutilperformantetsimpleutiliser
Avantages:
Automatisation
Rapidit
Compltudedelanalyse
Conu pour permettre une approche de diagnostic qui sadapte la taille et la complexit de
lorganisme
Inconvnient:
Il est essentiel de bien assimiler MEHARI pour utiliser cet outil, notamment en PME ou son
utilisation ncessite de savoir dfinir un primtre des processus clefs afin doptimiser la
dmarcheetlesressources.
Version2009
27
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
OCTAVE/OCTAVES
4.1OBJECTIFS
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) est une mthode
dvaluation des vulnrabilits et des menaces sur les actifs oprationnels. Ce sont ces actifs
oprationnels et les pratiques de scurit qui ont dirig lorientation de la mthode. Elle a galement
t conue pour tre mene par des membres internes une organisation, sans faire appel des
spcialistes externes. Cette technique permet, par la mme occasion, damliorer la connaissance de
lentreprise sur ses propres pratiques de scurit. Pour tre mene bien elle suppose donc la
compositiondunequipedanalysemultidisciplinaire.
4.2PROCESSUS
LapprocheOCTAVEestavanttoutbasesurlesactifsdelentreprise.Lquipedanalysedevradonc:
Identifierlesactifsdelentreprise
Centrersonanalysedesrisquessurlesactifslespluscritiques
Considrerlesrelationsentrecesactifsainsiquelesmenacesetlesvulnrabilitspesantsureux
Evaluerlesrisquesdunpointdevueoprationnel
Crerunestratgiedeprotectionbasesurdespratiques
Pouryparvenir,OCTAVEdfinitdonctroisphasescommelemontrelafigurecidessous.
Prparation
Phase1:vue
organisationnelle
Phase2:vue
technologique
Phase3:
dveloppementde
lastratgie
Phase1:Vueorganisationnelle:Constitutiondesprofilsdemenacesbasssurlesactifsde
lentreprise
Cest une valuation avant tout organisationnelle. Il sagit de lidentification des ressources
informatiques importantes, de leurs menaces et des exigences de scurit associes. On value les
Version2009
28
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
pratiques actuelles de lorganisation pour protger ces ressources critiques (si elles existent) et on
identifielesvulnrabilitssurcesressources.Ontudieensuitelesmenacesquipourraientlesexploiter
pourdgagerensuiteunprofildemenace.
Phase2:Vuetechnique:Identificationdesvulnrabilitsdelinfrastructure
Cest une valuation de linfrastructure informatique. Lquipe danalyse identifie les moyens daccs
auxactifs,dgagedesclassesdecomposantsquileursontrelis,pourfinalementdterminerlesclasses
quisontdjrsistantesauxattaquesetcellesquidoiventtreamliores.
Phase3:Dveloppementdelastratgiedescuritetplanification
Lquipe danalyse procde une analyse des risques sur les actifs oprationnels et dcide du
traitementpossible.
OCTAVE
LamthodeOCTAVEsedcomposeen8processusrpartisdansles3phasesmajeuresdelamthode.
Phase1:Vueorganisationnelle
Processus1:Identificationdesconnaissancesparlescadressuprieurs
Le but est didentifier la vue que les dirigeants ont des actifs de lentreprise, les menaces qui sy
rattachent,lesimpratifsdescuritetcequiestactuellementfaitpourremplircesimpratifs.
Processus2:Identificationdesconnaissancesparlescadresdeloprationnel
Lebutestdidentifierlavuequelescadresontdesactifsoprationnelsdelentreprise,lesmenacesqui
syrattachent,lesimpratifsdescuritetcequiestactuellementfaitpourremplircesimpratifs.
Processus3:Identificationdesconnaissancesparlesquipesdeproduction
LebutestdidentifierlavuequontlesquipesdeproductionetlquipeITdesactifsdelentreprise,les
menaces qui sy rattachent, les impratifs de scurit et ce qui est actuellement fait pour remplir ces
impratifs.
Version2009
29
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Processus4:Crationdesprofilsdemenace
Lebutestdeconsoliderlesdonnesrecueillieslorsdestroisprocessusprcdentsetdedterminerles
ressourcescritiquesdelentreprise,didentifierlesimpratifsdescuritetlesmenacesquipsentsur
lesactifs.
Pourcrercesprofilsdemenace,ilexisteunguidecompletdelensembledesprofils.Ilestcertesloin
dtreexhaustifmaisilproposeunevueintressanteenarborescenceetuneclassificationparimpact.
Phase2:Vuetechnique
Processus5:Identificationdescomposantsclefs
Le but est ici didentifier les composants clefs pour chaque actif critique de lentreprise. On
slectionneraensuitelamthodeetlesoutilspourprocderlauditdesvulnrabilits.
Processus6:Evaluationdescomposantsslectionns
Lebutesticideprocderunauditdesvulnrabilitsdescomposantsslectionnsdansleprocessus
prcdent.
Phase3:Dveloppementdelastratgie
Processus7:Analysedesrisques
Le but est didentifier les risques, de dfinir une mtrique pour valuer ces risques et de procder
cettevaluationenutilisantlesprofilsdemenacedfinisaucoursduprocessus4.
Processus8:Dveloppements
Ceprocessussediviseendeuxparties:
PartieA:Dveloppementdelastratgiedeprotection
Le but est de dfinir une stratgie de protection, un plan de gestion des risques et une liste
dactionsmenercourtterme.
PartieB:Slectiondelastratgiedeprotection
Le but est ici dimpliquer les dirigeants dans la stratgie de protection et de dcider de
limplmentationdescontremesuresretenues.
Version2009
30
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
OCTAVES
OCTAVES (Small) est une version rduite dOCTAVE destination des entreprises de moins de 100
salaris.Onretrouveles3phasesprsentesciavant.Lesprocessussontallgsetlamthodeestainsi
plusaccessibleuneorganisationdisposantdemoinsderessources.CommepourOCTAVE,lamthode
estbiendocumenteavecdesguidesdetravail,desconseilsetunexemplecomplet.
Phase1:Vueorganisationnelle
Processus1:Dgagerdesinformationssurlorganisation
Lebutestdtabliruncritred'valuationdimpact,didentifierlesactifsdel'organisationetdvaluer
lespratiquesdescuritactuellesdel'organisation.
Processus2:Crerlesprofilsdemenace
Lebutestdeslectionnerdesactifscritiques,didentifierlesimpratifsdescuritpourlesactifsainsi
quelesmenacesquipsentsurcesderniers.
Phase2:Vuetechnique
Processus3:Examinerl'infrastructureinformatiqueenrelationaveclesactifscritiques
Lebutesticidexaminerlesvoiesd'accsauxactifscritiquesdelentreprise. Onanalyseraensuiteles
processusenrapportaveclatechnologie.
Phase3:Dveloppementdelastratgie
Processus4:Identifieretanalyserlesrisques
Le but est dvaluer l'impact des menaces, dtablir un critre de probabilit et enfin dvaluer la
probabilitd'occurrencedesmenaces.
Processus5:Dvelopperlastratgiedeprotectionetlesplansderductiondesrisques
Le but est de dcrire la stratgie actuelle, de slectionner l'approche pour la gestion, didentifier les
changementsetlesactionsmener.
Version2009
31
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
4.3OUTILS
OCTAVE
Ladocumentationoffredesconseilssurlaprparationlamthode,commentslectionnersonquipe
danalyse, choisir le primtre de ltude, identifier les participants clefs. Elle fournit galement un
modledeplanningetdesrfrencespourladaptationdelamthode.
Chaque processus fait ensuite lobjet dun volume spar (il en existe une vingtaine en tout). On
retrouvera pour chaque processus un rsum des objectifs atteindre, des feuilles de travail, et un
descriptifdesobjectifsremplir.Lamthodevajusqudfinirlesconceptsquelleabordeafinquedes
nonspcialistes puissent lutiliser. De plus, chaque processus est galement prsent sous forme de
prsentationlectroniquediffuserlquipe.
Par ailleurs, un exemple complet accompagne le lecteur tout au long de la mthode. Il concerne la
scurisationduneclinique.
OCTAVES
Delammefaon,OCTAVESoffreunedocumentationexhaustive.AladiffrencedOCTAVEquifournit
pluttunparcours,OCTAVESproposeunensembledechecklistsadaptesauxbesoinsdepluspetites
organisations.Cestuneapprochepluspragmatique.
Le mme exemple que pour OCTAVE est propos, savoir une clinique, mais avec les checklists
dOCTAVES.
Version2009
32
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
5.ITGrundschutz
5.1OBJECTIFS
LITGrundschutz prsente une liste de mesures standards pour des SI gnriques. Le but de ces
recommandationsestdatteindreunniveaudescuritadquatepourlesSIayantunbesoindescurit
normaloulev.
LemanueldeLITGrundschutzcomprend:
Unedescriptiondunesituationpotentiellementdangereuse
Desdescriptionsdtaillesdemesuresprendreafindefaciliterlamiseenuvre
Unedescriptionduprocessusd'tablissementetdemaintiend'unniveaudescuritadquat
Une procdure simple pour dterminer le niveau de scurit de linformation obtenu sous la
formed'unecomparaisondesrsultatscibles
Ce manuel est gratuit, disponible tous et qui plus est actualis par linsertion tous les 6 mois de
nouveaux modules. Il est galement possible de senregistrer gratuitement pour recevoir des
informationscomplmentairessurlamthode.CelapermetunchangeentreutilisateursetleBSIpour
fairevoluerlemanuelenfonctiondesremarquesetbesoins.Deplus,desoutilslogicielsetdesguides
supplmentairessontdisponiblesetilestpossibled'trecertifi.
Version2009
33
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
5.2PROCESSUS
PourlITGrundschutznousallonsnousfocalisersurlestandard1002mthodologie:
Version2009
34
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Lestandard1002:lamthodologiedelITGrundschutz
35
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Etape1:InitialisationduprocessusdescuritIT
Pour raliser ou maintenir un niveau appropri de scurit IT, il est ncessaire dexiger une approche
planifie et organise mais aussi une structure organisationnelle adquate. Il est important de dfinir
desobjectifsdescuritainsiquunestratgiepourlesraliser,quidoittrefondesurunprocessus
continu.
Etape2:Productionduconceptdescurit
AnalysedelastructureIT
Dfinitiond'exigencesdeprotection
Choixdemesuredescurit
Contrledescuritbasic
Analysedescuritsupplmentaire
Etape3:Implmentationduconceptdescurit
Cettesectionprsentelesaspectsquel'ondoitconsidrerpourimplmenterleconceptdescurit.On
retrouveicicommentmettreenuvrelesmesuresdescurit,lesplanifier,lesexcuter,lessurveiller
et les contrler. Depuis 2003, loffice fdral de la scurit de linformation propose un systme de
certification suivant le rgime prvu par lITGrundschutz, grce auquel il est possible de vrifier le
niveaudescuritdel'informationrellementatteint.
Etape4:Maintienetamlioration
Cettetapepermetdegarantiruneamliorationcontinueduniveaudescurit,grce:
Desrapportsdedtectiondincidents
Version2009
36
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Destestsdesimulationdincidents
Desauditsinternesetexternes
Unecertificationdeconformitdescritresdescurit
5.3OUTILS
Pourfaciliterlaslectiondescontremesuresmettreenplace,leBSI(BundesamtfrSicherheitinder
Informationstechnik) propose un outil shareware GSTOOL, qui fournit cette slection en spcifiant
soninfrastructureIT.
Version2009
37
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Version2009
38
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Synthse
Pourconclure,letableausuivantmetenvidencelesavantagesetinconvnientsdechaquemthode.
Avantages
Inconvnients
ISO/CEI27005
Dmarcheflexible
Neconstituepasunguide
EBIOS
Dmarchetrslogique
Traitementdesexigences
Logiciel
Basesdeconnaissances
SoutenueparlaDCSSI
Trsreconnue
Logiciel
Mthodepotentiellementlourde
ConuparleCLUSIF
Reconnue
Orientemtier
Netraitepaslesexigences
Accessibletous
Documentationtrscomplte
Cataloguedepratiques
VarianteSpourlesPME
Dmarchesimple,innovante
Nonexhaustive
Rapiditdemiseenuvre
Netraitepaslesexigences
Trsaccessible
Peuformelle
MEHARI
OCTAVE
OCTAVES
ITGrundschutz
Version2009
39
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Misejourfrquente
SoutenueparlUnionEuropenne
Enpleineexpansion
Certificationpossible
Figure 16-Tableau de synthse
Version2009
40
Etudecomparedesmthodesdegestiondesrisques
ProjetR2SICet
ISMSPME
CITI
Tabledesfigures
Figure1ProcessusISO/IEC27005................................................................................................................9
Figure2LadmarcheEBIOS.......................................................................................................................12
Figure3Exempled'identificationderisquepouruneentit.....................................................................16
Figure4Exempledetraitementdesrisquespouruneentit....................................................................17
Figure5Copiedcrandulogicield'assistancelamthodeEBIOS..........................................................19
Figure6Copiedcrandulogicield'assistancelamthodeEBIOS..........................................................20
Figure7ProcessusMEHARI........................................................................................................................21
Figure8Processusd'analysedesrisques...................................................................................................22
Figure9Tableaud'impactintrinsque.......................................................................................................24
Figure10Grillederductiond'impact.......................................................................................................25
Figure11Evaluationglobaledurisque......................................................................................................26
Figure12Lesphasesprincipalesd'OCTAVE...............................................................................................28
Figure13BSIstandards..............................................................................................................................34
Figure14ProcessusdelamthodologieITGrundschutz..........................................................................35
Figure15Copied'crandulogicielGSTOOL...............................................................................................37
Figure16Tableaudesynthse...................................................................................................................40
Version2009
41