Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Étude comparée des méthodes de gestion des risques RESUME : Ce rapport présente

Étude comparée des méthodes de gestion des risques RESUME : Ce rapport présente la norme ISO/IEC 27005, les méthodes EBIOS, MEHARI, OCTAVE /OCTAVE‐S et IT‐ Grundschutz sous l’angle des objectifs, des processus et des outils. AUTEURS : S. Poggi Mai 2005 O. Derrouazi Mai 2009 (version mise à jour) www.cases.lu 2 http://www.cases.lu Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 3 SOMMAIRE Introduction .................................................................................................................................................. 7 1. ISO/IEC 27005 ....................................................................................................................................... 8 1.1 OBJECTIFS ............................................................................................................................................ 8 1.2 PROCESSUS.......................................................................................................................................... 9 1.3 OUTIL ................................................................................................................................................. 10 2. EBIOS ................................................................................................................................................... 11 2.1 OBJECTIFS .......................................................................................................................................... 11 2.2 PROCESSUS........................................................................................................................................ 12 Préalable ............................................................................................................................................. 13 Etape 1 : Etude du contexte ................................................................................................................ 13 Etape 2 : Expression des objectifs de sécurité .................................................................................... 13 Etape 3 : Etude des menaces .............................................................................................................. 14 Etape 4 : Identification des besoins de sécurité ................................................................................. 14 Etape 5 : Détermination des exigences de sécurité ............................................................................ 15 Résultats d’une étude EBIOS ............................................................................................................... 15 2.3 OUTILS ............................................................................................................................................... 16 Logiciel ................................................................................................................................................ 18 3. MEHARI ............................................................................................................................................... 21 3.1 OBJECTIFS .......................................................................................................................................... 21 3.2 PROCESSUS........................................................................................................................................ 21 Analyse des situations de risque ......................................................................................................... 22 Etape 1 : Evaluation de l’exposition naturelle .................................................................................... 22 Etape 2 : Evaluation des facteurs de dissuasion et prévention .......................................................... 23 Etape 3 : Evaluation de la potentialité ................................................................................................ 23 Etape 4 : Evaluation de l’impact intrinsèque ...................................................................................... 24 Etape 5 : Evaluation des facteurs de protection, palliation et récupération ...................................... 24 Etape 6 : Evaluation de la réduction d’impact, évaluation de l’impact .............................................. 25 Etape 7 : Evaluation globale du risque ................................................................................................ 25 En résumé ........................................................................................................................................... 26 Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 4 3.3 OUTIL ................................................................................................................................................. 26 OCTAVE / OCTAVE‐S .................................................................................................................................... 28 4.1 OBJECTIFS .......................................................................................................................................... 28 4.2 PROCESSUS........................................................................................................................................ 28 Phase 1 : Vue organisationnelle : Constitution des profils de menaces basés sur les actifs de l’entreprise .......................................................................................................................................... 28 Phase 2 : Vue technique : Identification des vulnérabilités de l’infrastructure .................................. 29 Phase 3 : Développement de la stratégie de sécurité et planification ............................................... 29 OCTAVE ............................................................................................................................................... 29 Phase 1 : Vue organisationnelle .......................................................................................................... 29 Phase 2 : Vue technique ...................................................................................................................... 30 Phase 3 : Développement de la stratégie ........................................................................................... 30 OCTAVE‐S ............................................................................................................................................ 31 Phase 1 : Vue organisationnelle .......................................................................................................... 31 Phase 2 : Vue technique ...................................................................................................................... 31 Phase 3 : Développement de la stratégie ........................................................................................... 31 4.3 OUTILS ............................................................................................................................................... 32 OCTAVE ............................................................................................................................................... 32 OCTAVE‐S ............................................................................................................................................ 32 5. IT‐Grundschutz ........................................................................................................................................ 33 5.1 OBJECTIFS .......................................................................................................................................... 33 5.2 PROCESSUS........................................................................................................................................ 34 Le standard 100‐2 : la méthodologie de l’IT‐Grundschutz .................................................................. 35 Etape1 : Initialisation du processus de sécurité IT .............................................................................. 36 Etape 2 : Production du concept de sécurité ...................................................................................... 36 Etape 3 : Implémentation du concept de sécurité ............................................................................. 36 Etape 4 : Maintien et amélioration ..................................................................................................... 36 5.3 OUTILS ............................................................................................................................................... 37 Synthèse ...................................................................................................................................................... 39 Table des figures ......................................................................................................................................... 41 Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 5 ACRONYMES BSI Bundesamt für Sicherheit in der Informationstechnik CERT /CC Computer Emergency Response Team/ Coordination Center CLUSIF CLUb de la Sécurité de l'Information Français DCSSI Direction Centrale de la Sécurité des Systèmes d’Information EBIOS Expression des Besoins et Identification des Objectifs de Sécurité FEROS Fiche d'Expression Rationnelle des Objectifs de Sécurité ISO International Standardization Organization MA Méthodes d’Attaque MEHARI MEthode Harmonisée d'Analyse de Risques OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation PP Protection Profile PSSI Politique de sécurité des systèmes d’information Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 6 RSSI Responsable de la Sécurité des Systèmes d’Information SEM Survivable Enterprise Management SI Système d’Information SSI Sécurité des Systèmes d’Information SSIC Sécurité des Systèmes de l’Information et de la Communication ST Security Target Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 7 Introduction De nos jours, les organismes sont dépendants des performances du SI (Système d’Information). Celui‐ci contient toutes les données stratégiques et est ainsi devenu le centre névralgique de l’entreprise. Cette dépendance au SI entraine des risques, qui peuvent remettre en cause la pérennité de l'entreprise. L'analyse de risque permet d'identifier les dangers induits par les applications et les systèmes informatiques, d'évaluer les risques et de définir des barrières de protection qui vont les réduire à des niveaux acceptables. Les méthodes de gestion des risques sont nombreuses et leurs approches peuvent être différentes. Il n’existe pas de bonne ou de mauvaise méthode de gestion des risques, puisqu’il y a une grande diversité dans les activités, dans les enjeux et dans les approches de la sécurité. Dans ce document, sont présentés : • La norme internationale ISO/IEC 27005 qui traite de la gestion des risques des SI (Système d’Information) • Les méthodes les plus utilisées à savoir EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), MEHARI (Méthode Harmonisée d'Analyse de RIsques), OCTAVE/OCTAVE‐S (Operationally Critical Threat, Asset, and Vulnerability Evaluation/Small) et IT‐Grundschutz Pour chacune d’elles, les objectifs, les processus et les outils associés aux méthodes sont présentés de manière à en faciliter la comparaison. Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 8 1. ISO/IEC 27005 1.1 OBJECTIFS L'ISO/IEC 27005 (International Standardization Organization) donne des lignes directrices pour gérer les risques en sécurité de l'information. La norme étaye les concepts généraux spécifiés dans l’ISO/IEC 27001. Elle a pour but d’aider à mettre en œuvre l’ISO/IEC 27001, la norme relative aux Systèmes de Management de la Sécurité de l’Information (SMSI), pour la partie gestion du risque. Pour comprendre cette norme internationale, il est important de connaître les concepts, modèles, processus et termes exposés dans l’ISO/IEC 27001 et l'ISO/IEC 27002 (Code de bonne pratique pour la gestion de la sécurité de l’information). Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 9 1.2 PROCESSUS Figure 1-Processus ISO/IEC 27005 Le processus de gestion du risque en sécurité de l'information se décompose comme suit : • Définition du contexte • Identification du risque • Estimation du risque • Evaluation du risque • Traitement du risque Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 10 Toutefois, l'ISO/IEC 27005 ne donne aucune méthodologie spécifique. Il appartient à chaque organisation de préciser son approche, en fonction du périmètre du SMSI, du contexte de gestion du risque ou du secteur d’activité. 1.3 OUTIL L’outil logiciel le plus connu pour la norme ISO/IEC 27005 est SCORE ISMS (outil payant et disponible sur le marché) qui supporte actuellement EBIOS, MEHARI, AS/NZS 4360 prépare l’intégration de l’ISO/IEC 27005. Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 11 2. EBIOS 2.1 OBJECTIFS La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), est une méthode d’appréciation et de traitement des risques, mais également un outil d’assistance à la maîtrise d’ouvrage. La méthode peut couvrir aussi bien un système déjà existant que s’inscrire dans une démarche d’amélioration. La démarche proposée par EBIOS apporte une vision globale et cohérente de la SSIC (Sécurité des Systèmes de l’Information et de la Communication). Elle fournit un vocabulaire et des concepts communs, elle permet d'être exhaustif et de déterminer des objectifs de sécurité adaptés au travers de cinq étapes. Elle permet aussi d’impliquer l’ensemble des acteurs du SI dans la problématique de sécurité. De plus, un logiciel libre distribué gratuitement par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information) permet de faciliter une étude EBIOS. Il permet en effet de consigner l'ensemble des résultats d'une étude et de produire les documents de synthèse nécessaires. Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 12 2.2 PROCESSUS Figure 2-La démarche EBIOS Etude du contexte Expression des besoins de sécurité Identification des objectifs de sécurité Etude des menaces Expression des exigences de sécurité Préalable Résultats Etude de l’organisme Etude du système cible Détermination de la cible de l'étude sécurité Réalisation des fiches de besoins Etude des vulnérabilités Etude des origines des menaces Formalisation des menaces Synthèse des fiches de besoins Formalisation des objectifs de sécurité Confrontation des menaces aux besoins Détermination des minimums de sécurité Exigences fonctionnelles Exigences d’assurance 1 2 3 4 5 Etude comparée des méthodes de gestion des risques Projet R2SIC et ISMS‐PME CITI Version 2009 13 Préalable Idéalement l'étude EBIOS s'appuie sur différents documents, existants ou à définir, relatifs à l'organisme, à son système d'information et au système à étudier. Par exemple le schéma directeur de l'organisme, la PSSI (Politique de Sécurité des Systèmes d’Information) et les spécifications générales du système. Etape 1 : Etude du contexte Activité 1.1 : Etude de l’organisme Cette activité consiste à définir le cadre de l'étude, à identifier globalement le système cible et le situer dans son environnement pour déterminer précisément la cible de l'étude de sécurité. Des informations générales sur l’organisme concerné par le projet de sécurité doivent donc être réunies dans le but de mieux apprécier sa nature, son organisation et les contraintes qui pèsent sur celui‐ci. Il est aussi nécessaire uploads/Management/ comparaison-methodes-d-x27-analyse-de-risque.pdf