Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Université Hassan 1er Faculté des Sciences et T echniques Settat Etude comparat

Université Hassan 1er Faculté des Sciences et T echniques Settat Etude comparative des méthodes d'audit dans un Comparatif des méthodes d’audit 4 Année universitaire 2015 - 2016 Comparatif des méthodes d’audit 4 Sommaire Introduction..................................................................................................3 Menaces et risques......................................................................................4 Politique de sécurité.....................................................................................4 Audit............................................................................................................5 Différence entre une méthode et une norme...............................................5 Pourquoi une norme ?..................................................................................5 La norme ISO 27002....................................................................................6 1. Historique............................................................................................6 2. Objectifs..............................................................................................7 3. Contenu de la norme...........................................................................7 Présentation des méthodes........................................................................13 1. EBIOS................................................................................................13 2. Melisa................................................................................................15 3. Marion...............................................................................................15 4. Mehari...............................................................................................18 Comparatif des méthodes..........................................................................20 Critères de choix........................................................................................23 Conclusion..................................................................................................24 Bibliographie..............................................................................................25 Webographie..............................................................................................25 Liste des tableaux......................................................................................25 Liste de figures..........................................................................................25 Comparatif des méthodes d’audit 4 Introduction Aujourd’hui, le monde de la sécurité d’information joue un rôle capital dans la stratégie d’entreprise. Depuis le début de la crise, beaucoup de chose ont changé, tant au niveau des mentalités que des ressources techniques et humaines engagées dans la sécurité par les entreprises. Il est toutefois difficilement concevable à l’heure actuelle d’imaginer mettre en place des règles et des instruments destinés à assurer la sécurité de l’information sans se baser sur des outils spécifiquement conçus à cet effet, tant les systèmes et leurs interactions sont devenu complexes. Il est aujourd’hui acquis qu’une entreprise se doit de considérer sa structure de manière systémique, et chaque secteur indépendamment. C’est là qu’interviennent les normes et méthodes, véritables salvatrices des responsables de la sécurité des SI. Mais quelle sont-elles réellement ? Dans quel cadre et comment les utiliser ? Sont-elles toutes nécessaires ? Peut-on les classer ou les dissocier les unes des autres ? C’est dans le but de répondre à ces questions que nous devions réaliser un comparatif global et une présentation de ces normes et méthodes à savoir :  EBIOS  MEHARI  MELISA  MARION  ISO 27002 2005 / ISO 27002 2013 Suite à cette analyse, nous serons être capables de répondre aux deux problématiques suivantes :  En quoi ces méthodes constituent un moyen de consolider le fait qu’il s’agit bien de sécurité ?  Quelle méthode choisir ? Comparatif des méthodes d’audit 4 Menaces et risques Le risque est au centre des méthodes d’analyse de sécurité c’est pour cela qu’il ne faut pas confondre risque et menace : La menace est une atteinte potentielle à la sécurité d’un système. La prévention a pour but de diminuer le degré d’exposition d’un système à la menace. Le risque est la concrétisation de la menace sous la forme d’agressions et de sinistre entraînant ainsi des pertes ou plus généralement des préjudices ou des dommages. Les causes de ces sinistres peuvent être de différentes natures, il peut s’agir notamment de pannes, d’événements naturels, de vol de données, d’infection par virus etc. ... Il faut être en mesure de mettre en place des procédures pour réaliser dans des délais acceptables une reprise d’activité (PRA, PRS).Comment sécuriser les systèmes. T enter de sécuriser un système d'information revient à essayer de se protéger contre les risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite. Afin de sécuriser les Systèmes d’information nous pouvons donc avoir recours à des méthodes ou des best practice selon les besoins en sécurité engendrés par le SI. En effet, nous nous tournerons vers des méthodes différentes selon le contexte dans lequel nous évoluerons. De nombreuses questions permettront de définir s’il faut se pencher sur une analyse, une méthode, ou des règles de bonnes conduites. Certains systèmes sont dits sécurisés, mais ne respectent pas les éléments de bases liés à la sécurité (par exemple la rédaction de procédures de sécurité qui doivent être analysées par des équipes spécialisées et améliorées dès que possible) : donc dans ces cas-là il vaudra peut-être mieux envisager une analyse par le haut (objet du best practice).Dans le cas d’une organisation nouvelle, ou d’une organisation qui ne possède pas réellement de stratégie ou de politique de sécurité, il faudra envisager une analyse par le bas (objet de la méthode ou du parcours). Comparatif des méthodes d’audit 4 Politique de sécurité Une politique de sécurité peut être vue comme l'ensemble des modèles d'organisation, des procédures et des bonnes pratiques techniques permettant d'assurer la sécurité du système d'information. Mais qu'est-ce que la sécurité d'un SI ? Elle tourne autour des 5 principaux concepts suivants : l'intégrité des données, la confidentialité de l'information et des échanges, la disponibilité des services, l'authentification des utilisateurs et la non répudiation des transactions. Pour garantir la sécurité, une politique de sécurité est généralement organisée autour de 3 axes majeurs: la sécurité physique des installations, la sécurité logique du système d'information et la sensibilisation des utilisateurs aux contraintes de sécurité. Audit Un audit de sécurité permet de mettre en évidence les faiblesses de la mise en œuvre d'une politique de sécurité. Le problème peut venir de la politique elle-même : mal conçue ou inadaptée aux besoins de l'entreprise, ou bien d'erreurs quant à sa mise en application. Des audits sont nécessaires : suite à la mise en place initiale d'une politique de sécurité, puis régulièrement pour s'assurer que les mesures de sécurité sont mises à niveau et que les usages restent conformes aux procédures. Seront abordées ici les principales méthodes employées en Europe et en Amérique du Nord. Différence entre une méthode et une norme Une norme peut être définie ainsi : c’est un document de référence basé sur un consensus couvrant un large intérêt industriel ou économique et établi par un processus volontaire. Comparatif des méthodes d’audit 4 À la différence, une méthode est un moyen d’arriver efficacement à un résultat souhaité, précis. Mais une méthode n’intègre pas la notion de document de référence, ni la notion de consensus. Il ne faut donc pas opposer norme et méthode, mais plutôt les associer, une méthode sera « l’outil» utilisé pour satisfaire à une norme. Ainsi pour mettre en œuvre efficacement la norme ISO27002, il faut s’appuyer sur une méthode de gestion des risques de type MEHARI, MARION, EBIOS, … Pourquoi une norme ? Les méthodes existantes de sécurité de l’information qu'elles soient privées (Marion, Mehari, ..) ou publics (EBIOS, …), ne constituent pas un label de confiance pour la sécurité globale de l'entreprise, liés à leur dimension locale et leur faible pérennité et évolutivité. C'est pour répondre à ce besoin de confiance globale de l’économie numérique, qu'ont été lancés des travaux pour établir des standards internationaux dans la sécurité de l’information. Des entreprises ayant de nombreux échanges de données avec d’autres sociétés (nationales ou internationales) ou avec de nombreux partenaires et clients ont senti depuis une dizaine d’années la nécessité de s'accorder sur des normes pour aider à sécuriser l’information et les processus d’échanges. C'est cet objectif, justement, qui a présidé à la création de cette norme ISO17799 actuellement ISO 27002. Cette norme a pour objectif d’établir un label de confiance pour la sécurité globale de l’information de l'entreprise La norme ISO 27002 1. Historique  En 1995, le standard britannique "BS 7799" qui fut créé par le "British Standard Institue" (BSI) définit des mesures de sécurité détaillées.  En 1998, le BSI scinde le premier document en deux tomes : le BS 7799-1 correspondant aux codes des bonnes pratiques, et le BS Comparatif des méthodes d’audit 4 7799-2 correspondant aux spécifications d'un système de gestion de la sécurité de l'information (SMSI).  En 2000, l'Organisation internationale de normalisation (ISO) édite la norme ISO/CEI 17799:2000 correspondant aux codes des bonnes pratiques issues de la BS 7799.  En 2005, deux normes sont éditées :  ISO/CEI 17799:2005 qui remanie les domaines et objectifs,  ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la possibilité de certification.  En 2007, la norme ISO/CEI 17799:2005 étant obsolète, a été remplacée par la norme 27002 qui en reprend l'essentiel.  En 2013, la norme a été mise à jour et son titre a été modifié. Elle a connu de nombreuses modifications telles que : ISO 27002:2005 ISO 27002:2013 11 Chapitres +4 14 Chapitres +4 39 Objectifs de sécurité 35 Objectifs de sécurité 133 Mesures de sécurité 113 Mesures de sécurité La révision 2013 de la norme internationale permettra aux entreprises de toutes tailles et secteurs d'accueillir l'évolution rapide et la complexité accrue du management des informations et le défi constant que représente la cybersécurité. 2. Objectifs ISO/CEI 27002 est plus un code de pratique, qu’une véritable norme ou qu’une spécification formelle telle que l’ISO/CEI 27001. Elle présente une série de contrôles (35 objectifs de contrôle) qui suggèrent de tenir compte des risques de sécurité de informations relatives à la confidentialité, l'intégrité et les aspects de disponibilité. Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques de sécurité de l'information et appliquer les contrôles appropriés, en utilisant la norme pour orienter l’entreprise. La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce n’est pas une norme de nature technique, technologique ou orientée produit, ou une méthodologie d'évaluation d'équipement telle que les critères communs CC/ISO 15408. Comparatif des méthodes d’audit 4 Elle n’a pas de caractère d'obligation, elle n’amène pas de certification, uploads/Management/ etude-comparative 1 .pdf