Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Présentation : Dans cet exposé nous allons présenter l'une des méthodes les plu

Présentation : Dans cet exposé nous allons présenter l'une des méthodes les plus basiques en ce qui concerne l'analyse des risques informatique, une méthode très utilisé fut un temps par les plus grandes entreprises et les structures de défense. Introduction Le risque informatique est une probabilité plus ou moins grande de voir une menace informatique se transforme en événement réel entrainant une perte. C'est un dégât qui peut toucher à tout système informatique vulnérable ou mois sécurisé ce qui pousse les grandes entreprises et les gens tout de même de prendre en considération les mesures à suivre pour limiter les dégâts voir même les éviter. C'est pour cela que les plus grandes entreprises ont créé de différentes méthodes pour réaliser une analyse approfondie afin de se protéger contre toute forme d'atteinte à la propriété informatique. L’analyse des risques consiste en une identification systématique et permanente et en une analyse de la présence de dangers. L’analyse des risques doit se faire selon trois axes :  Les ressources.  Les menaces.  Les vulnérabilités. Il existe de nombreuses méthodes qui ont étaient révélées à travers le monde comme le montre le tableau suivant. Tableau-I : liste les principales normes utilisées provenant des organismes de normalisation internationaux D'après le tableau, plusieurs méthodes sont en cours d'utilisation, comme plusieurs ont étaient abandonnées pour plusieurs raison. Parmi ces méthodes abandonnées on trouve MELISA. Présentation de la méthode MELISA : Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information ou (MELISA), cette méthode est assez fantomatique pour trouver des informations vu qu'elle a était soutenue par l'armement. Créé en 1983 par Albert Harari au sein de la DGA (Direction Générale de l'Armement) et la DCN (Direction des Constructions Navales) en France. Elle a était rachetée par la société CF6 qui en a fait la promotion pendant de nombreuses années. Le CF6 a était racheté ensuite par la société belge TELINDUS qui possède plusieurs succursales depuis son arrivée en France en 1997, pour arriver aujourd'hui à sa troisième version appelée Mv3 au sein de TELINDUS SECURITY RESEARCH CENTRE (CF6). D'après un sondage fait par le CIGREF (Club Informatique Des Grandes Entreprises Françaises) la méthode MELISA était l'une des méthodes les plus utilisées en France. Figure-I : Sondage des plus grandes entreprises en France (Réalisé par le CIGREF en 2002). La majorité des entreprises interrogées déclarent utiliser au moins une norme ou une méthode pour la définition, la mise en œuvre ou le contrôle de leur politique de sécurité. Parmi les normes et méthodes les plus fréquemment utilisées on peut citer MARION, MELISA et ISO/IEC 17799 / BS 7799. Le principe de MELISA et sur quoi elle est basée : MELISA est une méthode d'auto audit qui permet d'analyser la vulnérabilité des systèmes et de déterminer les parades pour renforcer la sécurité. En principe l'analyse se fait grâce à l'étude d'évènements, sortes de mini-scénarios imagés et détaillés (environ 600 par base de connaissance). La vulnérabilité est considérée comme résultante de la gravité des conséquences de l'évènement (impact), le risque de non détection de l'évènement, sa facilité de réalisation et du "facteur d'exposition structurelle". Pour chaque mini-scénario, le choix d'une parade permet d'évaluer la vulnérabilité résiduelle. Cette méthode est très compliqué vu qu'elles est basé sur une thésaurus de questions, mais aussi basé sur trois critères essentiels :  La technologie de l'information : Qui est appelé aussi système informatique, désigne le domaine technique du traitement de l'information, souvent dans un contexte professionnel.  La sécurité de l'information : Qui est un processus visant à protéger des données contre l'accès, l'utilisation, la diffusion, la destruction, ou la modification non autorisée  Les approches de risque : Qui est l'une des composantes du management des processus c'est à dire permet de gérer les processus. Ses avantages et ses inconvénients : Comme toutes les autres méthodes MELISA comporte des avantages et des inconvénients :  Approche concrète  Existence de bases de connaissance mises à jour annuellement, spécialisées selon le type de système et types de sensibilité - MELISA S : Signifie la confidentialité de données sensibles. - MELISA P : Pérennité de fonctionnement du système, c'est à dire fonctionnement à long terme du système. - MELISA M : Sécurité micro mini informatique. - MELISA R : Sécurité des réseaux. Par ailleurs, cette méthode a était abandonnée vu qu'elle a était largement utilisé en France. Conclusion MELISA a était développé en sorte que ses consultants puissent encadrer les vulnérabilisées des systèmes afin déterminer les parades pour renforcer la sécurité. Elle a était ensuite utilisé comme référence pour développer d'autre méthodes plus sophistiquées. Les systèmes d’information modernes sont exposés à des menaces contre lesquelles ils doivent impérativement être protégés. Pour ce faire, les méthodes d’analyses de risques permettent dans un premier temps de révéler les vulnérabilités de ces systèmes. Après quoi, il existe un certain nombre de solutions techniques qui permettent de mettre en œuvre des parades efficaces. Le domaine de la cybersécurité est actuellement en pleine expansion, d’une part parce que les technologies évoluent et que les parades doivent s’adapter, et d’autre part parce que les attaquants développent sans cesse des nouvelles techniques pour essayer de contourner ces parades. Sources https://cyberzoide.developpez.com/securite/methodes-analyse-risques/ https://fr.wikipedia.org/wiki/M%C3%A9thode_d%27%C3%A9valuation_de_la_vuln%C3% A9rabilit%C3%A9_r%C3%A9siduelle_des_syst%C3%A8mes_d%27information http://activconseil.free.fr/R4-marion,melisa.htm http://www.assufrance.com/methode_d_evaluation_de_la_vulnerabilite_residuelle_des_syste mes_d_information.php https://www.01net.com/actualites/2-reussir-la-phase-de-mise-en-uvre-des-methodes-pour- remedier-a-la-vulnerabilite-175231.html Auto audit = auto contrôle En cas de questions c'est quoi audit de sécurité? Un audit de sécurité permet de mettre en évidence les faiblesses de la mise en œuvre d'une politique de sécurité. Le problème peut venir de la politique elle-même : mal conçue ou inadaptée aux besoins de l'entreprise, ou bien d'erreurs quant à sa mise en application. Des audits sont nécessaires : suite à la mise en place initiale d'une politique de sécurité, puis régulièrement pour s'assurer que les mesures de sécurité sont mises à niveau et que les usages restent conformes aux procédures. C'est quoi les ressources? Ça représente toutes les confidentialités d'une entreprise qu'on doit absolument connaitre pour protéger. C'est quoi une menace ? La menace représente le type d'action susceptible de nuire dans l'absolu. C'est quoi une vulnérabilité? Les définitions de la vulnérabilité sont multiples, mais d'après les fameux dictionnaires Le Petit Larousse 2009 et Le Petit Robert 2008 on peut définir la vulnérabilité comme étant la susceptibilité d’une organisation à être exposée aux atteintes des aléas ou menaces et à subir les conséquences potentielles. De plus, la vulnérabilité d'une organisation dépend de son état de préparation à faire face aux menaces et à minimiser les conséquences potentielles. En effet la notion de vulnérabilité représente une composante importante dans le domaine de la gestion des risques. Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, c'est pour cela que les plus grandes entreprises ont créé de différentes méthodes pour réaliser une analyse approfondie afin de se protéger contre toute forme d'atteinte à la propriété informatique. uploads/Management/ expose-a-presenter.pdf