Your SlideShare is downloading. ×
Clusif marion
Clusif marion
Clusif marion
Clusif marion
Clusif marion
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Clusif marion

456

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
456
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
8
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. METHODOLOGIE DANALYSE DES RISQUES MARIONLa méthode MARION (Méthodologie dAnalyse de Risques Informatiques Orientée parNiveaux) est issue du CLUSIF (http://www.clusif.asso.fr/) et la dernière mise à jour date de1998.Il sagit dune méthodologie daudit, qui, comme son nom lindique, permet dévaluer leniveau de sécurité dune entreprise (les risques) au travers de questionnaires pondérésdonnant des indicateurs sous la forme de notes dans différents thèmes concourant à lasécurité.Objectif de la méthodeLobjectif est dobtenir une vision de lentreprise auditée à la fois par rapport à un niveau jugé" correct ", et dautre part par rapport aux entreprises ayant déjà répondu au mêmequestionnaire.Le niveau de sécurité est évalué suivant 27 indicateurs répartis en 6 grands thèmes, chacundeux se voyant attribuer une note de 0 à 4, le niveau 3 étant le niveau à atteindre pourassurer une sécurité jugée correcte.À lissue de cette analyse, une analyse de risque plus détaillée est réalisée afin didentifier lesrisques (menaces et vulnérabilités) qui pèsent sur lentreprise.Fonctionnement de la méthodeLa méthode est basée sur des questionnaires portant sur des domaines précis. Lesquestionnaires doivent permettre dévaluer les vulnérabilités propres à lentreprise dans tousles domaines de la sécurité.Lensemble des indicateurs est évalué par le biais de plusieurs centaines de questions dontles réponses sont pondérées (ces pondérations évoluent suivant les mises à jour de laméthode).Les thèmes sont les suivants :  Sécurité organisationnelle  Sécurité physique  Continuité  Organisation informatique  Sécurité logique et exploitation  Sécurité des applicationsDéroulement de la méthodeLa méthode se déroule en 4 phases distinctes :Phase 0 : PréparationDurant cette phase, les objectifs de sécurité sont définis, ainsi que le champ daction et ledécoupage fonctionnel permettant de mieux dérouler la méthode par la suite.
  • 2. Phase 1 : Audit des vulnérabilitésCette phase voit le déroulement des questionnaires ainsi que le recensement des contraintespropres à lorganisme.Le résultat des questionnaires permet dobtenir la " rosace " propre à lentreprise.Cette rosace, laspect le plus connu de la méthode, présente les 27 indicateurs sur un cercle,avec le niveau atteint. Cela permet de juger facilement et rapidement des domainesvulnérables de lentreprise, la cohérence et lhomogénéité des niveaux de sécurité desdifférents indicateurs, et donc didentifier également rapidement les points à améliorer.Dautres possibilités de diagrammes existent, parmi lesquels le diagramme différentiel quipermet de mieux comprendre limportance des différents facteurs (daprès la méthode) etdonc également de mettre les vulnérabilités de lentreprise en perspective. Dans cediagramme, chaque barre est proportionnelle à la différence entre la cotation 3 et la cotationréelle de lexistant, multipliée par le poids du facteur (le différentiel est nul si le facteur estdéjà supérieur à 3)
  • 3. Enfin, il est également possible dafficher des diagrammes suivant les types de risques.
  • 4. Phase 2 : Analyse des risquesCette phase voit lexploitation des résultats précédents et permet deffectuer une ségrégationdes risques en Risques Majeurs (RM) et Risques Simples (RS).Le Système dInformation est alors découpé en fonctions qui seront approfondies en groupesfonctionnels spécifiques, et hiérarchisés selon limpact et la potentialité des risques lesconcernant.En ce qui concerne lanalyse de risque, MARION définit 17 types de menaces :  Accidents physiques  Malveillance physique  Panne du SI  Carence de personnel  Carence de prestataire  Interruption de fonctionnement du réseau  Erreur de saisie  Erreur de transmission  Erreur dexploitation  Erreur de conception / développement  Vice caché dun progiciel  Détournement de fonds  Détournement de biens  Copie illicite de logiciels  Indiscrétion / détournement dinformation  Sabotage immatériel  Attaque logique du réseauPour chaque groupe fonctionnel de lentreprise, chaque fonction est revue en détail afindévaluer les scénarios dattaque possible avec leur impact et leur potentialité.
  • 5. Phase 3 : Plan dactionDurant cette ultime phase de la méthode, une analyse des moyens à mettre en oeuvre estréalisée afin datteindre la note " 3 ", objectif de sécurité de la méthode, suite auxquestionnaires. Les tâches sont ordonnancées, on indique le degré damélioration à apporteret lon effectue un chiffrage du coût de la mise en conformité.Commentaires sur la méthodeLes commentaires suivants pourraient être faits à la méthode :  Bien rodée de part son âge, elle offre un moyen de comparer une entreprise par rapport au niveau sécuritaire des autres entreprises européennes.  On regrettera par contre son manque dutilisation qui aurait pu permettre daméliorer la validité de laspect statistique des résultats. Il arrive également malheureusement trop souvent que ce comparatif par rapport à " la moyenne " sarrête là et que les décisionnaires ne se contentent que de ce niveau, plutôt que de viser lobjectif " 3 ", seuil minimal de sécurité de la méthode.  Sa démarche sous forme de questionnaire, bien quelle puisse être jugée lourde car longue à dérouler, en fait également une méthode facile dapplication (du moins durant la phase des questionnaires, la plus connue et les plus réalisée)  Il est regrettable que la méthode ne soit connue quau travers de ses rosaces, certes pratiques et figuratives, alors quappliquée complètement, elle permettrait aux entreprises de mieux formaliser leurs travaux de sécurité, donc de les améliorer.  Contrairement à dautres approches, la méthode prend en compte aussi bien les aspects techniques quorganisationnels, ce qui est un avantage non négligeable. Les aspects techniques sont cependant peu approfondis.  Les rosaces forment des indicateurs synthétiques clairs utilisables par la direction.  Un gros intérêt de la méthode réside dans son approche par questionnaires exhaustifs qui, outre le recueil dinformation, jouent un rôle de sensibilisation et dinformation direct lors de leur déroulement.  Enfin la méthode ne permet pas didentifier des mesures concrètes à mettre en place pour sécuriser lentreprise. Cependant, lidentification des risques ayant été réalisée, il devient plus facile de trouver des mesures pour les contrer.Autres méthodesOn pourra comparer MARION avec dautres méthodes du CLUSIF, principalement MEHARI, ladernière en date, probablement vouée à remplacer MARION à terme.Dautres approches existent, parmi laquelle la méthode EBIOS (publique) de la DCSSI(Direction centrale de la sécurité des systèmes dinformation).

×