I. Introduction

La sécurité du système d'information d'une entreprise est un requis important pour la poursuite de ses activités. Qu'il s'agisse de la dégradation de son image de marque, du vol de ses secrets de fabrication ou de la perte de ses données clients ; une catastrophe informatique a toujours des conséquences fâcheuses pouvant aller jusqu'au dépôt de bilan.

Organiser cette sécurité n'est pas chose facile, c'est pourquoi il existe des méthodes reconnues pour aider les responsables informatiques à mettre en place une bonne politique de sécurité et à procéder aux audits permettant d'en vérifier l'efficacité.

Le but de ce document n'est pas d'expliquer comment concevoir une politique de sécurité mais de présenter les méthodes existantes.

Cet article ne se veut pas exhaustif, il est une présentation des principales méthodes d'analyse des risques présentes sur le marché. Il doit vous permettre de mieux choisir la méthode qui vous convient.

A. Politique de sécurité

Une politique de sécurité peut être vue comme l'ensemble des modèles d'organisation, des procédures et des bonnes pratiques techniques permettant d'assurer la sécurité du système d'information.

Mais qu'est-ce que la sécurité d'un SI ? Elle tourne autour des 5 principaux concepts suivants : l'intégrité des données, la confidentialité de l'information et des échanges, la disponibilité des services, l'authentification des utilisateurs et la non répudiation des transactions.

Pour garantir la sécurité, une politique de sécurité est généralement organisée autour de 3 axes majeurs : la sécurité physique des installations, la sécurité logique du système d'information et la sensibilisation des utilisateurs aux contraintes de sécurité.

B. Audit

Un audit de sécurité permet de mettre en évidence les faiblesses de la mise en œuvre d'une politique de sécurité. Le problème peut venir de la politique elle-même : mal conçue ou inadaptée aux besoins de l'entreprise, ou bien d'erreurs quand à sa mise en application.

Des audits sont nécessaires : suite à la mise en place initiale d'une politique de sécurité, puis régulièrement pour s'assurer que les mesures de sécurité sont mises à niveau et que les usages restent conformes aux procédures.

II. Comparatif des normes

Le tableau suivant liste les principales normes utilisées provenant des organismes de normalisation internationaux ainsi que celles soutenues par le secteur privé ou associatif :

Méthode Création Popularité Auteur Soutenue par Pays Outils disponibles Etat
EBIOS 1995 *** DCSSI gouvernement France logiciel gratuit  
Melisa   ** DGA armement France   abandonnée
Marion 1980 ** CLUSIF association France   abandonnée
Mehari 1995 *** CLUSIF association France logiciel Risicare  
Octave 1999 ** Université de Carnegie Mellon universitaire Etats-Unis logiciel payant  
Cramm 1986 ** Siemens gouvernement Angleterre logiciel payant  
SPRINT 1995 * ISF association Angleterre logiciel payant  
BS 7799   ***   gouvernement Angleterre    
ISO 17799   ***   international      
ISO 13335       international      
ISO 15408       international      
SCORE 2004   Ageris Consulting secteur privé France logiciel payant  
CALLIO 2001   CALLIO Technologies secteur privé Canada logiciel payant  
COBRA 2001   C & A Systems Security Limited secteur privé Angleterre logiciel payant  
ISAMM 2002   Evosec secteur privé Belgique    
RA2 2000   aexis secteur privé Allemagne logiciel payant  

III. Présentation des principales normes

Seront abordées ici les principales méthodes employées en Europe et en Amérique du Nord.

A. EBIOS

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoin de l'entreprise (ou d'une administration). Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information), du Ministrère de la Défence (France). Elle est destinée avant tout aux administrations françaises et aux entreprises.

La méthode EBIOS se compose de 5 guides (Introduction, Démarche, Techniques, Outillages) et d'un logiciel permettant de simplifier l'application de la méthodologie explicitée dans ces guides. Le logiciel libre et gratuit (les sources sont disponibles) permet de simplifier l'application de la méthode et d'automatiser la création des documents de synthèse. La DCSSI possède un centre de formation où sont organisés des stages à destination des organismes publics français. Un club d'utilisateurs EBIOS a été créé en 2003 et constitue une communauté experts permettant le partage des expériences. Une base de connaissances à laquelle se connecte le logiciel EBIOS permet d'avoir à accès à la description d'un ensemble de vulnérabilités spécifiques, de contraintes de sécurité, de méthodes d'attaques. Elle peut être enrichie via le logiciel.

La méthode EBIOS est découpée en 5 étapes :

Les 5 étapes de la méthode EBIOS
  1. étude du contexte
  2. expression des besoins de sécurité
  3. étude des menaces
  4. identification des objectifs de sécurité
  5. détermination des exigences de sécurité
Démarche EBIOS globale
Démarche EBIOS globale

L'étude du contexte permet d'identifier quel système d'information est la cible de l'étude. Cette étape délimite le périmètre de l'étude : présentation de l'entreprise, architecture du système d'information, contraintes techniques et réglementaires, enjeux commerciaux. Mais est aussi étudié le détail des équipements, des logiciels et de l'organisation humaine de l'entreprise.

L'expression des besoins de sécurité permet d'estimer les risques et de définir les critères de risque. Les utilisateurs du SI expriment durant cette étape leurs besoins de sécurité en fonction des impacts qu'ils jugent inacceptables.

L'étude des menaces permet d'identifier les risques en fonction non plus des besoins des utilisateurs mais en fonction de l'architecture technique du système d'information. Ainsi la liste des vulnérabilités et des types d'attaques est dressée en fonction des matériels, de l'architecture réseau et des logiciels employés. Et ce, quelles que soient leur origine (humaine, matérielle, environnementale) et leur cause (accidentelle, délibérée).

L'identification des objectifs de sécurité confronte les besoins de sécurité exprimés et les menaces identifiées afin de mettre en évidence les risques contre lesquels le SI doit être protégé. Ces objectifs vont former un cahier des charges de sécurité qui traduira le choix fait sur le niveau de résistance aux menaces en fonction des exigences de sécurité.

La détermination des exigences de sécurité permet de déterminer jusqu'où on devra aller dans les exigences de sécurité. Il est évident qu'une entreprise ne peut faire face à tout type de risques, certains doivent être acceptés afin que le coût de la protection ne soit pas exhorbitant. C'est notamment la stratégie de gestion du risque tel que cela est défini dans un plan de risque qui sera déterminé ici : accepter, réduire ou refuser un risque. Cette stratégie est décidée en fonction du coût des conséquences du risque et de sa probabilité de survenue. La justification argumentée de ces exigences donne l'assurance d'une juste évaluation.

EBIOS fournit donc la méthode permettant de contruire une politique de sécurité en fonction d'une analyse des risques qui repose sur le contexte de l'entreprise et des vulnérabilités liées à son SI.

B. Melisa

Melisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information) fut inventée par Albert Harari au sein de la Direction Générale de l'Armement (DGA/DCN) en France. Elle a été rachetée par la société CF6 qui en a fait la promotion pendant de nombreuses années. Depuis le rachat de CF6 par Telindus, Melisa a été abandonnée par ses propriétaires bien qu'elle fut largement utilisée en France.

Melisa est une méthode assez lourde basée sur un thésaurus de questions. Elle a vocation à être utilisée par de grandes entreprises.

En raison de son abandon, cette méthode ne sera pas traitée ici.

C. Marion

Marion (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux) a été dévelopée par le CLUSIF dans les années 1980 mais a été abandonnée en 1998 au profit de la méthode Mehari. C'est une méthode d'audit de la sécurité d'une entreprise, elle ne permet pas de mettre en oeuvre une politique de sécuritée en tant que tel. A base d'un questionnaire, elle donne une évaluation chiffrée du risque informatique.

Marion repose sur l'évaluation des aspects organisationnels et techniques de la sécurité de l'entreprise à auditer.

Elle utilise 27 indicateurs classés en 6 thématiques. Chaque indicateur se voit attribuer une note entre 0 (insécurité) et 4 (excellent), la valeur 3 indiquant une sécurité correcte.

Thématiques des indicateurs de la méthode Marion
  • Sécurité organisationnelle
  • Sécurité physique
  • Continuité
  • Organisation informatique
  • Sécurité logique et exploitation
  • Sécurité des applications

La méthode se déroule en 4 phases :

Phases de la méthode Marion
  1. Préparation
  2. Audit des vulnérabilités
  3. Analyse des risques
  4. Plan d'action

La phase de préparation permet de définir les objectifs de sécuriter à atteindre ainsi que le champs d'action de l'audit et le découpage fonctionnel du SI à adopter pour simplifier la réalisation de l'étude.

L'audit des vulnérabilités consiste à répondre aux questionnaires. Ces réponses données vont permettre de recenser les risques du SI et les contraintes de l'entreprise. A l'issu de cet audit, sont construits une rosace et un diagramme différentiel représentant respectivement la note attribuée à chacun des indicateurs et les facteurs de risques particulièrement importants.

Exemple de rosace Marion
Exemple de rosace Marion

La rosace présente dans un cercle la valeur de chacun des 27 indicateurs. Elle est un moyen de visualiser rapidement les points vulnérables du SI qui doivent être mieux protégés.

Exemple d'histogramme différentiel Marion
Exemple d'histogramme différentiel Marion

L'histogramme différentiel est construit avec des barre représentant l'éloignement de chaque valeur d'indicateur à la valeur de référence 3. Cet éloignement est pondéré avec l'importance donné au facteur mesuré. Les indicateurs de valeur égale ou supérieur à 3 ne sont pas représentés. On visualise ainsi les vulnéralités du SI en fonction de leur criticités relatives.

L'analyse des risques permet de classer les risques selon leur criticité (en classes : Risques Majeurs et Risques Simples). Elle procède au découpage fonctionnel du SI pour une analyse détaillée des menaces, de leur impact respectif et de leur probabilité. La méthode Marion définit 17 types de menaces :

Types de menaces Marion
  • Accidents physiques
  • Malveillance physique
  • Carence de personnel
  • Carence de prestataire
  • Panne du SI
  • Interruption de fonctionnement du réseau
  • Erreur de saisie
  • Erreur de transmission
  • Erreur d'exploitation
  • Erreur de conception / développement
  • Détournement de fonds
  • Détournement de biens
  • Vice caché d'un progiciel
  • Copie illicite de logiciels
  • Indiscrétion / détournement d'information
  • Sabotage immatériel
  • Attaque logique du réseau

Le plan d'action propose les solutions à mettre en oeuvre pour élever la valeur des 27 indicateurs à la valeur 3 (niveau de sécurité satisfaisant) de l'audit des vulnérabilités et atteindre les objectifs fixés en préparation. Le coût de la mise à niveau est évalué et les tâches à réaliser pour y parvenir sont ordonnancées.

Cette méthode par questionnaire est assez simple à mettre oeuvre et est bien rodée du fait de son âge. Son pouvoir de comparaison des entreprises auditées est un plus indéniable.

La méthode Mehari qui lui succède va plus loin en proposant la création complète de la politique de sécurité.

D. Mehari

Mehari (MEthode Harmonisée d'Analyse de RIsques) est dévelopée par le CLUSIF depuis 1995, elle est dérivée des méthodes Melisa et Marion. Existant en langue française et en anglais, elle est utilisée par de nombreuses entreprises publiques ainsi que par le secteur privé.

Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des risques basé sur la méthode Mehari.

La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité : quels sont les scénarios redoutés ?, et en la classification préalable des entités du SI en fonction de trois critères de sécurité de base (confidentialité, intégrité, disponibilité). Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activité de l'entreprise. Puis, des audits identifient les vulnérabilités du SI. Et enfin, l'analyse des risques proprement dite est réalisée.

Schéma général de la méthode Mehari
Schéma général de la méthode Mehari

Mehari s'articule autour de 3 types de livrables :

Plans de la méthode Mehari
  1. le Plan Stratégique de Sécurité (PSS)
  2. les Plans Opérationnels de Sécurité (POS)
  3. le Plan Opérationnel d'Entreprise (POE)

Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs.

Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en oeuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite.

Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir.

Des bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios de risques, proposent des liens entre menaces et parades...

Mehari apporte une démarche centrée sur les besoins de continuité d'activité de l'entreprise et fournit des livrables types aidés d'un guide méthodologie. Les audits qu'elle propose permettent la création de plan d'actions concrets. Cette méthode permet donc de construire une politique de sécurité destinée à pallier les vulnérabilités constatées lors des audits du Plans Opérationnels de Sécurité et d'atteindre le niveau de sécurité correspondant aux objectifs fixés dans le Plan Stratégique de Sécurité.

E. Octave

Octave (Operationally Critical Threat, Asset, and Vulnerability Evaluation) a été créé par l'université de Carnegie Mellon (Etats-Unis) en 1999. L'université de Carnegie Mellon est le centre de coordination des CERT. Octave est destinée aux grandes entreprises, mais depuis peu une version adaptée aux petites structures existe : Octave-S. Elle a pour but de permettre à une entreprise de réaliser par elle-même l'analyse des risques de leur SI, sans aide extérieure (consultants). Pour cela, un catalogue de bonnes pratiques de sécurité est fourni avec la méthode.

Octave est contitué de 3 phases :

Phases de la méthode Octave
  1. vue organisationelle
  2. vue technique
  3. stratégie de sécurité
Phases de la méthode Octave
Phases de la méthode Octave

La vue organisationnelle permet d'identifier les actifs de l'entreprise, les menaces qui pè sent sur son fonctionnement, les vulnérabilités de son organisation, les objectifs de sécurité imposés par la direction et les mesures actuelles de sécurité. Ce sont trois processus de collecte de l'information qui sont réalisés durant cette phase, chacun par une population particulière : les cadres supérieurs, les cadres opérationnels et les équipes de production. La consolidation des informations nées de ces processus amène à créer des profils de menaces.

La vue technique identifie les éléments essentiels de chaque actif identifié plus haut et les audite afin d'en connaître les vulnérabilités.

Le développement de la stratégie de sécurité consiste à évaluer les risques identifiés (impact, probabilité) plus haut et à proposer les mesures permettant de les réduire. Un plan de réduction des risques est alors planifié.

La simplicité de la méthode Octave en fait dans le principe une méthode efficace, elle est assez répandue eux Etats-Unis et au Québec. Elle est centrée sur la protection des actifs de l'entreprise et le management du personnel. Elle couvre l'ensemble des processus métiers de l'entreprise à tous les niveaux (organisationnel et technique).

Cette méthode suppose la constitution d'une équipe pluridisciplinaire comprenant des membres de tous les services de l'entreprise. Elle leur permettra d'améliorer leur connaissance de leur entreprise et de mutualiser les bonnes pratiques de sécurité.

F. Cramm

Cramm (CCTA Risk Analysis and Management Method) a été inventée par Siemens en Anglettre et est soutenue par l'état. Cramm est une méthode exhaustive assez lourde, réservée aux grandes entreprises puisqu'elle recourt à près de 3 000 points de contrôle. Elle possède deux variantes : Cramm Express et Cramm Expert et est compatible avec la norme BS7799.

Des logiciels sont fournis avec la méthode à des fins de simulation, de reporting et de suivi des mesures de sécurité.

Démarche générale de la méthode Cramm
Démarche générale de la méthode Cramm

La méthode Cramm est composée de 3 phases :

Phases de la méthode Cramm
  1. identification de l'existant
  2. évaluation des menaces et des vulnérabilités
  3. choix des remèdes

L'identification de l'existant permet de dresser l'inventaire des équipements, des applications, et des données qui constituent l'infrastructure informatique sur laquelle repose le SI de l'entreprise. Chacun des élements de cet inventaire est évalué en terme de coût et d'impact en cas de compromission (indisponibilité, altération, destruction...).

L'évaluation des menaces et des vulnérabilités met en évidence les problèmes possibles. Pour cela, la base de connaissances de Cramm fournit une liste importante des risques possibles dont il faut évaluer le niveau de criticité.

Le choix des remèdes consiste à sélectionner parmis une base de 3 000 contre-mesures possibles classées en 70 thèmes les remèdes aux risques identifiés plus haut. Le logiciel fourni avec Cramm détermine les remèdes à adopter en fonction des risques, de leur criticité identifiés précédement et du niveau de sécurité désiré.

IV. Critères de choix

Comment choisir une méthode parmis le panel existant ? Sur quels critères faire ce choix ? La liste suivante donne quelques pistes pour faciliter ce choix :

Critères de choix d'une méthode d'analyse des risques
  • l'origine géographique de la méthode, la culture du pays jouant beaucoup sur le fonctionnement interne des entreprises et leur rapport au risque
  • la langue de la méthode, il est essentiel de maîtriser le vocabulaire employé
  • l'existance d'outils logiciels en facilitant l'utilisation
  • l'existance d'un club d'utilisateurs afin d'avoir un retour d'expériences
  • la qualité de la documentation
  • la facilité d'utilisation et le pragmatisme de la méthode
  • la compatibilité avec une norme nationale ou internationale
  • le coût de la mise en oeuvre
  • la quantité de moyens humains qu'elle implique et la durée de mobilisation
  • la taille de l'entreprise à laquelle elle est adaptée
  • le support de la méthode par son auteur, une méthode abandonnée n'offre plus la possibilité de conseil et de support de la part son éditeur
  • sa popularité, une méthode très connue offre un réservoir de personnels qualifés pour la mettre en oeuvre

V. Conclusion

Il existe de nombreuses méthodes d'analyse des risques, certaines simples d'utilisation, avec parfois des outils logiciels en simplifiant l'utilisation. D'autres méthodes sont réservées à des grands comptes du fait de leur complexité et des ressources humaines impliquées. Il vous reste à choisir la méthode qui s'applique le mieux à votre entreprise ou organisme public.

Sources

Je vous recommande la lecture de quelques documents intéressants sur le sujet :

Remerciements

Merci à Miles pour sa relecture orthographique.