Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. La norme ISO 27005
  3. Méthodes
Extrait - La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
Extraits du livre
La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
1 avis
Revenir à la page d'achat du livre

Méthodes

Introduction

Ce chapitre est dédié aux méthodes de gestion des risques. Il en existe un très grand nombre et cela peut être source de confusion. Pour rappel, les normes ISO n’imposent en aucun cas une méthode à suivre. L’organisation est libre de sélectionner une méthode parmi celles existantes, ou de créer et suivre sa propre méthode.

Nous décrirons ici les trois méthodes les plus connues que sont OCTAVE, MEHARI et EBIOS. En France, et à ce jour, c’est la méthode EBIOS qui est la plus utilisée.

OCTAVE

OCTAVE signifie « Operationally Critical Threat, Asset, and Vulnerability Evaluation ». Il s’agit d’une série de méthodes d’évaluation et de planification stratégique de la sécurité de l’information basées sur les risques.

Il y a trois versions différentes d’OCTAVE :

  • OCTAVE

  • OCTAVE-S pour les petites organisations

  • OCTAVE Allegro, qui est une approche simplifiée pour l’évaluation de la sécurité de l’information.

1. La méthode OCTAVE

La méthode OCTAVE se déroule en trois phases. La phase 1, dite organisationnelle, durant laquelle les équipes identifient les actifs importants liés à l’information et la stratégie actuelle de leurs protections. C’est alors que l’équipe déterminera quels sont les actifs les plus critiques pour l’organisation, puis documentera les exigences en matière de sécurité de l’information et identifiera les menaces.

La phase 2, dite technologique, permet à l’équipe d’analyse d’effectuer une évaluation de l’infrastructure, d’identifier les actifs techniques critiques et les vulnérabilités techniques qui y sont liées.

La phase 3, dite d’analyse de risques, permet de mettre en place un plan d’actions en se basant sur les résultats obtenus lors des deux premières phases.

2. La méthode OCTAVE-S

La méthode OCTAVE-S est une méthode simplifiée d’analyse de risques liés à la sécurité des actifs critiques d’une entreprise. Elle se déroule également en trois phases distinctes que nous détaillerons ci-dessous. Il est à savoir qu’OCTAVE-S suppose que tous les intervenants...

MEHARI

La méthode MEHARI (Méthode Harmonisée d’Analyse de Risques) est une méthode d’analyse de risques développée par le CLUSIF (Association Française des professionnels de la sécurité de l’information). Créée en 1995, elle permet d’évaluer et de gérer les risques associés aux scénarios.

Cette méthode se décline en quatre phases distinctes qui sont les suivantes :

  • Phase 1 : Analyse des enjeux et classement

  • Phase 2 : Évaluation des services de sécurité

  • Phase 3 : Analyse des risques

  • Phase 4 : Élaboration de plans de sécurité

images/EP03-01-p142.png

1. Phase 1 : Analyse des enjeux et classement

Cette phase consiste à identifier les dysfonctionnements de l’organisation au niveau fonctionnel et technique en commençant par analyser les activités de l’organisation et ses objectifs. Pour ce faire, une collaboration entre les décideurs, le management et les parties prenantes est obligatoire.

Cette analyse nous apportera une échelle de valeurs des dysfonctionnements potentiels ainsi qu’une classification des actifs.

2. Phase 2 : Évaluation des services de sécurité

L’évaluation des services de sécurité est basée sur trois paramètres :

a. Efficacité du service de sécurité

Il s’agira, pour les services techniques, de mesurer la capacité du service à assurer la fonction qui est la sienne face à des acteurs ayant des compétences plus ou moins poussées, ou face à des situations plus ou moins fréquentes.

Prenons l’exemple du service technique gérant les installations de logiciels sur les postes utilisateurs. Sa fonction est de s’assurer que seuls...

EBIOS

La méthode EBIOS est la méthode d’appréciation et de traitement des risques numériques publiée par l’ANSSI (Agence nationale de la sécurité et des systèmes d’information) avec le soutien du Club EBIOS.

ANSSI : La méthode EBIOS RM peut être utilisée à plusieurs fins :

- Mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation ;

- Apprécier et traiter les risques relatifs à un projet numérique, notamment dans l’objectif d’une homologation de sécurité ;

- Définir le niveau de sécurité à atteindre pour un produit ou un service selon ses cas d’usage envisagés et les risques à contrer, dans la perspective d’une certification ou d’un agrément par exemple.

Elle s’applique aussi bien aux organisations publiques ou privées, quels que soient leur taille, leur secteur d’activité et que leurs systèmes d’information soient en cours d’élaboration ou déjà existants.

Nous déroulerons un exemple complet utilisant la méthode EBIOS dans le chapitre Étude de cas 2 - Analyse de risques.

1. Les cinq ateliers

La méthode EBIOS s’articule autour de cinq ateliers que nous décrirons ci-dessous.

a. Atelier 1 : Cadrage et socle de sécurité

Cet atelier a pour but d’établir le contexte et d’identifier le domaine d’application de la gestion des risques, les actifs primordiaux, les paramètres et les limites de l’étude. Il s’agit également d’identifier les évènements redoutés et d’évaluer leurs impacts.

Participeront à cet atelier la direction, les métiers, le responsable...

Conclusion

De nombreuses méthodes existent pour traiter la question de la gestion des risques. Il conviendra d’utiliser celle avec laquelle on se sent le plus à l’aise, ou celle la plus pertinente en fonction du projet. Pour rappel, il est tout à fait possible de créer sa propre méthode et de l’appliquer au sein de son organisation, du moment que les exigences de la norme sont respectées.