Comparatif Des Methodes D'audit [PDF]

Zitiervorschau

Comparatif des méthodes d’audit et d’analyse des risques de sécurité des systèmes d’information

Évolutions du document Version 1.0

Date 26/09/2014

Nature des modifications Version initiale

Auteur ANSI

Critère de diffusion Public

Interne

Diffusion restreinte

Hautement Confidentiel

Sommaire 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.

Introduction ……………………………………………………………………………………………………………………….3 La norme ISO/IEC 27005 ……………………………………………………………………………………………………..3 La méthode EBIOS ………………………………………………………………………………………….….……………….3 La méthode MEHARI …………………………………………………………………………………………………………..3 La méthode OCTAVE …………………………………………………………………………………………………………..4 La méthode CRAMM ……………………………………………………………………………………………………………4 La méthode IASME ………………………………………………………………………………………………………………4 La méthode FAIR …………………………………………………………………………………………………………………4 La méthode IT-Grundschutz ………………………………………………………………………………………………..4 La méthode MAGERIT …………………………………………………………………………………………………………4 La méthode CORAS ……………………………………………………………………………………………………………..5 La méthode ITIL ……………………………………………………………………………………………………………………5 La méthode COBIT ……………………………………………………………………………………………………………….5 Tableau comparatif ……………………………………………………………………………………………………………..6 Critères de choix d’une méthode ………………………………………………………………………………………..21 Conclusion ………………………………………………………………………………………………………………………….21

2

1. Introduction Les systèmes d’information (SI) actuels doivent faire face à de nombreuses menaces susceptibles d'exploiter leur vulnérabilité. Afin de limiter les impacts résultant de ces menaces, une politique de traitement des risques doit être mise en place. L’analyse des risques en sécurité de l’information permet d’identifier les dangers induits par les applications et les SI, de les évaluer, et de définir et mettre en œuvre des mesures de protection adaptées. Pour réaliser une analyse des risques, Il existe environ deux cent (200) méthodes dont plus de 80% sont mortes ou confidentielles. Dans ce document, nous présentons une synthèse de la norme ISO 27005 et une comparaison de quelques méthodes d’audit et d’analyse des risques.

2. La norme ISO/IEC 27005 Cette norme internationale fournit des lignes directrices pour la gestion des risques de sécurité de l'information. Elle s’appuie sur les concepts généraux spécifiés dans la norme ISO/CEI 27001 et est conçu pour aider à la mise en œuvre d’un niveau de sécurité de l'information satisfaisant basé sur une approche de gestion du risque. Une connaissance des concepts, des modèles, des processus et de la terminologie de l'ISO/CEI 27001 et de l’ISO/IEC 27002 est importante pour une compréhension complète de la norme internationale ISO/IEC 27005. Elle est applicable à tous les types d'organisations (par exemple, des entreprises commerciales, des organismes gouvernementaux, des organisations à but non lucratif) qui ont l'intention de gérer les risques qui pourraient compromettre l’organisation de la sécurité de l'information. Le processus de gestion des risques défini par cette norme comprend les étapes suivantes :       

Etablissement du contexte Identification du risque Estimation du risque Evaluation du risque Traitement du risque Acceptation du risque Communication du risque

3. La méthode EBIOS EBIOS est l’acronyme de « Expression des Besoins et Identification des Objectifs de Sécurité ». C’est une méthode publiée par la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) en France en 1995.

4. La méthode MEHARI MEHARI est l’acronyme de « Méthode Harmonisée d’Analyse des Risques ». Elle est développée et maintenue depuis 1995 par le CLUSIF (Club de la Sécurité de l’Information Français) et reprend et remplace les méthodes MELISA et MARION.

3

5. La méthode OCTAVE OCTAVE est l’acronyme de « Operationally Critical Threat, Asset and Vulnerability Evaluation ». Elle est produite par le Software Engineering Institute (SEI) de l’université Carnegie Million de Pittsburgh aux USA en 1999.

6. La méthode CRAMM CRAMM est l’acronyme de « CCTA Risk Analysis and Management Method ». Elle est créée par le CCTA (Central Computer and Telecommunication Agency du gouvernement anglais) en 1985 et est actuellement la propriété d’une société anglaise (Insight Consulting, une division de Siemens). Elle est proposée en deux variantes, CRAMM Express et CRAMM Expert.

7. La méthode IASME IASME est l’acronyme de « Information Assurance for Small to Medium-sized Enterprises ». C’est un standard développé en Angleterre par IASME Consortium en 2011. Il est destiné à fournir aux petites et moyennes entreprises (PME) une appréciation et une reconnaissance du niveau de maturité de la protection des informations professionnelles qui peut être utilisé pour rassurer ces entreprises et d'autres d'assurer selon leurs besoins métier. IASME applique un ensemble équilibré de mesures à tous les types d'entreprises et ajuste leur mise en œuvre par rapport à un profil de risque métier.

8. La méthode FAIR FAIR est l’acronyme de « Factor Analysis of Information Risk ». C’est une méthode faisant partie de FAIR framework introduit par « Risk Management Insight LLC » en Angleterre en 2006. FAIR a été établi comme un standard de l’industrie qui espère aborder la question de la sécurité de l'information comme étant pratiquée "en tant qu’art plutôt qu'une science". En tant que tel, son objectif est de s'appuyer moins sur l'expérience, l'intuition du praticien ou les meilleures pratiques et plutôt déduire des outputs à partir des calculs répétitifs, cohérents et financièrement solides.

9. La méthode IT-Grundschutz Manuel de protection de base IT. IT-Grundschutz fait partie d'une série de normes publiées par l'Office fédéral allemand pour la sécurité de l'information (BSI) décrivant "les méthodes, les processus, les procédures, les approches et les mesures relatives à la sécurité de l'information".

10. La méthode MAGERIT MAGERIT est l’acronyme espagnol de « méthodologie de gestion et d’analyse des risques des systèmes d’information ». Elle a été élaborée en 1997 par le Conseil Supérieur Espagnol d’Administration Electronique (CSAE) en réponse à la perception que le gouvernement (et la société en général) est de plus en plus dépendant de la technologie de l'information pour l'atteinte de ses objectifs de service.

4

11. La méthode CORAS CORAS est une plate-forme pour l'analyse des risques de sécurité des systèmes critiques. Elle a été a développé à travers des enquêtes empiriques et une série d'études dans le domaine de l’industrie (projets financés par le Conseil norvégien de la recherche et l'UE, terminés en 2003). Elle s'appuie sur son propre langage de modélisation qui est une extension d'UML pouvant être utilisé en conjonction avec l'évaluation des risques pour servir trois buts :   

Décrire l'objectif de l'évaluation Comme un moyen de communication qui facilite l'interaction entre les différents groupes de parties prenantes Documenter les résultats et les hypothèses sous-jacentes.

12. LA méthode ITIL ITIL est l’acronyme de « Information Technology Infrastructure Library ». C’est une série de documents qui sont utilisés pour aider à la mise en œuvre d'un cadre de gestion des services informatiques (ITSM). Ce cadre définit comment la gestion des services est appliquée au sein des organisations spécifiques. Etant un cadre, il est complètement personnalisable pour une application dans tout type d'entreprise ou d'une organisation qui a recours à une infrastructure informatique. ITIL est un référentiel produit par L’office du commerce du gouvernement britannique au début des années 1990.

13. La méthode COBIT COBIT est l’acronyme de « Control Objectives for Information and Related Technology », c’est un référentiel publié par l’ISACA (Information Systems Audit and Control Association). COBIT 5 établit la nouvelle génération d’orientations de l’ISACA sur la gouvernance et la gestion des TI de l’entreprise. Elles s’appuient sur plus de 15 années d’expérience pratique et d’application de COBIT par de nombreuses entreprises et de nombreux utilisateurs du monde des affaires, des TI, du risque, de la sécurité et de l’assurance.

5

14. Tableau comparatif

Critères Méthodes Intitulé EBIOS Langue Français Pays France Conformité ISO 31000, 27001, 27005

6

Documentation

outils

Riche et disponible en téléchargement gratuit sur http://www.ssi. gouv.fr/fr/guide s-et-bonnespratiques/outils methodologiqu es/

Logiciel  EBIOS 2010, gratuit et  téléchargeab le sur le site https://adull act.net/proje cts/ebios201 0/

Fonctionnalités Analyse des risques Maturité SSI : la DCSSI met à disposition un document décrivant une approche méthodologique pour déterminer le niveau adéquat de maturité de la sécurité des systèmes d’information (http://www.ssi. gouv.fr/IMG/pdf /maturitessimethode-200711-02.pdf).

Etapes de mise en œuvre

Complexité de mise en œuvre

    

La mise en œuvre de cette méthode est facilitée par la mise à disposition des utilisateurs de

Etablissement du contexte Appréciation des risques Traitement des risques Validation du traitement des risques Communication et concertation relatives aux risques  Surveillance et revue des risques EBIOS formalise une démarche itérative de gestion des risques découpée en cinq modules :  Etude du contexte  Etude des événements redoutés  Etude des scénarios de menaces  Etude des risques  Etude des mesures de sécurité

bases de connaissances riches et enrichissables, d'un logiciel libre et gratuit permettant de simplifier

l’application et d’automatiser la création des documents de synthèse. Par ailleurs, un club d’utilisateurs EBIOS a été créé en 2003 et constitue une communauté d’experts permettant le partage des expériences.

Critères Méthodes Intitulé MEHARI Langue Français, anglais, allemand, … Pays France Conformité ISO 27001, 27002, 27005

7

Documentation

outils

Riche et disponible en téléchargement gratuit sur https://www.cl usif.asso.fr/fr/p roduction/meh ari/presentatio n.asp

Un premier niveau d'outil est directement inclus dans la base de connaissance s de la méthode, en utilisant les formules Excel et Open Office. Un manuel de référence, qui est gratuit, explique son utilisation. Il est possible d'adapter la base de données de connaissance s aux domaines spécifiques de l'activité, au niveau de maturité, à la portée et à la

Fonctionnalités    

Etapes de mise en œuvre

Analyse des  Phase préparatoire risques  Prise en compte du contexte Tableau de bord  Contexte stratégique  Contexte technique Indicateurs  Contexte organisationnel Maturité SSI : la  Cadrage de la mission d’analyse et du méthode donne traitement des risques des indications  Périmètre technique de maturité de  Périmètre organisationnel la capacité de  Structure de pilotage de la mission l'organisation à gérer la sécurité  Fixation des principaux paramètres de l'information d’analyse des risques sous toutes ses  Grille d’acceptabilité des risques formes. Elle  Grille des Expositions Naturelles permet de  Grilles d’appréciation des risques mesurer le  Phase opérationnelle de l’analyse des risques niveau de  Analyse des enjeux et classification des maturité de la actifs sécurité des  Echelle de valeur des systèmes dysfonctionnements d’information à  Classification des actifs travers plusieurs  Tableau d’impact intrinsèque indicateurs (par  Diagnostic de la qualité des services de exemple : sécurité l'efficacité, la  Etablissement du schéma d’audit résilience, les  Diagnostic de la qualité des services de aspects de sécurité continuité).  Appréciation des risques  Sélection des scénarios de risque  Estimation des risques  Phase de planification du traitement des risques

Complexité de mise en œuvre La mise en œuvre de MEHARI ne peut être conduite qu’en conjonction avec un logiciel ou des feuilles de calculs dédiés. Le démarrage de l’analyse nécessite une adaptation un peu compliquée de "la base de connaissances". Par ailleurs, une version « MEHARI-Pro » qui vise principalement les petites ou moyennes organisations, privées ou publiques est disponible au http://www.clusif.asso.fr/fr/prod uction/mehari/presentation.asp

Critères Documentation Méthodes

Intitulé OCTAVE Langue Anglais Pays USA Conformité

8

Catalogue de pratiques de sécurité et d’autres documents sont disponibles en téléchargement

outils taille de l'entreprise. Par ailleurs, plusieurs efforts indépendant s pour développer des outils supplémenta ires sont connus pour le CLUSIF. L'un étant RISICARE, développé par BUC SA et qui est le plus conforme et complet. Logiciel  payant

Fonctionnalités

Etapes de mise en œuvre

Complexité de mise en œuvre



Planification des actions immédiates  Sélection des risques à traiter en priorité absolue  Choix des mesures à mettre en œuvre immédiatement  Planification des mesures à décider dans le cadre courant  Stratégie de traitement et priorités  Choix des mesures et planification  Mise en place du pilotage du traitement des risques  Organisation du pilotage  Indicateurs et tableau de bord

Analyse des risques

La méthodologie décrit trois méthodes distinctes:  La version principale (originale) de la méthode OCTAVE constitue la base pour le corpus de connaissances d’OCTAVE. Elle est destiné aux entreprises comptant 300 employés ou plus  Phase 1, vue organisationnelle : Constitution des profils de menaces basés

Les méthodes OCTAVE sont conçues pour être utilisées par de petites équipes, interdisciplinaires du personnel de l'organisation, le recours à des experts externes pour des activités spécifiques est parfois

Critères Documentation outils Méthodes ISO 31010 gratuit sur http://www.cer t.org/resilience/ productsservices/octave /index.cfm

9

Fonctionnalités

Etapes de mise en œuvre

Complexité de mise en œuvre

sur les actifs de l’entreprise  Evaluation organisationnelle  Identification des ressources informatiques importantes  Identification des menaces associées et des exigences de sécurité qui leur sont associées  Identification des vulnérabilités sur ces ressources  Phase 2, vue technique : Identification des vulnérabilités de l’infrastructure  Evaluation de l’infrastructure informatique  Identification des moyens d’accès aux actifs  Identification des classes qui doivent être assujetties à amélioration  Phase 3, développement de la stratégie de sécurité et planification  Analyse des risques sur les actifs opérationnels  Définition du plan de traitement des risques  Production des documents  OCTAVE-S est adapté aux petites et moyennes organisations (