SlideShare uma empresa Scribd logo

Clusif marion

Knurt Vorgein
Knurt Vorgein
1 de 5
Baixar para ler offline
METHODOLOGIE D'ANALYSE DES RISQUES MARION La méthode MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux) est issue du CLUSIF (http://www.clusif.asso.fr/) et la dernière mise à jour date de 1998. Il s'agit d'une méthodologie d'audit, qui, comme son nom l'indique, permet d'évaluer le niveau de sécurité d'une entreprise (les risques) au travers de questionnaires pondérés donnant des indicateurs sous la forme de notes dans différents thèmes concourant à la sécurité. Objectif de la méthode L'objectif est d'obtenir une vision de l'entreprise auditée à la fois par rapport à un niveau jugé " correct ", et d'autre part par rapport aux entreprises ayant déjà répondu au même questionnaire. Le niveau de sécurité est évalué suivant 27 indicateurs répartis en 6 grands thèmes, chacun d'eux se voyant attribuer une note de 0 à 4, le niveau 3 étant le niveau à atteindre pour assurer une sécurité jugée correcte. À l'issue de cette analyse, une analyse de risque plus détaillée est réalisée afin d'identifier les risques (menaces et vulnérabilités) qui pèsent sur l'entreprise. Fonctionnement de la méthode La méthode est basée sur des questionnaires portant sur des domaines précis. Les questionnaires doivent permettre d'évaluer les vulnérabilités propres à l'entreprise dans tous les domaines de la sécurité. L'ensemble des indicateurs est évalué par le biais de plusieurs centaines de questions dont les réponses sont pondérées (ces pondérations évoluent suivant les mises à jour de la méthode). Les thèmes sont les suivants :  Sécurité organisationnelle  Sécurité physique  Continuité  Organisation informatique  Sécurité logique et exploitation  Sécurité des applications Déroulement de la méthode La méthode se déroule en 4 phases distinctes : Phase 0 : Préparation Durant cette phase, les objectifs de sécurité sont définis, ainsi que le champ d'action et le découpage fonctionnel permettant de mieux dérouler la méthode par la suite.
Phase 1 : Audit des vulnérabilités Cette phase voit le déroulement des questionnaires ainsi que le recensement des contraintes propres à l'organisme. Le résultat des questionnaires permet d'obtenir la " rosace " propre à l'entreprise. Cette rosace, l'aspect le plus connu de la méthode, présente les 27 indicateurs sur un cercle, avec le niveau atteint. Cela permet de juger facilement et rapidement des domaines vulnérables de l'entreprise, la cohérence et l'homogénéité des niveaux de sécurité des différents indicateurs, et donc d'identifier également rapidement les points à améliorer. D'autres possibilités de diagrammes existent, parmi lesquels le diagramme différentiel qui permet de mieux comprendre l'importance des différents facteurs (d'après la méthode) et donc également de mettre les vulnérabilités de l'entreprise en perspective. Dans ce diagramme, chaque barre est proportionnelle à la différence entre la cotation 3 et la cotation réelle de l'existant, multipliée par le poids du facteur (le différentiel est nul si le facteur est déjà supérieur à 3)
Enfin, il est également possible d'afficher des diagrammes suivant les types de risques.
Phase 2 : Analyse des risques Cette phase voit l'exploitation des résultats précédents et permet d'effectuer une ségrégation des risques en Risques Majeurs (RM) et Risques Simples (RS). Le Système d'Information est alors découpé en fonctions qui seront approfondies en groupes fonctionnels spécifiques, et hiérarchisés selon l'impact et la potentialité des risques les concernant. En ce qui concerne l'analyse de risque, MARION définit 17 types de menaces :  Accidents physiques  Malveillance physique  Panne du SI  Carence de personnel  Carence de prestataire  Interruption de fonctionnement du réseau  Erreur de saisie  Erreur de transmission  Erreur d'exploitation  Erreur de conception / développement  Vice caché d'un progiciel  Détournement de fonds  Détournement de biens  Copie illicite de logiciels  Indiscrétion / détournement d'information  Sabotage immatériel  Attaque logique du réseau Pour chaque groupe fonctionnel de l'entreprise, chaque fonction est revue en détail afin d'évaluer les scénarios d'attaque possible avec leur impact et leur potentialité.
Phase 3 : Plan d'action Durant cette ultime phase de la méthode, une analyse des moyens à mettre en oeuvre est réalisée afin d'atteindre la note " 3 ", objectif de sécurité de la méthode, suite aux questionnaires. Les tâches sont ordonnancées, on indique le degré d'amélioration à apporter et l'on effectue un chiffrage du coût de la mise en conformité. Commentaires sur la méthode Les commentaires suivants pourraient être faits à la méthode :  Bien rodée de part son âge, elle offre un moyen de comparer une entreprise par rapport au niveau sécuritaire des autres entreprises européennes.  On regrettera par contre son manque d'utilisation qui aurait pu permettre d'améliorer la validité de l'aspect statistique des résultats. Il arrive également malheureusement trop souvent que ce comparatif par rapport à " la moyenne " s'arrête là et que les décisionnaires ne se contentent que de ce niveau, plutôt que de viser l'objectif " 3 ", seuil minimal de sécurité de la méthode.  Sa démarche sous forme de questionnaire, bien qu'elle puisse être jugée lourde car longue à dérouler, en fait également une méthode facile d'application (du moins durant la phase des questionnaires, la plus connue et les plus réalisée)  Il est regrettable que la méthode ne soit connue qu'au travers de ses rosaces, certes pratiques et figuratives, alors qu'appliquée complètement, elle permettrait aux entreprises de mieux formaliser leurs travaux de sécurité, donc de les améliorer.  Contrairement à d'autres approches, la méthode prend en compte aussi bien les aspects techniques qu'organisationnels, ce qui est un avantage non négligeable. Les aspects techniques sont cependant peu approfondis.  Les rosaces forment des indicateurs synthétiques clairs utilisables par la direction.  Un gros intérêt de la méthode réside dans son approche par questionnaires exhaustifs qui, outre le recueil d'information, jouent un rôle de sensibilisation et d'information direct lors de leur déroulement.  Enfin la méthode ne permet pas d'identifier des mesures concrètes à mettre en place pour sécuriser l'entreprise. Cependant, l'identification des risques ayant été réalisée, il devient plus facile de trouver des mesures pour les contrer. Autres méthodes On pourra comparer MARION avec d'autres méthodes du CLUSIF, principalement MEHARI, la dernière en date, probablement vouée à remplacer MARION à terme. D'autres approches existent, parmi laquelle la méthode EBIOS (publique) de la DCSSI (Direction centrale de la sécurité des systèmes d'information).

Recomendados

Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 

Recomendados

Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Ebios
EbiosEbios
Ebioskilojolid
 
Mehari
MehariMehari
MehariAfaf MATOUG
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005michaeldean
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiquesAmadou Dary diallo
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 

Mais conteúdo relacionado

Mais procurados

Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 

Mais procurados (20)

Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Ebios
EbiosEbios
Ebios
 
Mehari
MehariMehari
Mehari
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 

Destaque

Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Libertad financiera | Ciclo de Conferencias Clave Fénix (Introducción)
Libertad financiera | Ciclo de Conferencias Clave Fénix (Introducción)Libertad financiera | Ciclo de Conferencias Clave Fénix (Introducción)
Libertad financiera | Ciclo de Conferencias Clave Fénix (Introducción)Carlos Ricardo Jurado Peralta
 
Kopie von mai pm
Kopie von mai pmKopie von mai pm
Kopie von mai pmetailsummit
 
Tormentadehielo
TormentadehieloTormentadehielo
Tormentadehielolaieneblog
 
Importancia Del Bloque de Cierre
Importancia Del Bloque de CierreImportancia Del Bloque de Cierre
Importancia Del Bloque de Cierremarianieto00
 
El poder del maquillaje
El poder del maquillajeEl poder del maquillaje
El poder del maquillajelaieneblog
 
presentación entrega semifinal
presentación entrega semifinalpresentación entrega semifinal
presentación entrega semifinallanuve9
 
Seminario de antibiotico ii parte
Seminario de antibiotico ii parteSeminario de antibiotico ii parte
Seminario de antibiotico ii parterafaeljaimes
 
Reglamentode evaluacion y promocion escolar 2011
Reglamentode evaluacion y promocion escolar 2011Reglamentode evaluacion y promocion escolar 2011
Reglamentode evaluacion y promocion escolar 2011manueloyarzun
 
Xolos lmtj
Xolos lmtjXolos lmtj
Xolos lmtjgasa33
 
Recibos dinero honorarios leos
Recibos dinero honorarios leosRecibos dinero honorarios leos
Recibos dinero honorarios leoszoles
 
je suis informaticien, je suis entrepreneur, je suis le maitre de mon destin
je suis informaticien, je suis entrepreneur, je suis le maitre de mon destinje suis informaticien, je suis entrepreneur, je suis le maitre de mon destin
je suis informaticien, je suis entrepreneur, je suis le maitre de mon destintoutiano
 

Destaque (20)

Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Libertad financiera | Ciclo de Conferencias Clave Fénix (Introducción)
Libertad financiera | Ciclo de Conferencias Clave Fénix (Introducción)Libertad financiera | Ciclo de Conferencias Clave Fénix (Introducción)
Libertad financiera | Ciclo de Conferencias Clave Fénix (Introducción)
 
Kopie von mai pm
Kopie von mai pmKopie von mai pm
Kopie von mai pm
 
Who is who
Who is whoWho is who
Who is who
 
Presentacion nueva
Presentacion nuevaPresentacion nueva
Presentacion nueva
 
Tormentadehielo
TormentadehieloTormentadehielo
Tormentadehielo
 
Importancia Del Bloque de Cierre
Importancia Del Bloque de CierreImportancia Del Bloque de Cierre
Importancia Del Bloque de Cierre
 
El poder del maquillaje
El poder del maquillajeEl poder del maquillaje
El poder del maquillaje
 
presentación entrega semifinal
presentación entrega semifinalpresentación entrega semifinal
presentación entrega semifinal
 
Polígonos regulares
Polígonos regularesPolígonos regulares
Polígonos regulares
 
Seminario de antibiotico ii parte
Seminario de antibiotico ii parteSeminario de antibiotico ii parte
Seminario de antibiotico ii parte
 
Reglamentode evaluacion y promocion escolar 2011
Reglamentode evaluacion y promocion escolar 2011Reglamentode evaluacion y promocion escolar 2011
Reglamentode evaluacion y promocion escolar 2011
 
Constru social apzaje
Constru social apzajeConstru social apzaje
Constru social apzaje
 
Xolos lmtj
Xolos lmtjXolos lmtj
Xolos lmtj
 
El empirismo
El empirismoEl empirismo
El empirismo
 
Recibos dinero honorarios leos
Recibos dinero honorarios leosRecibos dinero honorarios leos
Recibos dinero honorarios leos
 
Evaluacion autentica
Evaluacion autenticaEvaluacion autentica
Evaluacion autentica
 
Produanálisis 4
Produanálisis 4Produanálisis 4
Produanálisis 4
 
je suis informaticien, je suis entrepreneur, je suis le maitre de mon destin
je suis informaticien, je suis entrepreneur, je suis le maitre de mon destinje suis informaticien, je suis entrepreneur, je suis le maitre de mon destin
je suis informaticien, je suis entrepreneur, je suis le maitre de mon destin
 

Semelhante a Clusif marion

Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449M'hammed Hamdaoui
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesmoussadiom
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
Le Contrôle Interne Assisté par Ordinateur
Le Contrôle Interne Assisté par OrdinateurLe Contrôle Interne Assisté par Ordinateur
Le Contrôle Interne Assisté par Ordinateurmohammed EZZOUAK
 
Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1SAGIDS1
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 pptjeehane
 
OSF Questionnaire Compatibilite Organisation
OSF Questionnaire Compatibilite OrganisationOSF Questionnaire Compatibilite Organisation
OSF Questionnaire Compatibilite OrganisationFabrice Aimetti
 
Diemension stratégique si
Diemension stratégique siDiemension stratégique si
Diemension stratégique siYassir Zaaiter
 
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureursACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureursLéo Guittet
 

Semelhante a Clusif marion (20)

Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
COBIT
COBIT COBIT
COBIT
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Le Contrôle Interne Assisté par Ordinateur
Le Contrôle Interne Assisté par OrdinateurLe Contrôle Interne Assisté par Ordinateur
Le Contrôle Interne Assisté par Ordinateur
 
Amdec 6 annexes
Amdec 6 annexesAmdec 6 annexes
Amdec 6 annexes
 
Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
 
OSF Questionnaire Compatibilite Organisation
OSF Questionnaire Compatibilite OrganisationOSF Questionnaire Compatibilite Organisation
OSF Questionnaire Compatibilite Organisation
 
Diemension stratégique si
Diemension stratégique siDiemension stratégique si
Diemension stratégique si
 
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureursACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
 

Clusif marion

  • 1. METHODOLOGIE D'ANALYSE DES RISQUES MARION La méthode MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux) est issue du CLUSIF (http://www.clusif.asso.fr/) et la dernière mise à jour date de 1998. Il s'agit d'une méthodologie d'audit, qui, comme son nom l'indique, permet d'évaluer le niveau de sécurité d'une entreprise (les risques) au travers de questionnaires pondérés donnant des indicateurs sous la forme de notes dans différents thèmes concourant à la sécurité. Objectif de la méthode L'objectif est d'obtenir une vision de l'entreprise auditée à la fois par rapport à un niveau jugé " correct ", et d'autre part par rapport aux entreprises ayant déjà répondu au même questionnaire. Le niveau de sécurité est évalué suivant 27 indicateurs répartis en 6 grands thèmes, chacun d'eux se voyant attribuer une note de 0 à 4, le niveau 3 étant le niveau à atteindre pour assurer une sécurité jugée correcte. À l'issue de cette analyse, une analyse de risque plus détaillée est réalisée afin d'identifier les risques (menaces et vulnérabilités) qui pèsent sur l'entreprise. Fonctionnement de la méthode La méthode est basée sur des questionnaires portant sur des domaines précis. Les questionnaires doivent permettre d'évaluer les vulnérabilités propres à l'entreprise dans tous les domaines de la sécurité. L'ensemble des indicateurs est évalué par le biais de plusieurs centaines de questions dont les réponses sont pondérées (ces pondérations évoluent suivant les mises à jour de la méthode). Les thèmes sont les suivants :  Sécurité organisationnelle  Sécurité physique  Continuité  Organisation informatique  Sécurité logique et exploitation  Sécurité des applications Déroulement de la méthode La méthode se déroule en 4 phases distinctes : Phase 0 : Préparation Durant cette phase, les objectifs de sécurité sont définis, ainsi que le champ d'action et le découpage fonctionnel permettant de mieux dérouler la méthode par la suite.
  • 2. Phase 1 : Audit des vulnérabilités Cette phase voit le déroulement des questionnaires ainsi que le recensement des contraintes propres à l'organisme. Le résultat des questionnaires permet d'obtenir la " rosace " propre à l'entreprise. Cette rosace, l'aspect le plus connu de la méthode, présente les 27 indicateurs sur un cercle, avec le niveau atteint. Cela permet de juger facilement et rapidement des domaines vulnérables de l'entreprise, la cohérence et l'homogénéité des niveaux de sécurité des différents indicateurs, et donc d'identifier également rapidement les points à améliorer. D'autres possibilités de diagrammes existent, parmi lesquels le diagramme différentiel qui permet de mieux comprendre l'importance des différents facteurs (d'après la méthode) et donc également de mettre les vulnérabilités de l'entreprise en perspective. Dans ce diagramme, chaque barre est proportionnelle à la différence entre la cotation 3 et la cotation réelle de l'existant, multipliée par le poids du facteur (le différentiel est nul si le facteur est déjà supérieur à 3)
  • 3. Enfin, il est également possible d'afficher des diagrammes suivant les types de risques.
  • 4. Phase 2 : Analyse des risques Cette phase voit l'exploitation des résultats précédents et permet d'effectuer une ségrégation des risques en Risques Majeurs (RM) et Risques Simples (RS). Le Système d'Information est alors découpé en fonctions qui seront approfondies en groupes fonctionnels spécifiques, et hiérarchisés selon l'impact et la potentialité des risques les concernant. En ce qui concerne l'analyse de risque, MARION définit 17 types de menaces :  Accidents physiques  Malveillance physique  Panne du SI  Carence de personnel  Carence de prestataire  Interruption de fonctionnement du réseau  Erreur de saisie  Erreur de transmission  Erreur d'exploitation  Erreur de conception / développement  Vice caché d'un progiciel  Détournement de fonds  Détournement de biens  Copie illicite de logiciels  Indiscrétion / détournement d'information  Sabotage immatériel  Attaque logique du réseau Pour chaque groupe fonctionnel de l'entreprise, chaque fonction est revue en détail afin d'évaluer les scénarios d'attaque possible avec leur impact et leur potentialité.
  • 5. Phase 3 : Plan d'action Durant cette ultime phase de la méthode, une analyse des moyens à mettre en oeuvre est réalisée afin d'atteindre la note " 3 ", objectif de sécurité de la méthode, suite aux questionnaires. Les tâches sont ordonnancées, on indique le degré d'amélioration à apporter et l'on effectue un chiffrage du coût de la mise en conformité. Commentaires sur la méthode Les commentaires suivants pourraient être faits à la méthode :  Bien rodée de part son âge, elle offre un moyen de comparer une entreprise par rapport au niveau sécuritaire des autres entreprises européennes.  On regrettera par contre son manque d'utilisation qui aurait pu permettre d'améliorer la validité de l'aspect statistique des résultats. Il arrive également malheureusement trop souvent que ce comparatif par rapport à " la moyenne " s'arrête là et que les décisionnaires ne se contentent que de ce niveau, plutôt que de viser l'objectif " 3 ", seuil minimal de sécurité de la méthode.  Sa démarche sous forme de questionnaire, bien qu'elle puisse être jugée lourde car longue à dérouler, en fait également une méthode facile d'application (du moins durant la phase des questionnaires, la plus connue et les plus réalisée)  Il est regrettable que la méthode ne soit connue qu'au travers de ses rosaces, certes pratiques et figuratives, alors qu'appliquée complètement, elle permettrait aux entreprises de mieux formaliser leurs travaux de sécurité, donc de les améliorer.  Contrairement à d'autres approches, la méthode prend en compte aussi bien les aspects techniques qu'organisationnels, ce qui est un avantage non négligeable. Les aspects techniques sont cependant peu approfondis.  Les rosaces forment des indicateurs synthétiques clairs utilisables par la direction.  Un gros intérêt de la méthode réside dans son approche par questionnaires exhaustifs qui, outre le recueil d'information, jouent un rôle de sensibilisation et d'information direct lors de leur déroulement.  Enfin la méthode ne permet pas d'identifier des mesures concrètes à mettre en place pour sécuriser l'entreprise. Cependant, l'identification des risques ayant été réalisée, il devient plus facile de trouver des mesures pour les contrer. Autres méthodes On pourra comparer MARION avec d'autres méthodes du CLUSIF, principalement MEHARI, la dernière en date, probablement vouée à remplacer MARION à terme. D'autres approches existent, parmi laquelle la méthode EBIOS (publique) de la DCSSI (Direction centrale de la sécurité des systèmes d'information).