tudecomparedesmthodesdegestiondesrisques
RESUME : CerapportprsentelanormeISO/IEC27005,lesmthodesEBIOS,MEHARI,OCTAVE/OCTAVESetITGrundschutzsouslangledesobjectifs,desprocessusetdesoutils.
AUTEURS : S.PoggiMai2005
O.DerrouaziMai2009(versionmisejour)
www.cases.lu
2
http://www.cases.lu
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 3
SOMMAIRE Introduction..................................................................................................................................................7
1. ISO/IEC27005.......................................................................................................................................8
1.1OBJECTIFS............................................................................................................................................8
1.2PROCESSUS..........................................................................................................................................9
1.3OUTIL.................................................................................................................................................10
2. EBIOS...................................................................................................................................................11
2.1OBJECTIFS..........................................................................................................................................11
2.2PROCESSUS........................................................................................................................................12
Pralable.............................................................................................................................................13
Etape1:Etudeducontexte................................................................................................................13
Etape2:Expressiondesobjectifsdescurit....................................................................................13
Etape3:Etudedesmenaces..............................................................................................................14
Etape4:Identificationdesbesoinsdescurit.................................................................................14
Etape5:Dterminationdesexigencesdescurit............................................................................15
RsultatsdunetudeEBIOS...............................................................................................................15
2.3OUTILS...............................................................................................................................................16
Logiciel................................................................................................................................................18
3. MEHARI...............................................................................................................................................21
3.1OBJECTIFS..........................................................................................................................................21
3.2PROCESSUS........................................................................................................................................21
Analysedessituationsderisque.........................................................................................................22
Etape1:Evaluationdelexpositionnaturelle....................................................................................22
Etape2:Evaluationdesfacteursdedissuasionetprvention..........................................................23
Etape3:Evaluationdelapotentialit................................................................................................23
Etape4:Evaluationdelimpactintrinsque......................................................................................24
Etape5:Evaluationdesfacteursdeprotection,palliationetrcupration......................................24
Etape6:Evaluationdelarductiondimpact,valuationdelimpact..............................................25
Etape7:Evaluationglobaledurisque................................................................................................25
Enrsum...........................................................................................................................................26
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 4
3.3OUTIL.................................................................................................................................................26
OCTAVE/OCTAVES....................................................................................................................................28
4.1OBJECTIFS..........................................................................................................................................28
4.2PROCESSUS........................................................................................................................................28
Phase1:Vueorganisationnelle:Constitutiondesprofilsdemenacesbasssurlesactifsdelentreprise..........................................................................................................................................28
Phase2:Vuetechnique:Identificationdesvulnrabilitsdelinfrastructure..................................29
Phase3:Dveloppementdelastratgiedescuritetplanification...............................................29
OCTAVE...............................................................................................................................................29
Phase1:Vueorganisationnelle..........................................................................................................29
Phase2:Vuetechnique......................................................................................................................30
Phase3:Dveloppementdelastratgie...........................................................................................30
OCTAVES............................................................................................................................................31
Phase1:Vueorganisationnelle..........................................................................................................31
Phase2:Vuetechnique......................................................................................................................31
Phase3:Dveloppementdelastratgie...........................................................................................31
4.3OUTILS...............................................................................................................................................32
OCTAVE...............................................................................................................................................32
OCTAVES............................................................................................................................................32
5.ITGrundschutz........................................................................................................................................33
5.1OBJECTIFS..........................................................................................................................................33
5.2PROCESSUS........................................................................................................................................34
Lestandard1002:lamthodologiedelITGrundschutz..................................................................35
Etape1:InitialisationduprocessusdescuritIT..............................................................................36
Etape2:Productionduconceptdescurit......................................................................................36
Etape3:Implmentationduconceptdescurit.............................................................................36
Etape4:Maintienetamlioration.....................................................................................................36
5.3OUTILS...............................................................................................................................................37
Synthse......................................................................................................................................................39
Tabledesfigures.........................................................................................................................................41
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 5
ACRONYMES
BSIBundesamtfrSicherheitinderInformationstechnik
CERT/CCComputerEmergencyResponseTeam/ CoordinationCenter
CLUSIFCLUbdelaScuritdel'InformationFranais
DCSSIDirectionCentraledelaScuritdesSystmesdInformation
EBIOSExpressiondesBesoinsetIdentificationdesObjectifsdeScurit
FEROSFiched'ExpressionRationnelledesObjectifsdeScurit
ISOInternationalStandardizationOrganization
MAMthodesdAttaque
MEHARIMEthodeHarmonised'AnalysedeRisques
OCTAVEOperationallyCriticalThreat,Asset,andVulnerabilityEvaluation
PPProtectionProfile
PSSIPolitiquedescuritdessystmesdinformation
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 6
RSSIResponsabledelaScuritdesSystmesdInformation
SEMSurvivableEnterpriseManagement
SISystmedInformation
SSIScuritdesSystmesdInformation
SSICScuritdesSystmesdelInformationetdelaCommunication
STSecurityTarget
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 7
Introduction
Denosjours,lesorganismessontdpendantsdesperformancesduSI(SystmedInformation).Celuicicontienttouteslesdonnesstratgiquesetestainsidevenulecentrenvralgiquedelentreprise.CettedpendanceauSIentrainedesrisques,quipeuventremettreencauselaprennitdel'entreprise.
L'analyse de risque permet d'identifier les dangers induits par les applications et les systmesinformatiques,d'valuer lesrisquesetdedfinirdesbarriresdeprotectionquivont lesrduiredesniveauxacceptables.
Lesmthodesdegestiondes risquessontnombreuseset leursapprochespeuventtrediffrentes. Ilnexistepasdebonneoudemauvaisemthodedegestiondesrisques,puisquilyaunegrandediversitdanslesactivits,danslesenjeuxetdanslesapprochesdelascurit.
Danscedocument,sontprsents:
La norme internationale ISO/IEC 27005 qui traite de la gestion des risques des SI (SystmedInformation)
Les mthodes les plus utilises savoir EBIOS (Expression des Besoins et Identification desObjectifsdeScurit),MEHARI(MthodeHarmonised'AnalysedeRIsques),OCTAVE/OCTAVES(OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation/Small)etITGrundschutz
Pourchacunedelles, lesobjectifs, lesprocessuset lesoutilsassocisauxmthodessontprsentsdemanireenfaciliterlacomparaison.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 8
1. ISO/IEC27005
1.1OBJECTIFS
L'ISO/IEC27005(InternationalStandardizationOrganization)donnedeslignesdirectricespourgrerlesrisques en scurit de l'information. La norme taye les concepts gnraux spcifis dans lISO/IEC27001.
Elle a pour but daider mettre en uvre lISO/IEC 27001, la norme relative aux Systmes deManagementdelaScuritdelInformation(SMSI),pourlapartiegestiondurisque.Pourcomprendrecettenorme internationale, ilest importantde connatre les concepts,modles,processuset termesexpossdanslISO/IEC27001etl'ISO/IEC27002(Codedebonnepratiquepourlagestiondelascuritdelinformation).
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 9
1.2PROCESSUS
Figure 1-Processus ISO/IEC 27005
Leprocessusdegestiondurisqueenscuritdel'informationsedcomposecommesuit:
Dfinitionducontexte Identificationdurisque Estimationdurisque Evaluationdurisque Traitementdurisque
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 10
Toutefois, l'ISO/IEC 27005 ne donne aucune mthodologie spcifique. Il appartient chaqueorganisationdeprcisersonapproche,en fonctionduprimtreduSMSI,ducontextedegestiondurisqueoudusecteurdactivit.
1.3OUTIL
LoutillogicielleplusconnupourlanormeISO/IEC27005estSCOREISMS(outilpayantetdisponiblesurlemarch)qui supporteactuellementEBIOS,MEHARI,AS/NZS4360prpare lintgrationde lISO/IEC27005.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 11
2. EBIOS
2.1OBJECTIFS
LamthodeEBIOS(ExpressiondesBesoinsetIdentificationdesObjectifsdeScurit),estunemthodedapprciation et de traitement des risques, mais galement un outil dassistance la matrisedouvrage. La mthode peut couvrir aussi bien un systme dj existant que sinscrire dans unedmarchedamlioration.LadmarcheproposeparEBIOSapporteunevisionglobaleetcohrentedelaSSIC(ScuritdesSystmesde lInformationetde laCommunication).Ellefournitunvocabulaireetdesconceptscommuns,ellepermetd'treexhaustifetdedterminerdesobjectifsdescuritadaptsau travers de cinq tapes. Elle permet aussi dimpliquer lensemble des acteurs du SI dans laproblmatiquedescurit.
De plus, un logiciel libre distribu gratuitement par la DCSSI (Direction Centrale de la Scurit desSystmesdInformation)permetdefaciliterunetudeEBIOS.Ilpermeteneffetdeconsignerl'ensembledesrsultatsd'unetudeetdeproduirelesdocumentsdesynthsencessaires.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 12
2.2PROCESSUS
Figure 2-La dmarche EBIOS
Etudeducontexte
Expressiondesbesoinsdescurit
Identificationdesobjectifsde
scurit
Etudedesmenaces
Expressiondesexigencesdescurit
Pralable
Rsultats
Etudedelorganisme
Etudedusystmecible
Dterminationdelacibledel'tude
scurit
Ralisationdesfichesdebesoins
Etudedesvulnrabilits
Etudedesoriginesdesmenaces
Formalisationdesmenaces
Synthsedesfichesdebesoins
Formalisationdesobjectifsdescurit
Confrontationdesmenacesaux
besoins
Dterminationdesminimumsde
scurit
Exigencesfonctionnelles
Exigencesdassurance
1
2 3
4
5
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 13
Pralable
Idalement l'tude EBIOS s'appuie sur diffrents documents, existants ou dfinir, relatifs l'organisme,sonsystmed'informationetausystmetudier.Parexemple leschmadirecteurdel'organisme,laPSSI(PolitiquedeScuritdesSystmesdInformation)etlesspcificationsgnralesdusystme.
Etape1:Etudeducontexte
Activit1.1:Etudedelorganisme
Cetteactivitconsistedfinirlecadredel'tude,identifierglobalementlesystmecibleetlesituerdanssonenvironnementpourdterminerprcismentlacibledel'tudedescurit.Desinformationsgnralessur lorganismeconcernpar leprojetdescuritdoiventdonctreruniesdans lebutdemieux apprcier sa nature, son organisation et les contraintes qui psent sur celuici. Il est aussincessaire d'obtenir une vision fonctionnelle du systme d'information de l'organisme. Le cadrerglementairenedoitgalementpastreoubli.
Activit1.2:Etudedusystmecible
Cetteactivitapourbutdeprciser lecontexted'utilisationdusystmeconcevoirouexistant.Ellepermetnotammentdeprciserpourlesystmelesenjeux,lecontextedesonutilisation,lesmissionsouservicesqu'ildoitrendreetlesmoyensutiliss.Pourcela,ilestncessairedeprciserlesousensembledu systme d'information de l'organisme constituant le systme cible de ltude et ses enjeux. Lesystmecibleestalorsdcritetsontrecensesleshypothses,lesrglesdescuritetsescontraintes.
Activit1.3:Dterminationdelacibledel'tudescurit
Cette activit a pour but de recenser et dcrire les entits sur lesquelles reposent les lmentsessentielsdusystmecible(fonctionsetinformations).
Etape2:Expressiondesobjectifsdescurit
Activit2.1:Ralisationdesfichesdebesoin
Elles permettront aux utilisateurs d'exprimer les besoins de scurit des lments qu'ilsmanipulenthabituellementdanslecadredeleuractivit,d'unemanireobjectiveetcohrenteselonlesexigencesoprationnellesdusystmeetnonselon lessolutionstechniques. Ils'agitd'uneactivitcontribuantl'estimation des risques et la dfinition des critres de risques dans le processus de gestion desrisques. On tudiera donc particulirement les impacts dus au nonrespect des besoins de scuritexprims.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 14
Activit2.2:Synthsedesbesoinsdescurit
Cetteactivitapourbutd'affecterauxlmentsessentiels lesbesoinsdescuritquirsultentde lasynthsedesvaleursattribuesparlesutilisateurs.l'issuedecetteactivit,ilserapossiblededisposerd'unevisionobjectiveetcohrentedesbesoinsdescuritdusystmecible.
Etape3:Etudedesmenaces
Cettetapeapourobjectifladterminationdesmenacespesantsurlesystme.
Activit3.1:Etudedesoriginesdesmenaces
Cetteactivitapourbutdeslectionner lesmthodesd'attaquequisontpertinentespour lesystmecible.Chacunedesmthodesd'attaqueestcaractriseparlescritresdescuritqu'ellepeutaffecter.Elleestassociedeslmentsmenaantscaractrissselon leurtypeou leurcause.Si lesmthodesd'attaquecomposentdesrisquesrelspour lesystmecible, leniveaudesmesuresdescuritdevratrecohrentaveccepotentield'attaque.
Activit3.2:Etudedesvulnrabilits
Cetteactivitapourobjet ladterminationdesvulnrabilitsspcifiquesdusystmecible,provenantdescaractristiquesdesentitsqui lecomposent,etventuellement lacaractrisationdecellescientermesdeniveau.
Activit3.3:Formalisationdesmenaces
Cetteactivitapourbutdedterminerlesmenacespouvantaffecterlesystmecible.Ellesrsultentdel'associationdesmthodesd'attaque(activit3.1)auxvulnrabilitsretenues(activit3.2).l'issuedecette activit, il sera possible de disposer d'une vision objective et exhaustive des menaces rellespesantsurlesystmecible.
Etape4:Identificationdesbesoinsdescurit
Activit4.1:Confrontationdesmenacesauxbesoins
Cetteactivitapourbutdedterminer lesrisquesrelspesantsur lesystmecible.Laconfrontationdesmenacesauxbesoinsdescuritpermetderetenirethirarchiserlesrisquesquisontvritablementsusceptiblesdeporteratteinteauxlmentsessentiels.L'ensembledecesrisquesdevratrevalu,laplupartd'entreeuxdevanttrecouvertspardesobjectifsdescurit.
Activit4.2:Formalisationdesobjectifsdescurit
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 15
Cette activit a pour but de dterminer les objectifs de scurit permettant de couvrir les risques,conformmentladterminationdesniveauxdescurit.Lacompltudedelacouverturedesrisquespar lesobjectifsde scurit,enprenantencompte leshypothses, rglesde scuritetcontraintes,devratredmontre.
Activit4.3:Dterminationdesniveauxdescurit
Cetteactivitapourbutdedterminer leniveaudersistanceadquatpour lesobjectifsdescurit.Ellepermetgalementdechoisirleniveaudesexigencesdescuritd'assurance,cequipermetdtreenadquationaveclanormeISO/IEC15408(CritresCommuns).
Etape5:Dterminationdesexigencesdescurit
Activit5.1:Dterminationdesexigencesdescuritfonctionnelles
Cetteactivitapourbutdedterminer lesexigencesdescuritfonctionnellespermettantdecouvrirles objectifs de scurit identifis pour le systme cible. Elle permet de dcider de lamanire dontchaquerisqueidentifidevratretrait.
Activit5.2:Dterminationdesexigencesdescuritd'assurance
Cette activit a pour but l'expression complte des exigences de scurit dassurance de la cible del'tudedescurit.Ellessontslectionnesselon leniveaud'assurancechoisi lorsde ladterminationdesniveauxdescurit.Ellesconstituentlefondementdelaconfiancedanslefaitquunsystmeciblesatisfaitsesobjectifsdescurit.
RsultatsdunetudeEBIOS
Lamthodepermetdidentifierdesobjectifsetexigencesdescurit lasuiteduneapprciationderisques.Ellepermetdoncdecontribuerlaralisationd'unschmadirecteurSSI(ScuritdesSystmedInformation),dunePSSI,dunplandactionSSIC,d'uneFEROS (Fiched'ExpressionsRationnellesdesObjectifsdeScurit),duncahierdescharges,d'unPP(ProtectionProfile)oud'uneST(SecurityTarget)ausensdelISO/IEC15408.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 16
2.3OUTILS
IlexistecinqdocumentsdesupportEBIOSfournisdirectementparlaDCSSI.
UndocumentdIntroductionquiprsentelecontexte,l'intrtetlepositionnementdeladmarcheEBIOS.Ellecontientaussiunebibliographie,unglossaireetdesacronymes.
Undocument intitulDmarchequi expose ledroulementdes activitsde lamthode.Chaqueactivitestorganisede la faonsuivante:pralable,donnesenentre,actions,donnesensortie,conseilspratiques.Lestapessontprsentesdefaonclaireetaccompagnesdeschmas.
Le document appel Techniques est un guide daccompagnement qui contient desmoyens pourraliserunetudeEBIOS.Lesconceptsautourdechaqueactivitsontainsiprsentsplusavant.
Le document Outillage pour l'apprciation des risques SSI est la premire partie de la base deconnaissancedelamthode.Ellecontientunetypologiedestypesetsoustypesd'entitspouvanttresoumises une tude EBIOS. On y trouvera les mthodes d'attaque les plus rpandues avec leursprincipalesatteintessur lescritresdescurit(Confidentialit IntgritDisponibilit).Ladernirepartiedudocumentestunesynthsedesdeuxpartiesprcdentes,cestdirequelleprsentepourchaquetypeetsoustypes,lesmthodesdattaqueauxquelleslesentitssontexposes.
Type d'entits MA Vulnrabilit
RES 5 Supports accessibles des personnes non autorises
Figure 3-Exemple d'identification de risque pour une entit
LexemplecidessussignifiequelesentitsRES(rseaux)sontvulnrablesauxMA(mthodesdattaque)detype5,savoir ladestructiondematrielsoudesupports.Lavulnrabilitestemploye ici,si lessupportssontaccessiblesdespersonnesnonautorises.Lamthodedattaque5portantatteintelintgritetladisponibilit.Anoterquecedocumentestrutilislorsdesactivits1.3et3.1.
LedocumentOutillagepourletraitementdesrisquesSSI(indispensablepourlesactivits4.2et5.1)estladeuximepartiedelabasedeconnaissancedelamthode.Ellecontientenpremirepartieunebasedobjectifsde scurit gnriquespar typed'entits. La secondepartiepermet la compatibilitavecdeuxautresstandardsinternationaux:ISO/IEC15408etISO/IEC27002.Elleprsentelesexigencesde scurit fonctionnellesgnriquesproposesdans ces rfrentiels.Dautresexigencesde scuritfonctionnellessontgalementprsentes.Ladernirepartiedudocumentestunesynthsedesdeux
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 17
parties prcdentesmais aussi du document sur lapprciation des risques. Il prsente pour chaquevulnrabilitdechaquetypeetsoustypedentit,lesobjectifsetlesexigencesdescuritrduisantlavulnrabilit.
Silonreprendlexempleprcdent,celadonne:
Type d'entits MA Vulnrabilit
Objectif de scurit
Exigence de scurit
RES 5 Supports accessibles des personnes non autorises ORG_01 BPE_ZOS.2.1
RES 5 Supports accessibles des personnes non autorises ORG_01 BPE_SEM.1.1
RES 5 Supports accessibles des personnes non autorises ORG_01 CET_EGT.2.3
RES 5 Supports accessibles des personnes non autorises ORG_01 BPE_ZOS.1.1
Figure 4-Exemple de traitement des risques pour une entit
Lexemple cidessus signifie que les entits rseaux sont vulnrables auxMA de type 5, savoir ladestructiondematrielsoudesupports,silessupportssontaccessiblesdespersonnesnonautorises.Afindediminuerlavulnrabilit,ilestrecommanddaccomplirlobjectifdescuritORG_01.Silonserfreaucodecorrespondantcelasignifiequel'organisationdoitprotgerlesquipementsetsupportscontrel'accsphysiquepardespersonnesnonautorises.Celaveutdirequilfautremplirlesexigencesdescuritsuivantes:
BPE_ZOS.2.1:Leszonesdescuritdoiventtreprotgespardesmesuresdematriseappropriesl'entrepourfaireensortequeseullepersonnelautorispuisseyavoiraccs.
BPE_SEM.1.1 : Lematriel informatiquedoittre situetprotgde faon rduire les risquesprsents par les menaces et les dangers lis l'environnement et les occasions d'accs nonautoriss.
CET_EGT.2.3 :Apartirde sapriseen charge, l'interlocuteur interneest responsabled'un visiteurjusqu'sondpart.Ildoitnotamments'assurerquelavisitesedrouleenaccordaveclesprincipesdescuritnoncsdanslapolitiquedescurit.
BPE_ZOS.1.1:Lesorganismesdoiventutiliserdesprimtresdescuritpourprotgerleszonesquicontiennentdesinfrastructuresdetraitementdel'information.
Onpourra trouvergalementsur lesitede laDCSSIdans la rubriquelesmeilleurespratiques,desdocumentsdestinsformaliserlesrsultatsdunetudeEBIOSsousformed'unschmadirecteurSSI,dunePSSI,dunplandactionSSIC,d'uneFEROS,duncahierdescharges,d'unPP,d'uneST,etc.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 18
Logiciel
LamthodeEBIOSestgalementdisponiblesurCDROMsursimpledemande laDCSSI.CeCDROMcontientladocumentationetlelogicieldassistance.
CelogicielpermetdesimplifierlaralisationdunetudeEBIOS.Ilintgreainsitouteunesriedaidestrsintressantescommedesquestionnairesoudeslistesdecontraintes.DeplusilimplmentelabasedeconnaissanceEBIOS. IlpermetgalementdegnrerautomatiquementuneFEROSenfonctiondesdonnesdunetuderaliselaidedulogiciel.
LelogicieldassistanceproposegalementunexempledtudeEBIOSetunmoduledautoformation.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 19
Figure 5-Copie dcran du logiciel d'assistance la mthode EBIOS
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 20
Figure 6-Copie dcran du logiciel d'assistance la mthode EBIOS
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 21
3. MEHARI
3.1OBJECTIFS
MEHARIestutilispouraiderlesRSSI(ResponsabledelaScuritdesSystmesdInformation)dansleurtchedemanagementdelascuritdessystmesdinformation.
MEHARIestavanttoutunemthodedanalyseetdemanagementdesrisques.Enpratique,MEHARIetlensembledesesbasesdeconnaissancessontbtispourpermettreuneanalyseprcisedes risques,quandcelasera jugncessaire,sanspourautant imposer lanalysedesrisquescommeunepolitiquemajeuredemanagement.
3.2PROCESSUS
Pour cette partie il convient de se focaliser sur lanalyse des situations de risque qui est lun desprocessusdelamthodeMEHARI.
Figure 7-Processus MEHARI
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 22
Analysedessituationsderisque
Leprocessusdanalysedunesituationderisquecomprendunedmarchedebase,ventuellementassistepardesautomatismes,selonlamaniredontlasituationestdcriteetselonlexistenceounondunauditpralabledesservicesdescurit.
Figure 8-Processus d'analyse des risques
Etape1:EvaluationdelexpositionnaturelleCettetape sediviseendeuxparties.Toutdabord lexpositionnaturelle standardetdeuximementlexpositionnaturellespcifique.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 23
ExpositionnaturellestandardLes scnarios1de labasedeconnaissancesMEHARI se rfrentune liste limitedvnementsdebase,quilsagissedaccidents,derreursoudactesvolontaires,pourlesquelsunevaluationaprioridelexpositionestdonne.Parexemple,ilestestimquelexpositionnaturellestandardduneentrepriseunincendieestdeniveau2(pluttimprobable),unepannedquipementinformatiquedeniveau3(pluttprobable)etuneerreurpendantunprocessusdesaisiedeniveau4(trsprobable).Lalistedecesvnementsetdelexpositionnaturellestandardestdonneenannexe1delamthode.
ExpositionnaturellespcifiqueIl doit tre clair que lvaluation standard propose nest quune valuation par dfaut et quelvaluation directe de lexposition de lentreprise la situation de risque analyse est de loinprfrable.
Etape2:EvaluationdesfacteursdedissuasionetprventionLes facteurs de rduction tels que la dissuasion, la prvention, la protection, la palliation et larcupration sontproposspar lesbasesde connaissancesdeMEHARIen fonctionde laqualitdesservices de scurit si celleci a t value par un audit. La dfinition des niveaux de facteur derductionderisqueestdonneenannexe4delanorme.
Etape3:EvaluationdelapotentialitLa potentialit du risque reprsente, en quelque sorte, sa probabilit d'occurrence, bien que cetteoccurrencenesoitpasmodlisableentermesdeprobabilit.Cettepotentialitestfonctionducontexteetdesmesuresdescuritenplace.Lvaluationdelapotentialitestfaitesurunechellecomprenant4niveaux,prsentsciaprs.
chelledepotentialitNiveau4:TrsprobableA ce niveau, il est raisonnable de penser que le scnario se produira trs certainement etvraisemblablementcourtterme.Quandlerisquesurvient,personnenestsurpris.Niveau3:ProbableIlsagit ldesscnariosdont ilestraisonnabledepenserquilspourraientbienseproduire,plusoumoins court terme. Lespoirque le risquene surviennepasnestpas insensmaisdnoteun certainoptimisme.Lasurvenancedurisquedoit,maisnesurprendpas.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 24
Niveau2:ImprobableIlsagitldescnariosdontilestraisonnabledepenserquilsnesurviendrontpas.Lexpriencepassemontredailleursquilsnesontpassurvenus.Ilsdemeurentnanmoinspossiblesetnesontpascompltementinvraisemblables.Niveau1:TrsimprobableAceniveau,loccurrencedurisqueesttoutfaitimprobable.Detelsscnariosnesontpasstrictementimpossiblescarilexistetoujoursuneinfimeprobabilitpourquecelaseproduise.Niveau0:NonenvisagLes scnarios rellement impossibles nont pas faire partie de la base des scnarios tudier. Ceniveauestutilispourclasserlesscnariosquelorganisationadciddenepasanalyser.
Etape4:EvaluationdelimpactintrinsqueLimpact intrinsqueestuneestimationmaximalistedesconsquencesdu risque,endehorsde toutemesuredescurit.Ladmarchedvaluationdes impacts intrinsquesconsisterempliruntableaudimpact intrinsque,bassurceluifournienAnnexe3delamthode,dontunextraitestdonncidessous.
Figure 9-Tableau d'impact intrinsque
Le remplissagedece tableau seffectueen transcrivant leniveaudeconsquenceduneatteinte ladisponibilit(D),lintgrit(I)oulaconfidentialit(C)dechaquetypederessourceidentifi(cependantcertaines cases nont pas tre remplies car cela naurait aucuns sens : par exemple lintgrit dupersonneldexploitation).
Etape5:Evaluationdesfacteursdeprotection,palliationetrcuprationMmeprocessusquepourltape2.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 25
Etape6:Evaluationdelarductiondimpact,valuationdelimpactLvaluationde larductiondimpactaussiappelSTATUSRIsefaitpartirdetroisautres indicateursappelsSTATUSdimpact (STATUSPROTpourprotection,STATUSPALLpourpalliation,STATUSRECUPpourrcupration)etenutilisantlagrillecorrespondantlanatureduscnario(Disponibilit,Intgrit,Confidentialit)Exemple:PrenonslescnarioAltrationdedonnesparerreurlorsdelasaisiequiestdenatureIntgrit.
Sinousavons:
STATUSPROT=2,STATUSPALL=2,STATUSRECUP=4
Selonlagrilleproposeenannexedelamthodeonobtient:
Figure 10-Grille de rduction d'impact
Larductiondimpactestgale3.
Etape7:EvaluationglobaledurisqueDans cette tape on dcide de la manire de grer le risque, en fonction de son impact et de sapotentialit:laccepter,lerefuserouletransfrer.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 26
Figure 11-Evaluation globale du risque
Enrsum Une situationde risquepeuttre caractriseparunepotentialitetun impact intrinsques,en
labsencedetoutemesuredescurit. PotentialitintrinsqueetImpactintrinsquepeuventtrevalus. Des mesures de scurit peuvent venir rduire ce risque intrinsque par le biais de facteurs
significatifsderductionderisque. Cesfacteursdattnuationderisquepeuventtrevalus. Sur la base de ces lments, il est possible dvaluer une potentialit et un impact rsiduels,
caractristiquesdurisque,etdendduireunindicateurdegravitderisque. MEHARIproposedesoutilsdassistancetoutaulongdeceprocessusdanalyseetdvaluation.
3.3OUTIL
RISICAREestuneapprocheassocieunoutillage,sappuyantsur lamthodeMEHARIetquipermetdamliorerlaproductivitetlajustessedunedmarchedegestiondesrisques.Cetoutilestpayantetdisponiblesurlemarch.
RISICAREsappuiesurlescaractristiquessuivantes:
LutilisationdelamthodeMEHARIdveloppeauseinduCLUSIF(CLUbdelaScuritdessystmesd'InformationFranais)commemodledanalysedesrisques
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 27
Lapossibilitdepersonnaliserlesbasesdeconnaissances,voiredeconstruiresespropresbasesdeconnaissances(RISIBASE)
Unerelationentreunauditdelexistantetlaquantificationdescnarios Llaborationdeplansdactionscohrentsoptimisantlarductiondelensembledesrisques Une aide en ligne trsdveloppe avec laccs un ensemblede rubriquesmthodologiques et
techniques Unoutilperformantetsimpleutiliser
Avantages:
Automatisation Rapidit Compltudedelanalyse Conu pour permettre une approche de diagnostic qui sadapte la taille et la complexit de
lorganisme
Inconvnient:
Il est essentiel de bien assimilerMEHARI pour utiliser cet outil, notamment en PME ou sonutilisation ncessite de savoir dfinir un primtre des processus clefs afin doptimiser ladmarcheetlesressources.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 28
OCTAVE/OCTAVES
4.1OBJECTIFS
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) est une mthodedvaluation des vulnrabilits et des menaces sur les actifs oprationnels. Ce sont ces actifsoprationnelset lespratiquesdescuritquiontdirig lorientationde lamthode.Elleagalementt conue pour tre mene par des membres internes une organisation, sans faire appel desspcialistesexternes.Cette techniquepermet,par lammeoccasion,damliorer la connaissancedelentreprise sur ses propres pratiques de scurit. Pour tre mene bien elle suppose donc lacompositiondunequipedanalysemultidisciplinaire.
4.2PROCESSUS
LapprocheOCTAVEestavanttoutbasesurlesactifsdelentreprise.Lquipedanalysedevradonc:
Identifierlesactifsdelentreprise Centrersonanalysedesrisquessurlesactifslespluscritiques Considrerlesrelationsentrecesactifsainsiquelesmenacesetlesvulnrabilitspesantsureux Evaluerlesrisquesdunpointdevueoprationnel Crerunestratgiedeprotectionbasesurdespratiques
Pouryparvenir,OCTAVEdfinitdonctroisphasescommelemontrelafigurecidessous.
Figure 12-Les phases principales d'OCTAVE
Phase1:Vueorganisationnelle:Constitutiondesprofilsdemenacesbasssurlesactifsdelentreprise
Cest une valuation avant tout organisationnelle. Il sagit de lidentification des ressourcesinformatiques importantes, de leurs menaces et des exigences de scurit associes.On value les
Prparation Phase1:vueorganisationnelle
Phase2:vuetechnologique
Phase3:dveloppementde
lastratgie
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 29
pratiques actuelles de lorganisation pour protger ces ressources critiques (si elles existent) et onidentifielesvulnrabilitssurcesressources.Ontudieensuitelesmenacesquipourraientlesexploiterpourdgagerensuiteunprofildemenace.
Phase2:Vuetechnique:Identificationdesvulnrabilitsdelinfrastructure
Cestunevaluationde linfrastructure informatique. Lquipedanalyse identifie lesmoyensdaccsauxactifs,dgagedesclassesdecomposantsquileursontrelis,pourfinalementdterminerlesclassesquisontdjrsistantesauxattaquesetcellesquidoiventtreamliores.
Phase3:Dveloppementdelastratgiedescuritetplanification
Lquipe danalyse procde une analyse des risques sur les actifs oprationnels et dcide dutraitementpossible.
OCTAVE
LamthodeOCTAVEsedcomposeen8processusrpartisdansles3phasesmajeuresdelamthode.
Phase1:Vueorganisationnelle
Processus1:Identificationdesconnaissancesparlescadressuprieurs
Le but est didentifier la vue que les dirigeants ont des actifs de lentreprise, les menaces qui syrattachent,lesimpratifsdescuritetcequiestactuellementfaitpourremplircesimpratifs.
Processus2:Identificationdesconnaissancesparlescadresdeloprationnel
Lebutestdidentifierlavuequelescadresontdesactifsoprationnelsdelentreprise,lesmenacesquisyrattachent,lesimpratifsdescuritetcequiestactuellementfaitpourremplircesimpratifs.
Processus3:Identificationdesconnaissancesparlesquipesdeproduction
LebutestdidentifierlavuequontlesquipesdeproductionetlquipeITdesactifsdelentreprise,lesmenacesquisy rattachent, les impratifsdescuritetcequiestactuellement faitpour remplircesimpratifs.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 30
Processus4:Crationdesprofilsdemenace
Lebutestdeconsoliderlesdonnesrecueillieslorsdestroisprocessusprcdentsetdedterminerlesressourcescritiquesdelentreprise,didentifierlesimpratifsdescuritetlesmenacesquipsentsurlesactifs.
Pourcrercesprofilsdemenace, ilexisteunguidecompletde lensembledesprofils.Ilestcertes loindtreexhaustifmaisilproposeunevueintressanteenarborescenceetuneclassificationparimpact.
Phase2:Vuetechnique
Processus5:Identificationdescomposantsclefs
Le but est ici didentifier les composants clefs pour chaque actif critique de lentreprise. Onslectionneraensuitelamthodeetlesoutilspourprocderlauditdesvulnrabilits.
Processus6:Evaluationdescomposantsslectionns
Lebutest icideprocderunauditdesvulnrabilitsdescomposantsslectionnsdans leprocessusprcdent.
Phase3:Dveloppementdelastratgie
Processus7:Analysedesrisques
Lebutestdidentifier les risques,dedfinirunemtriquepourvaluer ces risquesetdeprocdercettevaluationenutilisantlesprofilsdemenacedfinisaucoursduprocessus4.
Processus8:Dveloppements
Ceprocessussediviseendeuxparties:
PartieA:DveloppementdelastratgiedeprotectionLebutestdedfinirune stratgiedeprotection,unplandegestiondes risquesetune listedactionsmenercourtterme.
PartieB:SlectiondelastratgiedeprotectionLe but est ici dimpliquer les dirigeants dans la stratgie de protection et de dcider delimplmentationdescontremesuresretenues.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 31
OCTAVES
OCTAVES (Small) est une version rduite dOCTAVE destination des entreprises demoins de 100salaris.Onretrouveles3phasesprsentesciavant.Lesprocessussontallgsetlamthodeestainsiplusaccessibleuneorganisationdisposantdemoinsderessources.CommepourOCTAVE,lamthodeestbiendocumenteavecdesguidesdetravail,desconseilsetunexemplecomplet.
Phase1:Vueorganisationnelle
Processus1:Dgagerdesinformationssurlorganisation
Lebutestdtabliruncritred'valuationdimpact,didentifierlesactifsdel'organisationetdvaluerlespratiquesdescuritactuellesdel'organisation.
Processus2:Crerlesprofilsdemenace
Lebutestdeslectionnerdesactifscritiques,didentifierlesimpratifsdescuritpourlesactifsainsiquelesmenacesquipsentsurcesderniers.
Phase2:Vuetechnique
Processus3:Examinerl'infrastructureinformatiqueenrelationaveclesactifscritiques
Lebutest icidexaminer lesvoiesd'accsauxactifscritiquesde lentreprise.Onanalyseraensuite lesprocessusenrapportaveclatechnologie.
Phase3:Dveloppementdelastratgie
Processus4:Identifieretanalyserlesrisques
Le but est dvaluer l'impact des menaces, dtablir un critre de probabilit et enfin dvaluer laprobabilitd'occurrencedesmenaces.
Processus5:Dvelopperlastratgiedeprotectionetlesplansderductiondesrisques
Lebutestdedcrire la stratgie actuelle,de slectionner l'approchepour la gestion,didentifier leschangementsetlesactionsmener.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 32
4.3OUTILS
OCTAVE
Ladocumentationoffredesconseilssurlaprparationlamthode,commentslectionnersonquipedanalyse, choisir le primtre de ltude, identifier les participants clefs. Elle fournit galement unmodledeplanningetdesrfrencespourladaptationdelamthode.
Chaque processus fait ensuite lobjet dun volume spar (il en existe une vingtaine en tout). Onretrouverapour chaque processusun rsumdesobjectifs atteindre,des feuillesde travail, etundescriptifdesobjectifsremplir.Lamthodevajusqudfinirlesconceptsquelleabordeafinquedesnonspcialistespuissent lutiliser.Deplus, chaqueprocessus est galementprsent sous formedeprsentationlectroniquediffuserlquipe.
Par ailleurs, un exemple complet accompagne le lecteur tout au long de lamthode. Il concerne lascurisationduneclinique.
OCTAVES
Delammefaon,OCTAVESoffreunedocumentationexhaustive.AladiffrencedOCTAVEquifournitpluttunparcours,OCTAVESproposeunensembledechecklistsadaptesauxbesoinsdepluspetitesorganisations.Cestuneapprochepluspragmatique.
Le mme exemple que pour OCTAVE est propos, savoir une clinique, mais avec les checklistsdOCTAVES.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 33
5.ITGrundschutz
5.1OBJECTIFS
LITGrundschutz prsente une liste de mesures standards pour des SI gnriques. Le but de cesrecommandationsestdatteindreunniveaudescuritadquatepourlesSIayantunbesoindescuritnormaloulev.
LemanueldeLITGrundschutzcomprend:
Unedescriptiondunesituationpotentiellementdangereuse Desdescriptionsdtaillesdemesuresprendreafindefaciliterlamiseenuvre Unedescriptionduprocessusd'tablissementetdemaintiend'unniveaudescuritadquat Uneprocdure simplepourdterminer leniveaude scuritde linformationobtenu sous la
formed'unecomparaisondesrsultatscibles Cemanuel est gratuit, disponible tous et qui plus est actualis par linsertion tous les 6mois denouveaux modules. Il est galement possible de senregistrer gratuitement pour recevoir desinformationscomplmentairessurlamthode.CelapermetunchangeentreutilisateursetleBSIpourfairevoluerlemanuelenfonctiondesremarquesetbesoins.Deplus,desoutilslogicielsetdesguidessupplmentairessontdisponiblesetilestpossibled'trecertifi.
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 34
5.2PROCESSUS
PourlITGrundschutznousallonsnousfocalisersurlestandard1002mthodologie:
Figure 13-BSI standards
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 35
Lestandard1002:lamthodologiedelITGrundschutz
Figure 14-Processus de la mthodologie IT-Grundschutz
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 36
Etape1:InitialisationduprocessusdescuritIT
Pourraliseroumaintenirunniveauappropridescurit IT, ilestncessairedexigeruneapprocheplanifieetorganisemaisaussiunestructureorganisationnelleadquate. Ilest importantdedfinirdesobjectifsdescuritainsiquunestratgiepour lesraliser,quidoittrefondesurunprocessuscontinu.
Etape2:ProductionduconceptdescuritUn des objectifs de lITGrundschutz est de proposer une approche pragmatique et efficace laralisationd'unniveaudescuritITnormaletquipeutaussifournirlabasepourunniveaudescuritplus lev. Pour produire un concept de scurit IT, il faut tout dabord initialiser le processus descuritpuisdfinirlorganisationetlapolitiquedescuritmettreenplace.
Denombreusesrfrencessontfaitesauxcataloguesde lITGrundschutzetapportent lutilisateur labasedeconnaissancesncessairelamthodologie.
Le module 1 du catalogue de lITGrundschutz explique et dtaille les tapes dimplmentation duconceptdescurit,lestapessont:
AnalysedelastructureIT Dfinitiond'exigencesdeprotection Choixdemesuredescurit Contrledescuritbasic Analysedescuritsupplmentaire
Etape3:Implmentationduconceptdescurit
Cettesectionprsentelesaspectsquel'ondoitconsidrerpourimplmenterleconceptdescurit.Onretrouveicicommentmettreenuvrelesmesuresdescurit,lesplanifier,lesexcuter,lessurveilleret les contrler.Depuis 2003, loffice fdral de la scurit de linformation propose un systme decertification suivant le rgime prvu par lITGrundschutz, grce auquel il est possible de vrifier leniveaudescuritdel'informationrellementatteint.
Etape4:MaintienetamliorationCettetapepermetdegarantiruneamliorationcontinueduniveaudescurit,grce:
Desrapportsdedtectiondincidents
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 37
Destestsdesimulationdincidents Desauditsinternesetexternes Unecertificationdeconformitdescritresdescurit
5.3OUTILS
Pourfaciliterlaslectiondescontremesuresmettreenplace,leBSI(BundesamtfrSicherheitinderInformationstechnik)proposeunoutilsharewareGSTOOL,qui fournitcetteslectionenspcifiantsoninfrastructureIT.
Figure 15-Copie d'cran du logiciel GSTOOL
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 38
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 39
SynthsePourconclure,letableausuivantmetenvidencelesavantagesetinconvnientsdechaquemthode.
Avantages Inconvnients
ISO/CEI27005 Dmarcheflexible Neconstituepasunguide
EBIOS Dmarchetrslogique Traitementdesexigences Logiciel Basesdeconnaissances SoutenueparlaDCSSI Trsreconnue
Distinguepeu loprationneldu restedelorganisation
Difficile dutilisation pour un novicedelascurit
MEHARI Logiciel ConuparleCLUSIF Reconnue
Mthodepotentiellementlourde
OCTAVE /OCTAVES
Orientemtier Accessibletous Documentationtrscomplte Cataloguedepratiques VarianteSpourlesPME Soutenue par le CERT/CC
(Computer Emergency ResponseTeam/ CoordinationCenter
Netraitepaslesexigences
ITGrundschutz Dmarchesimple,innovante Rapiditdemiseenuvre Trsaccessible
Nonexhaustive Netraitepaslesexigences Peuformelle
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 40
Misejourfrquente SoutenueparlUnionEuropenne Enpleineexpansion Certificationpossible
Figure 16-Tableau de synthse
EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME
CITI
Version2009 41
Tabledesfigures
Figure1ProcessusISO/IEC27005................................................................................................................9
Figure2LadmarcheEBIOS.......................................................................................................................12
Figure3Exempled'identificationderisquepouruneentit.....................................................................16
Figure4Exempledetraitementdesrisquespouruneentit....................................................................17
Figure5Copiedcrandulogicield'assistancelamthodeEBIOS..........................................................19
Figure6Copiedcrandulogicield'assistancelamthodeEBIOS..........................................................20
Figure7ProcessusMEHARI........................................................................................................................21
Figure8Processusd'analysedesrisques...................................................................................................22
Figure9Tableaud'impactintrinsque.......................................................................................................24
Figure10Grillederductiond'impact.......................................................................................................25
Figure11Evaluationglobaledurisque......................................................................................................26
Figure12Lesphasesprincipalesd'OCTAVE...............................................................................................28
Figure13BSIstandards..............................................................................................................................34
Figure14ProcessusdelamthodologieITGrundschutz..........................................................................35
Figure15Copied'crandulogicielGSTOOL...............................................................................................37
Figure16Tableaudesynthse...................................................................................................................40