Universit Hassan 1er

Facult des Sciences et Techniques

Settat

Etude
comparative
des mthodes
d'audit dans un

Comparatif des mthodes daudit

Anne universitaire 2015 - 2016

Comparatif des mthodes daudit

Sommaire
Introduction..................................................................................................3
Menaces et risques......................................................................................4
Politique de scurit.....................................................................................4
Audit............................................................................................................5
Diffrence entre une mthode et une norme...............................................5
Pourquoi une norme ?..................................................................................5
La norme ISO 27002....................................................................................6
1. Historique............................................................................................6
2. Objectifs..............................................................................................7
3. Contenu de la norme...........................................................................7
Prsentation des mthodes........................................................................13
1. EBIOS................................................................................................13
2. Melisa................................................................................................15
3. Marion...............................................................................................15
4. Mehari...............................................................................................18
Comparatif des mthodes..........................................................................20
Critres de choix........................................................................................23
Conclusion..................................................................................................24
Bibliographie..............................................................................................25
Webographie..............................................................................................25
Liste des tableaux......................................................................................25
Liste de figures..........................................................................................25

Comparatif des mthodes daudit

Introduction
Aujourdhui, le monde de la scurit dinformation joue un rle capital
dans la stratgie dentreprise. Depuis le dbut de la crise, beaucoup de
chose ont chang, tant au niveau des mentalits que des ressources
techniques et humaines engages dans la scurit par les entreprises.
Il est toutefois difficilement concevable lheure actuelle dimaginer
mettre en place des rgles et des instruments destins assurer la
scurit de linformation sans se baser sur des outils spcifiquement
conus cet effet, tant les systmes et leurs interactions sont devenu
complexes. Il est aujourdhui acquis quune entreprise se doit de
considrer sa structure de manire systmique, et chaque secteur
indpendamment. Cest l quinterviennent les normes et mthodes,
vritables salvatrices des responsables de la scurit des SI.
Mais quelle sont-elles rellement ? Dans quel cadre et comment les
utiliser ? Sont-elles toutes ncessaires ? Peut-on les classer ou les dissocier
les unes des autres ?
Cest dans le but de rpondre ces questions que nous devions raliser un
comparatif global et une prsentation de ces normes et mthodes savoir
:

EBIOS
MEHARI
MELISA
MARION
ISO 27002 2005 / ISO 27002 2013

Suite cette analyse, nous serons tre capables de rpondre aux deux
problmatiques suivantes :

En quoi ces mthodes constituent un moyen de consolider le fait

quil sagit bien de scurit ?

Quelle mthode choisir ?

Comparatif des mthodes daudit

Menaces et risques
Le risque est au centre des mthodes danalyse de scurit cest pour cela
quil ne faut pas confondre risque et menace : La menace est une atteinte
potentielle la scurit dun systme. La prvention a pour but de
diminuer le degr dexposition dun systme la menace. Le risque est la
concrtisation de la menace sous la forme dagressions et de sinistre
entranant ainsi des pertes ou plus gnralement des prjudices ou des
dommages.
Les causes de ces sinistres peuvent tre de diffrentes natures, il peut
sagir notamment de pannes, dvnements naturels, de vol de donnes,
dinfection par virus etc. ... Il faut tre en mesure de mettre en place des
procdures pour raliser dans des dlais acceptables une reprise dactivit
(PRA, PRS).Comment scuriser les systmes. Tenter de scuriser un
systme d'information revient essayer de se protger contre les risques
lis l'informatique pouvant avoir un impact sur la scurit de celui-ci, ou
des informations qu'il traite. Afin de scuriser les Systmes dinformation
nous pouvons donc avoir recours des mthodes ou des best practice
selon les besoins en scurit engendrs par le SI. En effet, nous nous
tournerons vers des mthodes diffrentes selon le contexte dans lequel
nous voluerons. De nombreuses questions permettront de dfinir sil faut
se pencher sur une analyse, une mthode, ou des rgles de bonnes
conduites. Certains systmes sont dits scuriss, mais ne respectent pas
les lments de bases lis la scurit (par exemple la rdaction de
procdures de scurit qui doivent tre analyses par des quipes
spcialises et amliores ds que possible) : donc dans ces cas-l il
vaudra peut-tre mieux envisager une analyse par le haut (objet du best
practice).Dans le cas dune organisation nouvelle, ou dune organisation
qui ne possde pas rellement de stratgie ou de politique de scurit, il
faudra envisager une analyse par le bas (objet de la mthode ou du
parcours).

Comparatif des mthodes daudit

Politique de scurit
Une politique de scurit peut tre vue comme l'ensemble des modles
d'organisation, des procdures et des bonnes pratiques techniques
permettant d'assurer la scurit du systme d'information.
Mais qu'est-ce que la scurit d'un SI ? Elle tourne autour des 5 principaux
concepts

suivants

l'information

et

l'intgrit

des

des

changes,

donnes,
la

la

confidentialit

disponibilit

des

de

services,

l'authentification des utilisateurs et la non rpudiation des transactions.

Pour garantir la scurit, une politique de scurit est gnralement
organise autour de 3 axes majeurs: la scurit physique des installations,
la scurit logique du systme d'information et la sensibilisation des
utilisateurs aux contraintes de scurit.

Audit
Un audit de scurit permet de mettre en vidence les faiblesses de la
mise en uvre d'une politique de scurit. Le problme peut venir de la
politique

elle-mme

mal

conue

ou

inadapte

aux

besoins

de

l'entreprise, ou bien d'erreurs quant sa mise en application.

Des audits sont ncessaires : suite la mise en place initiale d'une
politique de scurit, puis rgulirement pour s'assurer que les mesures
de scurit sont mises niveau et que les usages restent conformes aux
procdures.
Seront abordes ici les principales mthodes employes en Europe et en
Amrique du Nord.

Diffrence entre une mthode et une norme

Une norme peut tre dfinie ainsi : cest un document de rfrence bas
sur un consensus couvrant un large intrt industriel ou conomique et
tabli par un processus volontaire.

Comparatif des mthodes daudit

la diffrence, une mthode est un moyen darriver efficacement un

rsultat souhait, prcis. Mais une mthode nintgre pas la notion de
document de rfrence, ni la notion de consensus.
Il ne faut donc pas opposer norme et mthode, mais plutt les associer,
une mthode sera loutil utilis pour satisfaire une norme. Ainsi pour
mettre en uvre efficacement la norme ISO27002, il faut sappuyer sur
une mthode de gestion des risques de type MEHARI, MARION, EBIOS,

Pourquoi une norme ?

Les mthodes existantes de scurit de linformation qu'elles soient
prives (Marion, Mehari, ..) ou publics (EBIOS, ), ne constituent pas un
label de confiance pour la scurit globale de l'entreprise, lis leur
dimension locale et leur faible prennit et volutivit. C'est pour rpondre
ce besoin de confiance globale de lconomie numrique, qu'ont t
lancs des travaux pour tablir des standards internationaux dans la
scurit de linformation. Des entreprises ayant de nombreux changes de
donnes avec dautres socits (nationales ou internationales) ou avec de
nombreux partenaires et clients ont senti depuis une dizaine dannes la
ncessit

de

s'accorder

sur

des

normes

pour

aider

scuriser

linformation et les processus dchanges. C'est cet objectif, justement, qui

a prsid la cration de cette norme ISO17799 actuellement ISO 27002.
Cette norme a pour objectif dtablir un label de confiance pour la scurit
globale de linformation de l'entreprise

La norme ISO 27002

1. Historique

En 1995, le standard britannique "BS 7799" qui fut cr par le

"British Standard Institue" (BSI) dfinit des mesures de scurit

dtailles.
En 1998, le BSI scinde le premier document en deux tomes : le BS
7799-1 correspondant aux codes des bonnes pratiques, et le BS

Comparatif des mthodes daudit

7799-2 correspondant aux spcifications d'un systme de gestion

de la scurit de l'information (SMSI).

En 2000, l'Organisation internationale de normalisation (ISO) dite
la norme ISO/CEI 17799:2000 correspondant aux codes des

bonnes pratiques issues de la BS 7799.

En 2005, deux normes sont dites :
ISO/CEI 17799:2005 qui remanie les domaines et objectifs,
ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la

possibilit de certification.
En 2007, la norme ISO/CEI 17799:2005 tant obsolte, a t

remplace par la norme 27002 qui en reprend l'essentiel.

En 2013, la norme a t mise jour et son titre a t modifi. Elle
a connu de nombreuses modifications telles que :
ISO 27002:2005

ISO 27002:2013

11 Chapitres +4

14 Chapitres +4

39 Objectifs de scurit

35 Objectifs de scurit

133 Mesures de scurit

113 Mesures de scurit

La rvision 2013 de la norme internationale permettra aux entreprises de

toutes tailles et secteurs d'accueillir l'volution rapide et la complexit
accrue du management des informations et le dfi constant que
reprsente la cyberscurit.
2. Objectifs
ISO/CEI 27002 est plus un code de pratique, quune vritable norme ou
quune spcification formelle telle que lISO/CEI 27001. Elle prsente une
srie de contrles (35 objectifs de contrle) qui suggrent de tenir compte
des risques de scurit de informations relatives la confidentialit,
l'intgrit et les aspects de disponibilit. Les entreprises qui adoptent
l'ISO/CEI 27002 doivent valuer leurs propres risques de scurit de
l'information et appliquer les contrles appropris, en utilisant la norme
pour orienter lentreprise. La norme ISO 27002 n'est pas une norme au
sens habituel du terme. En effet, ce nest pas une norme de nature
technique, technologique ou oriente produit, ou une mthodologie
d'valuation d'quipement telle que les critres communs CC/ISO 15408.
4

Comparatif des mthodes daudit

Elle na pas de caractre d'obligation, elle namne pas de certification, ce

domaine tant couvert par la norme ISO/CEI 27001.
3. Contenu de la norme
La norme ISO/CEI 27002 est compos de 18 chapitres dont les 4 premiers
introduisent

la

norme

et

les

11

chapitres

suivants

couvrent

le

management de la scurit aussi bien dans ses aspects stratgiques que

dans ses aspects oprationnels.
a. Chapitre n 1 : Champ d'application
La norme donne des recommandations pour la gestion de la scurit des
informations pour ceux qui sont chargs de concevoir, mettre en uvre ou
maintenir la scurit.
b. Chapitre n 2 : Termes et dfinitions
Scurit

de

l'information

est

explicitement

dfinie

comme

la

prservation de la confidentialit, l'intgrit et la disponibilit de

l'information. Ceux-ci et d'autres termes connexes sont dfinies plus loin.
c. Chapitre n 3 : Structure de la prsente norme
Cette page explique que la norme contient des objectifs de contrle.
d. Chapitre n 4 : valuation des risques et de traitement
ISO/CEI 27002 couvre le sujet de la gestion des risques. Elle donne des
directives

gnrales

sur

la

slection

et

l'utilisation

de

mthodes

appropries pour analyser les risques pour la scurit des informations ;

elle ne prescrit pas une mthode spcifique, puisque celle-ci doit tre
approprie selon le contexte.
e. Chapitre n 5 : Politique de scurit de l'information
Il existe deux mesures de scurit. Elles concernent la composition de la
politique de scurit et sa revue priodique. Il sagit de rsumer les points
des articles quatre et cinq de la norme ISO 27001. Ensuite lISO 27002
conseille daborder chaque domaine relatif la scurit. voquer chaque
chapitre de la norme.

Comparatif des mthodes daudit

f. Chapitre n 6 : Organisation de la scurit de l'information

Il nexiste aucuns liens particuliers entre les diffrentes mesures de
scurit abordes dans ce chapitre. Elles sont toutes organisationnelles.

Rpartition des rles et responsabilits : une mesure conseille de

rpartir clairement les rles et responsabilits en matire de
scurit. Il est galement possible, selon la norme, didentifier les

responsables pour les principaux actifs.

Sparation des tches : la norme recommande la sparation des
tches dans le but de prvenir les risques de fraude et/ou de
modifications illicites. Cette recommandation est trs rpandue dans

le domaine financier.
Relations avec les autorits : un grand nombre dorganismes sont
tenus davoir des relations avec les autorits. Ces relations doivent
tre formalises et entretenues. Les autorits avec lesquelles il faut

tre en contact varient en fonction de lactivit de lorganisme.

Relations avec les groupes de travail spcialiss : il est conseill de
participer des forums professionnels abordant les questions de
scurit. Cela permet dchanger les expriences et damliorer le

niveau gnral de scurit.

Gestion de projet : il est recommand par la norme dintgrer la
scurit dans la gestion de projet. Le conseil donn est dapprcier

les risques puis dintgrer des points scurit tous.

Mobilit et tltravail : cette mesure aborde les questions de la
mobilit malgr sont aspect technique. Cette mesure a pris de
limportance

avec

le

dveloppement

des

parcs

mobiles

(smartphones, tablettes).
g. Chapitre n 7 : Scurit des ressources humaines
Il existe un certains nombres de mesures de scurit prendre auprs du
personnel avant son embauche, pendant sa prsence dans lorganisme,
puis son dpart :

Avant lembauche : il est souhaitable de prciser des critres de

slection avant lembauche en matire de comptence gnrales et
comptences en scurit ncessaire pour chaque post. La norme

Comparatif des mthodes daudit

conseil, de plus, de formaliser dans les contrats de travail les

engagements du futur salari en matire de scurit.

Pendant la dure du contrat : la direction doit faire en sorte que tout
le monde adopte un comportement adquat par rapport la scurit

de linformation.
Publication dune charte destine aux utilisateurs,
Concevoir et formaliser un processus disciplinaire afin de recadrer le

personnel.
Au dpart du personnel : la norme conseil de clarifier autant que
possible les rgles de scurit qui seront applicables au salari,
mme quand il aura quitt lentreprise.

h. Chapitre n 8 : Gestion des actifs

Ce chapitre aborde les actifs dinformation au sens large du terme comme
les supports physiques.

Responsabilits relatives aux actifs : la norme recommande de

dresser un inventaire des actifs dinformation (lments important
en matire dinformation). Elle conseil ensuite de prciser, pour

chaque actif, quelle est son utilisation nominale.

Classification de linformation : cette partie

recommande

de

classifier linformation. Cela met en vidence les actifs les plus

sensibles, dans le but de mieux les protger.

Manipulation des supports : cette mesure rappelle quil est prudent
de bien penser les procdures de manipulation des supports
amovibles. La norme rappelle quil convient de prvoir une
procdure de destruction ou deffacement des donnes lorsque les
supports amovibles sont en fin de vie.

i. Chapitre n 9 : Contrle daccs

Lobjectif de cette catgorie est de contrler laccs aux informations des
installations de traitement, dinformation et des processus commerciaux.
j. Chapitre n 10 : Cryptographie
Il existe deux mesures de scurit :

Comparatif des mthodes daudit

Politique de chiffrement : cette mesure conseille de chiffrer les

informations en fonction de leur sensibilit et chiffrer les changes

lorsque les liaisons ne sont pas considres comme sres.

Gestion des cls : les consquences lies la divulgation des cls ou
la perte de celles-ci sont telles quil convient de les protger de
faon

adquate.

Les

procdures

doivent

tre

correctement

formalises.
k. Chapitre n 11 : Scurit physique et environnementale
Mesure de scurit des salles machines et des autres locaux de
lorganisme :

Les salles machine doivent tre conu dans les rgles de lart,
Contrle daccs physique doit interdire laccs toute personnes

non habilites,
Protections contre les dsastres naturels, contre les attaques
malveillantes ainsi que contre les accidents.

Scurit des quipements :

Les services gnraux doivent tre exploits conformment aux

spcifications du fabricant. Le cblage rseau doit tre pos de telle

sorte quil soit difficile dintercepter les flux,

Le matriel doit tre maintenu rgulirement afin de prvenir des
pannes et de prvoir des procdures appropries en vue de la mise

au rebut, en fin de vie,

Les quipements laisss sans surveillance doivent tre protgs et
les postes de travail doivent tre automatiquement verrouills.

l. Chapitre n 12 : Scurit lie lexploitation

Ce chapitre aborde de trs nombreux domaine : voici les plus

importants :
Documentation

des

procdures

dexploitation :

la

norme

recommande de documenter les procdures dexploitation ainsi que

les conduites tenir en cas derreur.

Gestion des changements : cette mesure consiste planifier les
changements, en apprcier les risques et prvoir les procdures
de mise en uvre. Elles consistent aussi prvoir des retours en
4

Comparatif des mthodes daudit

arrire en cas de problme, de vrifier que tous les acteurs

impliqus sont informs et que les diffrents responsables ont donn

leur accord pour le changement.

Dimensionnement du systme : des mesures doivent tre prises
pour garantir la capacit de traitement du SI. Il faut galement
vrifier que les nouveaux dispositifs ne vont pas consommer trop de
ressources et surveiller la charge du systme et de supprimer les

quipements et les donnes devenues inutiles.

Sparation des environnements : cette mesure consiste sparer
clairement

les

environnements

de

production

et

ceux

de

dveloppement. Cette norme recommande de ne pas placer

dinformations sensibles dans les bases de tests.

Protection contre les codes malveillants : la norme recommande
vivement le dploiement dantivirus, afin de prvenir les attaques

par code malveillant.

Sauvegardes : la norme donne des conseils sur les sauvegardes et
insiste sur le fait que des tests de restauration doivent tre raliss
priodiquement pour sassurer de lefficacit des processus de

sauvegarde.
Journalisation : la norme recommande de journaliser les vnements
jugs les plus pertinents. Elle conseille aussi de protger les
journaux

administrateurs.

Surveillance

de

lactivit

des

administrateurs.
Gestion des vulnrabilits techniques : cette mesure consiste
mettre en place une veille en vulnrabilits et appliquer dans un
dlai appropri tout correctif qui serait ncessaire.

m. Chapitre n 13 : Scurit des communications

Ce chapitre traite des mesures relatives la scurit des rseaux.

Scurit des services : Cette mesure recommande de spcifier avec

lentit qui fournit le service rseau les proprits du service rendu.
Cela concerne en autre la capacit des rseaux, leur dispositif de
continuit de service, mais galement les services supplmentaires
comme le filtrage, le chiffrement

Comparatif des mthodes daudit

Cloisonnement des rseaux : Le cloisonnement des diffrents

domaines de rseau est recommand (poste de travail, serveurs,

DMZ).
Transferts dinformation : Il est recommand de prendre des
dispositions techniques et organisationnelles pour scuriser les
changes

dinformation.

Une

des

mesures

recommande

au

personnel de ne pas tenir de conversations confidentielles dans les

lieux publics. Une autre mesure voque les prcautions prendre

dans la messagerie lectronique.

Engagement de confidentialit :

Il

est

conseill

de

disposer

dengagement de confidentialit.
n. Chapitre n 14 : Acquisition, dveloppement et maintenance des
systmes dinformation
Il est convenu de mettre en place des mesures pour assurer la scurit des
services rseaux. Les mesures de scurit recommandent de protger les
transactions contre les erreurs et les traitements incomplets. Concernant
les changements applicatifs, la norme rappelle les mesures lmentaires
(exemple :

le

fait

deffectuer

des

revues

techniques

aprs

les

changements).
o. Chapitre n 15 : Relations avec les fournisseurs
Il sagit dun des points le plus important de la norme.

Relations avec les fournisseurs : Il est conseill de rdiger une

politique de scurit destine aux fournisseurs, dinsrer des articles
relatifs la scurit des SI dans les contrats pour que les

fournisseurs sengagent dans le domaine.

Gestion de la prestation de service : Le fournisseur doit tre en
mesure dapporter la preuve quil respecte ses engagements en
matire de scurit.

p. Chapitre n 16 : Gestion des incidents lis la scurit de

linformatique
Ce chapitre voque toutes les mesures lies la gestion des incidents de
scurit de linformation.

Comparatif des mthodes daudit

Signalement des incidents : La norme a pour but dinciter les

utilisateurs du SI signaler tout incident.

Signalement des failles lies la scurit : Il est conseill de signaler

sans dlai toute vulnrabilit qui serait dtecte.

Apprciation des vnements et prise de dcision : La norme
recommande dtablir des critres pour valuer la gravit et par

consquence prendre les mesures adaptes.

Tirer les enseignements des incidents : Afin damliorer le processus
de gestion des incidents il est recommand dorganiser des retours

dexprience pour comprendre les causes des incidents.

Recueil des preuves : Il est trs important de collecter des preuves
de faon fiable en cas de poursuites judiciaires.

q. Chapitre n 17 : Aspects de la scurit de linformation dans la

gestion de la continuit dactivit
Il est recommand de raliser un plan de continuit (PCA) ou de reprise
(PRA), qui doit tre test et mis jour. De plus ce chapitre mentionne
quune catastrophe ne justifie pas de faire limpasse sur la scurit
(contrle daccs, chiffrement des donnes sensibles, protection des
donnes caractre personnel).
r. Chapitre n 18 : Conformit
Il est conseill didentifier les lgislations applicables dans le pays o se
situe lorganise. Des textes peuvent formuler des exigences concernant la
scurit des systmes dinformation que lorganisme se doit de respecter
sous peine de poursuites judiciaires ou de pnalits contractuelles. La
norme invite aussi les organismes mettre en place un processus de
gestion des licences ainsi que des dispositifs pour viter linstallation
illicite de logiciels. De plus la norme aborde la protection des donnes
caractre

personnel

et

la

cryptographie,

qui

doit

tre

utilise

conformment aux rglementations locales. La seconde partie du chapitre

prsente les mesures de scurit conseillant de faire auditer de faon
rgulire le Si tant du point de vue technique quorganisationnel.

Comparatif des mthodes daudit

Prsentation des mthodes

1. EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Scurit)
permet d'identifier les risques d'un SI et de proposer une politique de
scurit adapte aux besoin de l'entreprise (ou d'une administration). Elle
a t cre par la DCSSI (Direction Centrale de la Scurit des Systmes
d'Information), du Ministre de la Dfense (France). Elle est destine avant
tout aux administrations franaises et aux entreprises.
La mthode EBIOS se compose de 5 guides (Introduction, Dmarche,
Techniques,

Outillages)

et

d'un

logiciel

permettant

de

simplifier

l'application de la mthodologie explicite dans ces guides. Le logiciel libre

et gratuit (les sources sont disponibles) permet de simplifier l'application
de la mthode et d'automatiser la cration des documents de synthse. La
DCSSI possde un centre de formation o sont organiss des stages
destination des organismes publics franais. Un club d'utilisateurs EBIOS a
t cr en 2003 et constitue une communaut experte permettant le
partage des expriences. Une base de connaissances laquelle se
connecte le logiciel EBIOS permet d'avoir accs la description d'un
ensemble de vulnrabilits spcifiques, de contraintes de scurit, de
mthodes d'attaques. Elle peut tre enrichie via le logiciel.
La mthode EBIOS est dcoupe en 5 tapes :

Etude du contexte
Expression des besoins de scurit
Etude des menaces
Identification des objectifs de scurit
Dtermination des exigences de scurit

Comparatif des mthodes daudit

a. Dmarche EBIOS globale

Figure 1 : Dmarche globale de EBIOS

L'tude du contexte permet d'identifier quel systme d'information est la

cible de l'tude. Cette tape dlimite le primtre de l'tude : prsentation
de

l'entreprise,

architecture

du

systme

d'information,

contraintes

techniques et rglementaires, enjeux commerciaux. Mais est aussi tudi

le dtail des quipements, des logiciels et de l'organisation humaine de
l'entreprise.
L'expression des besoins de scurit permet d'estimer les risques et de
dfinir les critres de risque. Les utilisateurs du SI expriment durant cette
tape leurs besoins de scurit en fonction des impacts qu'ils jugent
inacceptables.
L'tude des menaces permet d'identifier les risques en fonction non plus
des besoins des utilisateurs mais en fonction de l'architecture technique
du systme d'information. Ainsi la liste des vulnrabilits et des types
d'attaques est dresse en fonction des matriels, de l'architecture rseau
et des logiciels employs. Et ce, quelles que soient leur origine (humaine,
matrielle, environnementale) et leur cause (accidentelle, dlibre).
L'identification des objectifs de scurit confronte les besoins de scurit
exprims et les menaces identifies afin de mettre en vidence les risques
contre lesquels le SI doit tre protg. Ces objectifs vont former un cahier
4

Comparatif des mthodes daudit

des charges de scurit qui traduira le choix fait sur le niveau de

rsistance aux menaces en fonction des exigences de scurit.
La dtermination des exigences de scurit permet de dterminer
jusqu'o on devra aller dans les exigences de scurit. Il est vident
qu'une entreprise ne peut faire face tout type de risques, certains
doivent tre accepts afin que le cot de la protection ne soit pas
exhorbitant. C'est notamment la stratgie de gestion du risque tel que
cela est dfini dans un plan de risque qui sera dtermin ici : accepter,
rduire ou refuser un risque. Cette stratgie est dcide en fonction du
cot des consquences du risque et de sa probabilit de survenue. La
justification argumente de ces exigences donne l'assurance d'une juste
valuation.
EBIOS fournit donc la mthode permettant de construire une politique de
scurit en fonction d'une analyse des risques qui repose sur le contexte
de l'entreprise et des vulnrabilits lies son SI.
2. Melisa
Melisa (Mthode d'valuation de la vulnrabilit rsiduelle des systmes
d'information) fut invente par Albert Harari au sein de la Direction
Gnrale de l'Armement (DGA/DCN) en France. Elle a t rachete par la
socit CF6 qui en a fait la promotion pendant de nombreuses annes.
Depuis le rachat de CF6 par Telindus, Melisa a t abandonne par ses
propritaires bien qu'elle fut largement utilise en France.
Melisa est une mthode assez lourde base sur un thsaurus de questions.
Elle a vocation tre utilise par de grandes entreprises.
3. Marion
Marion (Mthodologie d'Analyse de Risques Informatiques Oriente par
Niveaux) a t dveloppe par le CLUSIF dans les annes 1980 mais a t
abandonne en 1998 au profit de la mthode Mehari. C'est une mthode
d'audit de la scurit d'une entreprise, elle ne permet pas de mettre en

Comparatif des mthodes daudit

uvre une politique de scurit en tant que tel. A base d'un questionnaire,
elle donne une valuation chiffre du risque informatique.
Marion repose sur l'valuation des aspects organisationnels et techniques
de la scurit de l'entreprise auditer.
Elle utilise 27 indicateurs classs en 6 thmatiques. Chaque indicateur se
voit attribuer une note entre 0 (inscurit) et 4 (excellent), la valeur 3
indiquant une scurit correcte.
a. Thmatiques des indicateurs de la mthode Marion

Scurit organisationnelle
Scurit physique
Continuit
Organisation informatique
Scurit logique et exploitation
Scurit des applications

b. Phases de droulement de la mthode

Phases de la mthode Marion

Prparation
Audit des vulnrabilits
Analyse des risques
Plan d'action

La phase de prparation permet de dfinir les objectifs de scurit

atteindre ainsi que le champ d'action de l'audit et le dcoupage
fonctionnel du SI adopter pour simplifier la ralisation de l'tude.
L'audit des vulnrabilits consiste rpondre aux questionnaires. Ces
rponses donnes vont permettre de recenser les risques du SI et les
contraintes de l'entreprise. A l'issu de cet audit, sont construits une rosace
et un diagramme diffrentiel reprsentant respectivement la note
attribue

chacun

des

indicateurs

et

les

facteurs

de

risques

particulirement importants.

Comparatif des mthodes daudit

Figure 2: Rosace marion

La rosace prsente dans un cercle la valeur de chacun des 27 indicateurs.

Elle est un moyen de visualiser rapidement les points vulnrables du SI qui
doivent tre mieux protgs.

Figure 3 : Histogramme diffrentiel de MARION

L'histogramme diffrentiel est construit avec des barre reprsentant

l'loignement de chaque valeur d'indicateur la valeur de rfrence 3. Cet
loignement est pondr avec l'importance donn au facteur mesur. Les
indicateurs de valeur gale ou suprieure 3 ne sont pas reprsents. On
visualise ainsi les vulnrabilits du SI en fonction de leur criticits
relatives.
L'analyse des risques permet de classer les risques selon leur criticit (en
classes : Risques Majeurs et Risques Simples). Elle procde au dcoupage
fonctionnel du SI pour une analyse dtaille des menaces, de leur impact
respectif et de leur probabilit. La mthode Marion dfinit 17 types de
menaces :
c. Types de menaces Marion

Accidents physiques
Malveillance physique
Carence de personnel
Carence de prestataire
Panne du SI

Comparatif des mthodes daudit

Interruption de fonctionnement du rseau

Erreur de saisie
Erreur de transmission
Erreur d'exploitation
Erreur de conception / dveloppement
Dtournement de fonds
Dtournement de biens
Vice cach d'un progiciel
Copie illicite de logiciels
Indiscrtion / dtournement d'information
Sabotage immatriel
Attaque logique du rseau

Le plan d'action propose les solutions mettre en uvre pour lever la

valeur des 27 indicateurs la valeur 3 (niveau de scurit satisfaisant) de
l'audit des vulnrabilits et atteindre les objectifs fixs en prparation. Le
cot de la mise niveau est valu et les tches raliser pour y parvenir
sont ordonnances.
Cette mthode par questionnaire est assez simple mettre uvre et est
bien rode du fait de son ge. Son pouvoir de comparaison des entreprises
audites est un plus indniable.
La mthode Mehari qui lui succde va plus loin en proposant la cration
complte de la politique de scurit.
4. Mehari
Mehari (MEthode Harmonise d'Analyse de RIsques) est dveloppe par le
CLUSIF depuis 1995, elle est drive des mthodes Melisa et Marion.
Existant en langue franaise et en anglais, elle est utilise par de
nombreuses entreprises publiques ainsi que par le secteur priv.
Le logiciel RISICARE dvelopp par la socit BUC SA est un outil de
gestion des risques bas sur la mthode Mehari.
La dmarche gnrale de Mehari consiste en l'analyse des enjeux de
scurit : quels sont les scnarios redouts ?, et en la classification
pralable des entits du SI en fonction de trois critres de scurit de base
(confidentialit,

intgrit,

disponibilit).

Ces

enjeux

expriment

les

Comparatif des mthodes daudit

dysfonctionnements ayant un impact direct sur l'activit de l'entreprise.

Puis, des audits identifient les vulnrabilits du SI. Et enfin, l'analyse des
risques proprement dite est ralise.

Figure 4 : Schma gnral de la mthode Mehari

a. Plans de la mthode Mehari

Le Plan Stratgique de Scurit (PSS)

Les Plans Oprationnels de Scurit (POS)
Le Plan Oprationnel d'Entreprise (POE)

Figure 5 Synoptique de la dmarche MEHARI

Le Plan Stratgique de Scurit fixe les objectifs de scurit ainsi que les
mtriques permettant de les mesurer. C'est ce stade que le niveau de
gravit des risques encourus par l'entreprise est valu. Il dfinit la

Comparatif des mthodes daudit

politique de scurit ainsi que la charte d'utilisation du SI pour ses

utilisateurs.
Les Plans Oprationnels de Scurit dfinissent pour chaque site les
mesures de scurit qui doivent tre mises en uvre. Pour cela, ils
laborent des scnarios de compromission et audite les services du SI. Sur
la base de cet audit, une valuation de chaque risque (probabilit, impact)
est ralise permettant par la suite d'exprimer les besoins de scurit, et
par les mme mesures de protections ncessaires. Enfin, une planification
de la mise niveau de la scurit du SI est faite.
Le Plan Oprationnel d'Entreprise assure le suivi de la scurit par
l'laboration d'indicateurs sur les risques identifis et le choix des
scnarios de catastrophe contre lesquels il faut se prmunir.
Des bases de connaissances permettent d'automatiser certains calculs de
gravit des scnarios de risques, proposent des liens entre menaces et
parades...
Mehari apporte une dmarche centre sur les besoins de continuit
d'activit de l'entreprise et fournit des livrables types aids d'un guide
mthodologie. Les audits qu'elle propose permettent la cration de plan
d'actions concrets. Cette mthode permet donc de construire une politique
de scurit destine pallier les vulnrabilits constates lors des audits
du Plans Oprationnels de Scurit et d'atteindre le niveau de scurit
correspondant aux objectifs fixs dans le Plan Stratgique de Scurit.

Comparatif des mthodes

Il existe de nombreuses mthodes d'analyse des risques, certaines simples
d'utilisation, avec parfois des outils logiciels en simplifiant l'utilisation.
D'autres mthodes sont rserves des grands comptes du fait de leur
complexit et des ressources humaines impliques. Il vous reste choisir
la mthode qui s'applique le mieux votre entreprise ou organisme public.
Les tableaux suivants rsument ce quon a vu dans les chapitres
prcdents :
4

Comparatif des mthodes daudit

A noter que la mthode MEHARI remplace actuellement les deux

mthodes MELISA et MARION donc on va se contenter de comparer les
deux mthodes MEHARI et EBIOS.
Mthodologi
e
BIOS
MHARI

Source

Langue

France (DCSSI et
Club EBIOS)
CLUSIF

Anglais, Franais et
autres
Franais

Masse
critique
Disponible
d'utilisateurs
Oui

Oui

Oui

Oui

Tableau 1: Tableau comparatif 1

Qualit
Crdibilit
Authenticit
Criticit
Intgrit
Explicit
Ralisme
Crativit
Exhaustivit
Congruence
Sensibilit

BIOS

MHARI

Oui
Non
Oui
Oui
Non
Oui
Oui
Non
Oui
Oui

Oui
Non
Oui
Oui
Non
Non
Oui
Non
Oui
Non

Tableau 2 : Tableau comparatif 2

Comparatif des mthodes daudit

Tableau 3 :Tableau comparatif 3

Critres /
Mthodes
Intitul
EBIOS
Langue
Franais
Pays
France
Conformit
ISO 31000, 27001,
27005

Documentation
Riche et disponible
en tlchargement
gratuit sur
[Link]
[Link]/fr/guides-etbonnespratiques/outilsmethodologiques/

Outils

Fonctionnalits

Logiciel EBIOS
2010, gratuit et
Analyse des
tlchargeable sur
risques
le site
Maturit SSI : la
[Link]
DCSSI met
/projects/ebios201
disposition un
0/
document
dcrivant une
approche
mthodologique
pour dterminer
le niveau
adquat de
maturit de la
scurit des
systmes
dinformation
([Link]
[Link]/IMG/pdf/m
[Link]).

Etapes de mise
en uvre
Etablissement du
contexte
Apprciation des
risques
Traitement des
risques
Validation du
traitement des
risques
Communication et
concertation
relatives aux
risques
Surveillance et
revue des
risques
EBIOS formalise
une dmarche
itrative de
gestion des
risques
dcoupe en
cinq modules :
Etude du contexte
Etude des
vnements
redouts
Etude des
scnarios de
menaces

Complexit de
mise en uvre
La mise en uvre
de cette mthode
est facilite par la
mise disposition
des utilisateurs de
bases de
connaissances riches
et enrichissables,
d'un logiciel libre et
gratuit permettant
de simplifier

lapplication et
dautomatiser la
cration des
documents de
synthse. Par
ailleurs, un club
dutilisateurs
EBIOS a t cr
en 2003 et
constitue une
communaut
dexperts
permettant le
partage des
expriences.

Comparatif des mthodes daudit

Etude des risques
Etude des mesures
de scurit

Tableau 4: Tableau comparatif 4

Critres /
Mthodes
Intitul
MEHARI
Langue
Franais, anglais,
allemand,
Pays
France
Conformit
ISO 27001, 27002,
27005

Documenta
tion
Riche et
disponible en
tlchargem
ent gratuit
sur
[Link]
[Link]/
fr/production
/mehari/pres
[Link]

outils
Un premier
niveau
d'outil est
directemen
t inclus
dans la
base de
connaissan
ces de la
mthode,
en utilisant
les
formules
Excel et
Open
Office. Un
manuel de
rfrence,

Fonctionnalit
s
Analyse des
risques
Tableau de bord
Indicateurs
Maturit SSI : la
mthode
donne des
indications de
maturit de la
capacit de
l'organisation
grer la
scurit de
l'information
sous toutes
ses formes.

Etapes de mise en uvre

Phase prparatoire
Prise en compte du contexte
Stratgique
Technique
Organisationnel
Cadrage de la mission danalyse et
du traitement des risques
Primtre technique
Primtre organisationnel
Structure de pilotage de la mission
Fixation des principaux paramtres
danalyse des risques
Grille dacceptabilit des risques
Grille des expositions naturelles
Grille dapprciation des risques
Phase oprationnelle de lanalyse
des risques

Complexit de
mise en uvre
La mise en uvre
de MEHARI ne peut
tre conduite
quen conjonction
avec un logiciel ou
des feuilles de
calculs ddis. Le
dmarrage de
lanalyse ncessite
une adaptation un
peu complique de
"la base de
connaissances".
Par ailleurs, une
version MEHARIPro qui vise
principalement les
petites ou

Comparatif des mthodes daudit

qui est
gratuit,
explique
son
utilisation.
Il est
possible
d'adapter la
base de
donnes de
connaissan
ces aux
domaines
spcifiques
de
l'activit,
au niveau
de
maturit,
la porte et
la

Elle permet de
mesurer le
niveau de
maturit de la
scurit des
systmes
dinformation
travers
plusieurs
indicateurs
(par exemple :
l'efficacit, la
rsilience, les
aspects de
continuit).

Analyse des enjeux et classification

des actifs
Echelle de valeur des
dysfonctionnements
Classification des actifs
Tableau dimpact
Diagnostic de la qualit des
services de scurit
Etablissement du schma daudit
Diagnostic de la qualit des
services de scurit
Apprciation des risques

Slection des scnarios de

risque
Estimation des risques
Phase de planification du
traitement des risques

moyennes
organisations,
prives ou
publiques est
disponible au
[Link]
[Link]/fr/production/
mehari/presentatio
[Link]

Comparatif des mthodes daudit

Critres de choix
Nous ne donnons pas dans ce comparatif un avis favorable ou une
prfrence pour lune ou lautre des mthodes prsentes. En outre, nous
citons ci-aprs quelques critres qui pourraient aider en choisir une :

La langue : il est important de bien comprendre le vocabulaire

employ par la mthode

La culture du pays dorigine de la mthode : est prendre en

considration
La base de connaissance et les outils supportant la mthode : leur

existence est fortement souhaitable pour faciliter son utilisation

La documentation : son existence et sa qualit sont dun apport

certain
La prennit : Il est trs important que lditeur de la mthode en

assure la prennit
La compatibilit: la compatibilit avec des normes internationales

doit peser normment

Le retour dexprience: le support dun club dutilisateurs, de

forums, etc. est un atout

Lorigine gographique de la mthode, la culture du pays jouant
beaucoup sur le fonctionnement interne des entreprises et leur

rapport au risque
L'existence d'outils logiciels en facilitant l'utilisation
La facilit d'utilisation et le pragmatisme de la mthode
Le cot de la mise en uvre
La quantit de moyens humains qu'elle implique et la dure de

mobilisation
La taille de l'entreprise laquelle elle est adapte
Le support de la mthode par son auteur, une mthode abandonne
n'offre plus la possibilit de conseil et de support de la part son

diteur
Sa popularit, une mthode trs connue offre un rservoir de
personnels qualifis pour la mettre en uvre

Comparatif des mthodes daudit

Conclusion
Dans ce comparatif, nous avons abord quatre mthodes que nous
estimons les plus utilises pour laudit de scurit des systmes
dinformation et danalyse des risques. LISO/27002 nest pas une
mthode mais une norme qui a lavantage davoir le soutien dun
organisme international et dont le statut lui confre une popularit native.
Elle permet de dvelopper sa propre mthode. Par ailleurs, pour mener
efficacement une analyse des risques, il est recommand de tenir compte
des points suivants :

Choisir lquipe qui conduira lanalyse des risques avant la mthode

Intgrer lanalyse des risques au processus projet
Lanalyse des risques doit tre mene progressivement mais ds le
lancement du projet, ds ltude d'opportunit et de faisabilit d'un

systme d'information et jusqu la fin de vie du systme

Dsigner une quipe dexperts qui prendra en charge le choix et la

mise en uvre des mesures de scurit

Ne pas essayer de tout faire dune seule itration

Comparatif des mthodes daudit

Bibliographie

Etude methodes analyse de risques EBIOS MEHARI, Projet SERE :

Audit de scurit, 2007

Comparatif des mthodes d'audit et d'analyse des risques de
scurit des systmes d'information, 2014, ANSI

Webographie

[Link]

identification-des-objectifs-de-securite/
[Link]
[Link]

Liste des tableaux

Tableau 1: Tableau comparatif 1................................................................19
Tableau 2 : Tableau comparatif 2...............................................................19
Tableau 3 :Tableau comparatif 3................................................................20
Tableau 4: Tableau comparatif 4................................................................21

Liste de figure

Figure 1 : Dmarche globale de EBIOS.......................................................13

Figure 2: Rosace marion.............................................................................15
Figure 3 : Histogramme diffrentiel de MARION.........................................15
Figure 4 : Schma gnral de la mthode Mehari......................................17
Figure 5 Synoptique de la dmarche MEHARI............................................18

Comparatif des mthodes daudit