Méthode d'analyse de risques informatiques optimisée par niveau

La méthode d'analyse de risques informatiques orientée par niveau (Marion) est une méthode d'audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité informatique d'une entreprise.

Objectif[modifier | modifier le code]

L'objectif est double :

situer l'entreprise auditée par rapport à un niveau jugé correct, et par rapport à l'état de l'art, c'est-à dire au niveau atteint par les entreprises similaires^[1].
identifier les menaces et vulnérabilités à contrer.

Principe[modifier | modifier le code]

Six thèmes[modifier | modifier le code]

L'analyse est articulée en 6 grands thèmes:

la sécurité organisationnelle
la sécurité physique
la continuité de service
l'organisation informatique
la sécurité logique et l'exploitation
la sécurité des applications

Vingt-sept indicateurs[modifier | modifier le code]

Les indicateurs, répartis dans ces 6 thèmes, vont être évalués à l'aide d'un questionnaire qui passe en revue 27 facteurs de risques, et valorisés sur une échelle de 0 (très insatisfaisant) à 4 (très satisfaisant)^[1]. Chaque indicateur est affecté d'un poids en fonction de son importance.

Phases[modifier | modifier le code]

Préparation[modifier | modifier le code]

Les objectifs de sécurité de l'entreprise sont définis. Le champ d'action de l'analyse est défini, ainsi que le découpage fonctionnel de ce champ d'action

Audit des vulnérabilités[modifier | modifier le code]

Cette phase se base sur les questionnaires fournis par la méthode

Les contraintes de l'entreprise sont identifiées.
Les indicateurs sont valorisés de 0 à 4. Chaque indicateur est affecté d'un poids relatif.
L'ensemble des indicateurs est très souvent représenté sous forme graphique : rosace/radar^[1], diagramme en barres, ... Des diagrammes de synthèse sont également possibles : rosace par source des risques (accident, malveillance, erreur), par impact des risques (disponibilité, intégrité, confidentialité des informations), ...

Analyse des risques[modifier | modifier le code]

L'exploitation des résultats de l'audit permet de répartir les risques en majeurs (RM) et simples (RS).
Le SI est alors découpé en fonctions. Les groupes fonctionnels spécifiques hiérarchisés selon l'impact et la potentialité des risques les concernant sont identifiés. Pour chaque groupe fonctionnel de l'entreprise, chaque fonction est revue en détail afin d'évaluer les scénarios d'attaque possibles avec leur impact et leur potentialité. Voir ci-dessus la typologie des menaces proposée par la méthode.

Élaboration du plan d'action[modifier | modifier le code]

Les menaces et vulnérabilités qui pèsent sur l'entreprise étant identifiées et valorisées, l'entreprise décide du degré d'amélioration à apporter pour réduire ces risques et idéalement atteindre la note globale de 3.
Elle définit les moyens à y affecter. On évalue le coût de la mise en conformité.
Les tâches sont décrites et ordonnancées.

Historique[modifier | modifier le code]

Mise au point au début des années 1980 par le CLUSIF, la méthode MARION n'a plus évolué depuis 1998. Le CLUSIF, qui considère que cette méthode MARION est devenue obsolète dans la prise en compte des urbanisations informatiques et des environnements d'applications et de réseaux, propose ensuite, à partir de 1997, la méthode harmonisée d'analyse des risques (Méhari)^[1]. Mais, les deux méthodes coexistent pendant plusieurs décennies. Et cette méthode MARION est encore citée comme une des méthodes standards en 2001 par 01net, ou comme une des méthodes les plus connues en 2014 par ZDNet^[2]^,^[3]

Références[modifier | modifier le code]

↑ ^{a b c et d} Frédérique Vallée, Sécurité informatique pour la gestion des risques, Editions Techniques Ingénieur, 2016 (lire en ligne), p. 6-7
↑ « Réussir la phase de mise en œuvre : des méthodes pour remédier à la vulnérabilité », 01net,‎ 21 janvier 2002 (lire en ligne)
↑ Guillaume Serries, « Sécurité informatique : les fondamentaux de l'audit et de l'analyse », ZDNet,‎ 30 avril 2014 (lire en ligne)

Bibliographie[modifier | modifier le code]

Alphonse Carlier (2006). Stratégie appliquée à l'audit des SI. Editions Lavoisier (Paris) 432 p.

Articles connexes[modifier | modifier le code]

[Vallee2016-1] {a b c et d} Frédérique Vallée, Sécurité informatique pour la gestion des risques, Editions Techniques Ingénieur, 2016 (lire en ligne), p. 6-7

[2] « Réussir la phase de mise en œuvre : des méthodes pour remédier à la vulnérabilité », 01net,‎ 21 janvier 2002 (lire en ligne)

[3] Guillaume Serries, « Sécurité informatique : les fondamentaux de l'audit et de l'analyse », ZDNet,‎ 30 avril 2014 (lire en ligne)

[1]

[2]

[3]