comparaison méthodes d'analyse de risque

tudecomparedesmthodesdegestiondesrisques

RESUME : CerapportprsentelanormeISO/IEC27005,lesmthodesEBIOS,MEHARI,OCTAVE/OCTAVESetITGrundschutzsouslangledesobjectifs,desprocessusetdesoutils.

AUTEURS : S.PoggiMai2005

O.DerrouaziMai2009(versionmisejour)

www.cases.lu

2

http://www.cases.lu

EtudecomparedesmthodesdegestiondesrisquesProjetR2SICetISMSPME

CITI

Version2009 3

SOMMAIRE Introduction..................................................................................................................................................7

1. ISO/IEC27005.......................................................................................................................................8

1.1OBJECTIFS............................................................................................................................................8

1.2PROCESSUS..........................................................................................................................................9

1.3OUTIL.................................................................................................................................................10

2. EBIOS...................................................................................................................................................11

2.1OBJECTIFS..........................................................................................................................................11

2.2PROCESSUS........................................................................................................................................12

Pralable.............................................................................................................................................13

Etape1:Etudeducontexte................................................................................................................13

Etape2:Expressiondesobjectifsdescurit....................................................................................13

Etape3:Etudedesmenaces..............................................................................................................14

Etape4:Identificationdesbesoinsdescurit.................................................................................14

Etape5:Dterminationdesexigencesdescurit............................................................................15

RsultatsdunetudeEBIOS...............................................................................................................15

2.3OUTILS...............................................................................................................................................16

Logiciel................................................................................................................................................18

3. MEHARI...............................................................................................................................................21

3.1OBJECTIFS..........................................................................................................................................21

3.2PROCESSUS........................................................................................................................................21

Analysedessituationsderisque.........................................................................................................22

Etape1:Evaluationdelexpositionnaturelle....................................................................................22

Etape2:Evaluationdesfacteursdedissuasionetprvention..........................................................23

Etape3:Evaluationdelapotentialit................................................................................................23

Etape4:Evaluationdelimpactintrinsque......................................................................................24

Etape5:Evaluationdesfacteursdeprotection,palliationetrcupration......................................24

Etape6:Evaluationdelarductiondimpact,valuationdelimpact..............................................25

Etape7:Evaluationglobaledurisque................................................................................................25

Enrsum...........................................................................................................................................26


CITI

Version2009 4

3.3OUTIL.................................................................................................................................................26

OCTAVE/OCTAVES....................................................................................................................................28

4.1OBJECTIFS..........................................................................................................................................28

4.2PROCESSUS........................................................................................................................................28

Phase1:Vueorganisationnelle:Constitutiondesprofilsdemenacesbasssurlesactifsdelentreprise..........................................................................................................................................28

Phase2:Vuetechnique:Identificationdesvulnrabilitsdelinfrastructure..................................29

Phase3:Dveloppementdelastratgiedescuritetplanification...............................................29

OCTAVE...............................................................................................................................................29

Phase1:Vueorganisationnelle..........................................................................................................29

Phase2:Vuetechnique......................................................................................................................30

Phase3:Dveloppementdelastratgie...........................................................................................30

OCTAVES............................................................................................................................................31

Phase1:Vueorganisationnelle..........................................................................................................31

Phase2:Vuetechnique......................................................................................................................31

Phase3:Dveloppementdelastratgie...........................................................................................31

4.3OUTILS...............................................................................................................................................32

OCTAVE...............................................................................................................................................32

OCTAVES............................................................................................................................................32

5.ITGrundschutz........................................................................................................................................33

5.1OBJECTIFS..........................................................................................................................................33

5.2PROCESSUS........................................................................................................................................34

Lestandard1002:lamthodologiedelITGrundschutz..................................................................35

Etape1:InitialisationduprocessusdescuritIT..............................................................................36

Etape2:Productionduconceptdescurit......................................................................................36

Etape3:Implmentationduconceptdescurit.............................................................................36

Etape4:Maintienetamlioration.....................................................................................................36

5.3OUTILS...............................................................................................................................................37

Synthse......................................................................................................................................................39

Tabledesfigures.........................................................................................................................................41


CITI

Version2009 5

ACRONYMES

BSIBundesamtfrSicherheitinderInformationstechnik

CERT/CCComputerEmergencyResponseTeam/ CoordinationCenter

CLUSIFCLUbdelaScuritdel'InformationFranais

DCSSIDirectionCentraledelaScuritdesSystmesdInformation

EBIOSExpressiondesBesoinsetIdentificationdesObjectifsdeScurit

FEROSFiched'ExpressionRationnelledesObjectifsdeScurit

ISOInternationalStandardizationOrganization

MAMthodesdAttaque

MEHARIMEthodeHarmonised'AnalysedeRisques

OCTAVEOperationallyCriticalThreat,Asset,andVulnerabilityEvaluation

PPProtectionProfile

PSSIPolitiquedescuritdessystmesdinformation


CITI

Version2009 6

RSSIResponsabledelaScuritdesSystmesdInformation

SEMSurvivableEnterpriseManagement

SISystmedInformation

SSIScuritdesSystmesdInformation

SSICScuritdesSystmesdelInformationetdelaCommunication

STSecurityTarget


CITI

Version2009 7

Introduction

Denosjours,lesorganismessontdpendantsdesperformancesduSI(SystmedInformation).Celuicicontienttouteslesdonnesstratgiquesetestainsidevenulecentrenvralgiquedelentreprise.CettedpendanceauSIentrainedesrisques,quipeuventremettreencauselaprennitdel'entreprise.

L'analyse de risque permet d'identifier les dangers induits par les applications et les systmesinformatiques,d'valuer lesrisquesetdedfinirdesbarriresdeprotectionquivont lesrduiredesniveauxacceptables.

Lesmthodesdegestiondes risquessontnombreuseset leursapprochespeuventtrediffrentes. Ilnexistepasdebonneoudemauvaisemthodedegestiondesrisques,puisquilyaunegrandediversitdanslesactivits,danslesenjeuxetdanslesapprochesdelascurit.

Danscedocument,sontprsents:

La norme internationale ISO/IEC 27005 qui traite de la gestion des risques des SI (SystmedInformation)

Les mthodes les plus utilises savoir EBIOS (Expression des Besoins et Identification desObjectifsdeScurit),MEHARI(MthodeHarmonised'AnalysedeRIsques),OCTAVE/OCTAVES(OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation/Small)etITGrundschutz

Pourchacunedelles, lesobjectifs, lesprocessuset lesoutilsassocisauxmthodessontprsentsdemanireenfaciliterlacomparaison.


CITI

Version2009 8

1. ISO/IEC27005

1.1OBJECTIFS

L'ISO/IEC27005(InternationalStandardizationOrganization)donnedeslignesdirectricespourgrerlesrisques en scurit de l'information. La norme taye les concepts gnraux spcifis dans lISO/IEC27001.

Elle a pour but daider mettre en uvre lISO/IEC 27001, la norme relative aux Systmes deManagementdelaScuritdelInformation(SMSI),pourlapartiegestiondurisque.Pourcomprendrecettenorme internationale, ilest importantde connatre les concepts,modles,processuset termesexpossdanslISO/IEC27001etl'ISO/IEC27002(Codedebonnepratiquepourlagestiondelascuritdelinformation).


CITI

Version2009 9

1.2PROCESSUS

Figure 1-Processus ISO/IEC 27005

Leprocessusdegestiondurisqueenscuritdel'informationsedcomposecommesuit:

Dfinitionducontexte Identificationdurisque Estimationdurisque Evaluationdurisque Traitementdurisque


CITI

Version2009 10

Toutefois, l'ISO/IEC 27005 ne donne aucune mthodologie spcifique. Il appartient chaqueorganisationdeprcisersonapproche,en fonctionduprimtreduSMSI,ducontextedegestiondurisqueoudusecteurdactivit.

1.3OUTIL

LoutillogicielleplusconnupourlanormeISO/IEC27005estSCOREISMS(outilpayantetdisponiblesurlemarch)qui supporteactuellementEBIOS,MEHARI,AS/NZS4360prpare lintgrationde lISO/IEC27005.


CITI

Version2009 11

2. EBIOS

2.1OBJECTIFS

LamthodeEBIOS(ExpressiondesBesoinsetIdentificationdesObjectifsdeScurit),estunemthodedapprciation et de traitement des risques, mais galement un outil dassistance la matrisedouvrage. La mthode peut couvrir aussi bien un systme dj existant que sinscrire dans unedmarchedamlioration.LadmarcheproposeparEBIOSapporteunevisionglobaleetcohrentedelaSSIC(ScuritdesSystmesde lInformationetde laCommunication).Ellefournitunvocabulaireetdesconceptscommuns,ellepermetd'treexhaustifetdedterminerdesobjectifsdescuritadaptsau travers de cinq tapes. Elle permet aussi dimpliquer lensemble des acteurs du SI dans laproblmatiquedescurit.

De plus, un logiciel libre distribu gratuitement par la DCSSI (Direction Centrale de la Scurit desSystmesdInformation)permetdefaciliterunetudeEBIOS.Ilpermeteneffetdeconsignerl'ensembledesrsultatsd'unetudeetdeproduirelesdocumentsdesynthsencessaires.


CITI

Version2009 12

2.2PROCESSUS

Figure 2-La dmarche EBIOS

Etudeducontexte

Expressiondesbesoinsdescurit

Identificationdesobjectifsde

scurit

Etudedesmenaces

Expressiondesexigencesdescurit

Pralable

Rsultats

Etudedelorganisme

Etudedusystmecible

Dterminationdelacibledel'tude

scurit

Ralisationdesfichesdebesoins

Etudedesvulnrabilits

Etudedesoriginesdesmenaces

Formalisationdesmenaces

Synthsedesfichesdebesoins

Formalisationdesobjectifsdescurit

Confrontationdesmenacesaux

besoins

Dterminationdesminimumsde

scurit

Exigencesfonctionnelles

Exigencesdassurance

1

2 3

4

5


CITI

Version2009 13

Pralable

Idalement l'tude EBIOS s'appuie sur diffrents documents, existants ou dfinir, relatifs l'organisme,sonsystmed'informationetausystmetudier.Parexemple leschmadirecteurdel'organisme,laPSSI(PolitiquedeScuritdesSystmesdInformation)etlesspcificationsgnralesdusystme.

Etape1:Etudeducontexte

Activit1.1:Etudedelorganisme

Cetteactivitconsistedfinirlecadredel'tude,identifierglobalementlesystmecibleetlesituerdanssonenvironnementpourdterminerprcismentlacibledel'tudedescurit.Desinformationsgnralessur lorganismeconcernpar leprojetdescuritdoiventdonctreruniesdans lebutdemieux apprcier sa nature, son organisation et les contraintes qui psent sur celuici. Il est aussincessaire d'obtenir une vision fonctionnelle du systme d'information de l'organisme. Le cadrerglementairenedoitgalementpastreoubli.

Activit1.2:Etudedusystmecible

Cetteactivitapourbutdeprciser lecontexted'utilisationdusystmeconcevoirouexistant.Ellepermetnotammentdeprciserpourlesystmelesenjeux,lecontextedesonutilisation,lesmissionsouservicesqu'ildoitrendreetlesmoyensutiliss.Pourcela,ilestncessairedeprciserlesousensembledu systme d'information de l'organisme constituant le systme cible de ltude et ses enjeux. Lesystmecibleestalorsdcritetsontrecensesleshypothses,lesrglesdescuritetsescontraintes.

Activit1.3:Dterminationdelacibledel'tudescurit

Cette activit a pour but de recenser et dcrire les entits sur lesquelles reposent les lmentsessentielsdusystmecible(fonctionsetinformations).

Etape2:Expressiondesobjectifsdescurit

Activit2.1:Ralisationdesfichesdebesoin

Elles permettront aux utilisateurs d'exprimer les besoins de scurit des lments qu'ilsmanipulenthabituellementdanslecadredeleuractivit,d'unemanireobjectiveetcohrenteselonlesexigencesoprationnellesdusystmeetnonselon lessolutionstechniques. Ils'agitd'uneactivitcontribuantl'estimation des risques et la dfinition des critres de risques dans le processus de gestion desrisques. On tudiera donc particulirement les impacts dus au nonrespect des besoins de scuritexprims.


CITI

Version2009 14

Activit2.2:Synthsedesbesoinsdescurit

Cetteactivitapourbutd'affecterauxlmentsessentiels lesbesoinsdescuritquirsultentde lasynthsedesvaleursattribuesparlesutilisateurs.l'issuedecetteactivit,ilserapossiblededisposerd'unevisionobjectiveetcohrentedesbesoinsdescuritdusystmecible.

Etape3:Etudedesmenaces

Cettetapeapourobjectifladterminationdesmenacespesantsurlesystme.

Activit3.1:Etudedesoriginesdesmenaces

Cetteactivitapourbutdeslectionner lesmthodesd'attaquequisontpertinentespour lesystmecible.Chacunedesmthodesd'attaqueestcaractriseparlescritresdescuritqu'ellepeutaffecter.Elleestassociedeslmentsmenaantscaractrissselon leurtypeou leurcause.Si lesmthodesd'attaquecomposentdesrisquesrelspour lesystmecible, leniveaudesmesuresdescuritdevratrecohrentaveccepotentield'attaque.

Activit3.2:Etudedesvulnrabilits

Cetteactivitapourobjet ladterminationdesvulnrabilitsspcifiquesdusystmecible,provenantdescaractristiquesdesentitsqui lecomposent,etventuellement lacaractrisationdecellescientermesdeniveau.

Activit3.3:Formalisationdesmenaces

Cetteactivitapourbutdedterminerlesmenacespouvantaffecterlesystmecible.Ellesrsultentdel'associationdesmthodesd'attaque(activit3.1)auxvulnrabilitsretenues(activit3.2).l'issuedecette activit, il sera possible de disposer d'une vision objective et exhaustive des menaces rellespesantsurlesystmecible.

Etape4:Identificationdesbesoinsdescurit

Activit4.1:Confrontationdesmenacesauxbesoins

Cetteactivitapourbutdedterminer lesrisquesrelspesantsur lesystmecible.Laconfrontationdesmenacesauxbesoinsdescuritpermetderetenirethirarchiserlesrisquesquisontvritablementsusceptiblesdeporteratteinteauxlmentsessentiels.L'ensembledecesrisquesdevratrevalu,laplupartd'entreeuxdevanttrecouvertspardesobjectifsdescurit.

Activit4.2:Formalisationdesobjectifsdescurit


CITI

Version2009 15

Cette activit a pour but de dterminer les objectifs de scurit permettant de couvrir les risques,conformmentladterminationdesniveauxdescurit.Lacompltudedelacouverturedesrisquespar lesobjectifsde scurit,enprenantencompte leshypothses, rglesde scuritetcontraintes,devratredmontre.

Activit4.3:Dterminationdesniveauxdescurit

Cetteactivitapourbutdedterminer leniveaudersistanceadquatpour lesobjectifsdescurit.Ellepermetgalementdechoisirleniveaudesexigencesdescuritd'assurance,cequipermetdtreenadquationaveclanormeISO/IEC15408(CritresCommuns).

Etape5:Dterminationdesexigencesdescurit

Activit5.1:Dterminationdesexigencesdescuritfonctionnelles

Cetteactivitapourbutdedterminer lesexigencesdescuritfonctionnellespermettantdecouvrirles objectifs de scurit identifis pour le systme cible. Elle permet de dcider de lamanire dontchaquerisqueidentifidevratretrait.

Activit5.2:Dterminationdesexigencesdescuritd'assurance

Cette activit a pour but l'expression complte des exigences de scurit dassurance de la cible del'tudedescurit.Ellessontslectionnesselon leniveaud'assurancechoisi lorsde ladterminationdesniveauxdescurit.Ellesconstituentlefondementdelaconfiancedanslefaitquunsystmeciblesatisfaitsesobjectifsdescurit.

RsultatsdunetudeEBIOS

Lamthodepermetdidentifierdesobjectifsetexigencesdescurit lasuiteduneapprciationderisques.Ellepermetdoncdecontribuerlaralisationd'unschmadirecteurSSI(ScuritdesSystmedInformation),dunePSSI,dunplandactionSSIC,d'uneFEROS (Fiched'ExpressionsRationnellesdesObjectifsdeScurit),duncahierdescharges,d'unPP(ProtectionProfile)oud'uneST(SecurityTarget)ausensdelISO/IEC15408.


CITI

Version2009 16

2.3OUTILS

IlexistecinqdocumentsdesupportEBIOSfournisdirectementparlaDCSSI.

UndocumentdIntroductionquiprsentelecontexte,l'intrtetlepositionnementdeladmarcheEBIOS.Ellecontientaussiunebibliographie,unglossaireetdesacronymes.

Undocument intitulDmarchequi expose ledroulementdes activitsde lamthode.Chaqueactivitestorganisede la faonsuivante:pralable,donnesenentre,actions,donnesensortie,conseilspratiques.Lestapessontprsentesdefaonclaireetaccompagnesdeschmas.

Le document appel Techniques est un guide daccompagnement qui contient desmoyens pourraliserunetudeEBIOS.Lesconceptsautourdechaqueactivitsontainsiprsentsplusavant.

Le document Outillage pour l'apprciation des risques SSI est la premire partie de la base deconnaissancedelamthode.Ellecontientunetypologiedestypesetsoustypesd'entitspouvanttresoumises une tude EBIOS. On y trouvera les mthodes d'attaque les plus rpandues avec leursprincipalesatteintessur lescritresdescurit(Confidentialit IntgritDisponibilit).Ladernirepartiedudocumentestunesynthsedesdeuxpartiesprcdentes,cestdirequelleprsentepourchaquetypeetsoustypes,lesmthodesdattaqueauxquelleslesentitssontexposes.

Type d'entits MA Vulnrabilit

RES 5 Supports accessibles des personnes non autorises

Figure 3-Exemple d'identification de risque pour une entit

LexemplecidessussignifiequelesentitsRES(rseaux)sontvulnrablesauxMA(mthodesdattaque)detype5,savoir ladestructiondematrielsoudesupports.Lavulnrabilitestemploye ici,si lessupportssontaccessiblesdespersonnesnonautorises.Lamthodedattaque5portantatteintelintgritetladisponibilit.Anoterquecedocumentestrutilislorsdesactivits1.3et3.1.

LedocumentOutillagepourletraitementdesrisquesSSI(indispensablepourlesactivits4.2et5.1)estladeuximepartiedelabasedeconnaissancedelamthode.Ellecontientenpremirepartieunebasedobjectifsde scurit gnriquespar typed'entits. La secondepartiepermet la compatibilitavecdeuxautresstandardsinternationaux:ISO/IEC15408etISO/IEC27002.Elleprsentelesexigencesde scurit fonctionnellesgnriquesproposesdans ces rfrentiels.Dautresexigencesde scuritfonctionnellessontgalementprsentes.Ladernirepartiedudocumentestunesynthsedesdeux


CITI

Version2009 17

parties prcdentesmais aussi du document sur lapprciation des risques. Il prsente pour chaquevulnrabilitdechaquetypeetsoustypedentit,lesobjectifsetlesexigencesdescuritrduisantlavulnrabilit.

Silonreprendlexempleprcdent,celadonne:

Type d'entits MA Vulnrabilit

Objectif de scurit

Exigence de scurit

RES 5 Supports accessibles des personnes non autorises ORG_01 BPE_ZOS.2.1

RES 5 Supports accessibles des personnes non autorises ORG_01 BPE_SEM.1.1

RES 5 Supports accessibles des personnes non autorises ORG_01 CET_EGT.2.3

RES 5 Supports accessibles des personnes non autorises ORG_01 BPE_ZOS.1.1

Figure 4-Exemple de traitement des risques pour une entit

Lexemple cidessus signifie que les entits rseaux sont vulnrables auxMA de type 5, savoir ladestructiondematrielsoudesupports,silessupportssontaccessiblesdespersonnesnonautorises.Afindediminuerlavulnrabilit,ilestrecommanddaccomplirlobjectifdescuritORG_01.Silonserfreaucodecorrespondantcelasignifiequel'organisationdoitprotgerlesquipementsetsupportscontrel'accsphysiquepardespersonnesnonautorises.Celaveutdirequilfautremplirlesexigencesdescuritsuivantes:

BPE_ZOS.2.1:Leszonesdescuritdoiventtreprotgespardesmesuresdematriseappropriesl'entrepourfaireensortequeseullepersonnelautorispuisseyavoiraccs.

BPE_SEM.1.1 : Lematriel informatiquedoittre situetprotgde faon rduire les risquesprsents par les menaces et les dangers lis l'environnement et les occasions d'accs nonautoriss.

CET_EGT.2.3 :Apartirde sapriseen charge, l'interlocuteur interneest responsabled'un visiteurjusqu'sondpart.Ildoitnotamments'assurerquelavisitesedrouleenaccordaveclesprincipesdescuritnoncsdanslapolitiquedescurit.

BPE_ZOS.1.1:Lesorganismesdoiventutiliserdesprimtresdescuritpourprotgerleszonesquicontiennentdesinfrastructuresdetraitementdel'information.

Onpourra trouvergalementsur lesitede laDCSSIdans la rubriquelesmeilleurespratiques,desdocumentsdestinsformaliserlesrsultatsdunetudeEBIOSsousformed'unschmadirecteurSSI,dunePSSI,dunplandactionSSIC,d'uneFEROS,duncahierdescharges,d'unPP,d'uneST,etc.


CITI

Version2009 18

Logiciel

LamthodeEBIOSestgalementdisponiblesurCDROMsursimpledemande laDCSSI.CeCDROMcontientladocumentationetlelogicieldassistance.

CelogicielpermetdesimplifierlaralisationdunetudeEBIOS.Ilintgreainsitouteunesriedaidestrsintressantescommedesquestionnairesoudeslistesdecontraintes.DeplusilimplmentelabasedeconnaissanceEBIOS. IlpermetgalementdegnrerautomatiquementuneFEROSenfonctiondesdonnesdunetuderaliselaidedulogiciel.

LelogicieldassistanceproposegalementunexempledtudeEBIOSetunmoduledautoformation.


CITI

Version2009 19

Figure 5-Copie dcran du logiciel d'assistance la mthode EBIOS


CITI

Version2009 20

Figure 6-Copie dcran du logiciel d'assistance la mthode EBIOS


CITI

Version2009 21

3. MEHARI

3.1OBJECTIFS

MEHARIestutilispouraiderlesRSSI(ResponsabledelaScuritdesSystmesdInformation)dansleurtchedemanagementdelascuritdessystmesdinformation.

MEHARIestavanttoutunemthodedanalyseetdemanagementdesrisques.Enpratique,MEHARIetlensembledesesbasesdeconnaissancessontbtispourpermettreuneanalyseprcisedes risques,quandcelasera jugncessaire,sanspourautant imposer lanalysedesrisquescommeunepolitiquemajeuredemanagement.

3.2PROCESSUS

Pour cette partie il convient de se focaliser sur lanalyse des situations de risque qui est lun desprocessusdelamthodeMEHARI.

Figure 7-Processus MEHARI


CITI

Version2009 22

Analysedessituationsderisque

Leprocessusdanalysedunesituationderisquecomprendunedmarchedebase,ventuellementassistepardesautomatismes,selonlamaniredontlasituationestdcriteetselonlexistenceounondunauditpralabledesservicesdescurit.

Figure 8-Processus d'analyse des risques

Etape1:EvaluationdelexpositionnaturelleCettetape sediviseendeuxparties.Toutdabord lexpositionnaturelle standardetdeuximementlexpositionnaturellespcifique.


CITI

Version2009 23

ExpositionnaturellestandardLes scnarios1de labasedeconnaissancesMEHARI se rfrentune liste limitedvnementsdebase,quilsagissedaccidents,derreursoudactesvolontaires,pourlesquelsunevaluationaprioridelexpositionestdonne.Parexemple,ilestestimquelexpositionnaturellestandardduneentrepriseunincendieestdeniveau2(pluttimprobable),unepannedquipementinformatiquedeniveau3(pluttprobable)etuneerreurpendantunprocessusdesaisiedeniveau4(trsprobable).Lalistedecesvnementsetdelexpositionnaturellestandardestdonneenannexe1delamthode.

ExpositionnaturellespcifiqueIl doit tre clair que lvaluation standard propose nest quune valuation par dfaut et quelvaluation directe de lexposition de lentreprise la situation de risque analyse est de loinprfrable.

Etape2:EvaluationdesfacteursdedissuasionetprventionLes facteurs de rduction tels que la dissuasion, la prvention, la protection, la palliation et larcupration sontproposspar lesbasesde connaissancesdeMEHARIen fonctionde laqualitdesservices de scurit si celleci a t value par un audit. La dfinition des niveaux de facteur derductionderisqueestdonneenannexe4delanorme.

Etape3:EvaluationdelapotentialitLa potentialit du risque reprsente, en quelque sorte, sa probabilit d'occurrence, bien que cetteoccurrencenesoitpasmodlisableentermesdeprobabilit.Cettepotentialitestfonctionducontexteetdesmesuresdescuritenplace.Lvaluationdelapotentialitestfaitesurunechellecomprenant4niveaux,prsentsciaprs.

chelledepotentialitNiveau4:TrsprobableA ce niveau, il est raisonnable de penser que le scnario se produira trs certainement etvraisemblablementcourtterme.Quandlerisquesurvient,personnenestsurpris.Niveau3:ProbableIlsagit ldesscnariosdont ilestraisonnabledepenserquilspourraientbienseproduire,plusoumoins court terme. Lespoirque le risquene surviennepasnestpas insensmaisdnoteun certainoptimisme.Lasurvenancedurisquedoit,maisnesurprendpas.


CITI

Version2009 24

Niveau2:ImprobableIlsagitldescnariosdontilestraisonnabledepenserquilsnesurviendrontpas.Lexpriencepassemontredailleursquilsnesontpassurvenus.Ilsdemeurentnanmoinspossiblesetnesontpascompltementinvraisemblables.Niveau1:TrsimprobableAceniveau,loccurrencedurisqueesttoutfaitimprobable.Detelsscnariosnesontpasstrictementimpossiblescarilexistetoujoursuneinfimeprobabilitpourquecelaseproduise.Niveau0:NonenvisagLes scnarios rellement impossibles nont pas faire partie de la base des scnarios tudier. Ceniveauestutilispourclasserlesscnariosquelorganisationadciddenepasanalyser.

Etape4:EvaluationdelimpactintrinsqueLimpact intrinsqueestuneestimationmaximalistedesconsquencesdu risque,endehorsde toutemesuredescurit.Ladmarchedvaluationdes impacts intrinsquesconsisterempliruntableaudimpact intrinsque,bassurceluifournienAnnexe3delamthode,dontunextraitestdonncidessous.

Figure 9-Tableau d'impact intrinsque

Le remplissagedece tableau seffectueen transcrivant leniveaudeconsquenceduneatteinte ladisponibilit(D),lintgrit(I)oulaconfidentialit(C)dechaquetypederessourceidentifi(cependantcertaines cases nont pas tre remplies car cela naurait aucuns sens : par exemple lintgrit dupersonneldexploitation).

Etape5:Evaluationdesfacteursdeprotection,palliationetrcuprationMmeprocessusquepourltape2.


CITI

Version2009 25

Etape6:Evaluationdelarductiondimpact,valuationdelimpactLvaluationde larductiondimpactaussiappelSTATUSRIsefaitpartirdetroisautres indicateursappelsSTATUSdimpact (STATUSPROTpourprotection,STATUSPALLpourpalliation,STATUSRECUPpourrcupration)etenutilisantlagrillecorrespondantlanatureduscnario(Disponibilit,Intgrit,Confidentialit)Exemple:PrenonslescnarioAltrationdedonnesparerreurlorsdelasaisiequiestdenatureIntgrit.

Sinousavons:

STATUSPROT=2,STATUSPALL=2,STATUSRECUP=4

Selonlagrilleproposeenannexedelamthodeonobtient:

Figure 10-Grille de rduction d'impact

Larductiondimpactestgale3.

Etape7:EvaluationglobaledurisqueDans cette tape on dcide de la manire de grer le risque, en fonction de son impact et de sapotentialit:laccepter,lerefuserouletransfrer.


CITI

Version2009 26

Figure 11-Evaluation globale du risque

Enrsum Une situationde risquepeuttre caractriseparunepotentialitetun impact intrinsques,en

labsencedetoutemesuredescurit. PotentialitintrinsqueetImpactintrinsquepeuventtrevalus. Des mesures de scurit peuvent venir rduire ce risque intrinsque par le biais de facteurs

significatifsderductionderisque. Cesfacteursdattnuationderisquepeuventtrevalus. Sur la base de ces lments, il est possible dvaluer une potentialit et un impact rsiduels,

caractristiquesdurisque,etdendduireunindicateurdegravitderisque. MEHARIproposedesoutilsdassistancetoutaulongdeceprocessusdanalyseetdvaluation.

3.3OUTIL

RISICAREestuneapprocheassocieunoutillage,sappuyantsur lamthodeMEHARIetquipermetdamliorerlaproductivitetlajustessedunedmarchedegestiondesrisques.Cetoutilestpayantetdisponiblesurlemarch.

RISICAREsappuiesurlescaractristiquessuivantes:

LutilisationdelamthodeMEHARIdveloppeauseinduCLUSIF(CLUbdelaScuritdessystmesd'InformationFranais)commemodledanalysedesrisques


CITI

Version2009 27

Lapossibilitdepersonnaliserlesbasesdeconnaissances,voiredeconstruiresespropresbasesdeconnaissances(RISIBASE)

Unerelationentreunauditdelexistantetlaquantificationdescnarios Llaborationdeplansdactionscohrentsoptimisantlarductiondelensembledesrisques Une aide en ligne trsdveloppe avec laccs un ensemblede rubriquesmthodologiques et

techniques Unoutilperformantetsimpleutiliser

Avantages:

Automatisation Rapidit Compltudedelanalyse Conu pour permettre une approche de diagnostic qui sadapte la taille et la complexit de

lorganisme

Inconvnient:

Il est essentiel de bien assimilerMEHARI pour utiliser cet outil, notamment en PME ou sonutilisation ncessite de savoir dfinir un primtre des processus clefs afin doptimiser ladmarcheetlesressources.


CITI

Version2009 28

OCTAVE/OCTAVES

4.1OBJECTIFS

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) est une mthodedvaluation des vulnrabilits et des menaces sur les actifs oprationnels. Ce sont ces actifsoprationnelset lespratiquesdescuritquiontdirig lorientationde lamthode.Elleagalementt conue pour tre mene par des membres internes une organisation, sans faire appel desspcialistesexternes.Cette techniquepermet,par lammeoccasion,damliorer la connaissancedelentreprise sur ses propres pratiques de scurit. Pour tre mene bien elle suppose donc lacompositiondunequipedanalysemultidisciplinaire.

4.2PROCESSUS

LapprocheOCTAVEestavanttoutbasesurlesactifsdelentreprise.Lquipedanalysedevradonc:

Identifierlesactifsdelentreprise Centrersonanalysedesrisquessurlesactifslespluscritiques Considrerlesrelationsentrecesactifsainsiquelesmenacesetlesvulnrabilitspesantsureux Evaluerlesrisquesdunpointdevueoprationnel Crerunestratgiedeprotectionbasesurdespratiques

Pouryparvenir,OCTAVEdfinitdonctroisphasescommelemontrelafigurecidessous.

Figure 12-Les phases principales d'OCTAVE

Phase1:Vueorganisationnelle:Constitutiondesprofilsdemenacesbasssurlesactifsdelentreprise

Cest une valuation avant tout organisationnelle. Il sagit de lidentification des ressourcesinformatiques importantes, de leurs menaces et des exigences de scurit associes.On value les

Prparation Phase1:vueorganisationnelle

Phase2:vuetechnologique

Phase3:dveloppementde

lastratgie


CITI

Version2009 29

pratiques actuelles de lorganisation pour protger ces ressources critiques (si elles existent) et onidentifielesvulnrabilitssurcesressources.Ontudieensuitelesmenacesquipourraientlesexploiterpourdgagerensuiteunprofildemenace.

Phase2:Vuetechnique:Identificationdesvulnrabilitsdelinfrastructure

Cestunevaluationde linfrastructure informatique. Lquipedanalyse identifie lesmoyensdaccsauxactifs,dgagedesclassesdecomposantsquileursontrelis,pourfinalementdterminerlesclassesquisontdjrsistantesauxattaquesetcellesquidoiventtreamliores.

Phase3:Dveloppementdelastratgiedescuritetplanification

Lquipe danalyse procde une analyse des risques sur les actifs oprationnels et dcide dutraitementpossible.

OCTAVE

LamthodeOCTAVEsedcomposeen8processusrpartisdansles3phasesmajeuresdelamthode.

Phase1:Vueorganisationnelle

Processus1:Identificationdesconnaissancesparlescadressuprieurs

Le but est didentifier la vue que les dirigeants ont des actifs de lentreprise, les menaces qui syrattachent,lesimpratifsdescuritetcequiestactuellementfaitpourremplircesimpratifs.

Processus2:Identificationdesconnaissancesparlescadresdeloprationnel

Lebutestdidentifierlavuequelescadresontdesactifsoprationnelsdelentreprise,lesmenacesquisyrattachent,lesimpratifsdescuritetcequiestactuellementfaitpourremplircesimpratifs.

Processus3:Identificationdesconnaissancesparlesquipesdeproduction

LebutestdidentifierlavuequontlesquipesdeproductionetlquipeITdesactifsdelentreprise,lesmenacesquisy rattachent, les impratifsdescuritetcequiestactuellement faitpour remplircesimpratifs.


CITI

Version2009 30

Processus4:Crationdesprofilsdemenace

Lebutestdeconsoliderlesdonnesrecueillieslorsdestroisprocessusprcdentsetdedterminerlesressourcescritiquesdelentreprise,didentifierlesimpratifsdescuritetlesmenacesquipsentsurlesactifs.

Pourcrercesprofilsdemenace, ilexisteunguidecompletde lensembledesprofils.Ilestcertes loindtreexhaustifmaisilproposeunevueintressanteenarborescenceetuneclassificationparimpact.

Phase2:Vuetechnique

Processus5:Identificationdescomposantsclefs

Le but est ici didentifier les composants clefs pour chaque actif critique de lentreprise. Onslectionneraensuitelamthodeetlesoutilspourprocderlauditdesvulnrabilits.

Processus6:Evaluationdescomposantsslectionns

Lebutest icideprocderunauditdesvulnrabilitsdescomposantsslectionnsdans leprocessusprcdent.

Phase3:Dveloppementdelastratgie

Processus7:Analysedesrisques

Lebutestdidentifier les risques,dedfinirunemtriquepourvaluer ces risquesetdeprocdercettevaluationenutilisantlesprofilsdemenacedfinisaucoursduprocessus4.

Processus8:Dveloppements

Ceprocessussediviseendeuxparties:

PartieA:DveloppementdelastratgiedeprotectionLebutestdedfinirune stratgiedeprotection,unplandegestiondes risquesetune listedactionsmenercourtterme.

PartieB:SlectiondelastratgiedeprotectionLe but est ici dimpliquer les dirigeants dans la stratgie de protection et de dcider delimplmentationdescontremesuresretenues.


CITI

Version2009 31

OCTAVES

OCTAVES (Small) est une version rduite dOCTAVE destination des entreprises demoins de 100salaris.Onretrouveles3phasesprsentesciavant.Lesprocessussontallgsetlamthodeestainsiplusaccessibleuneorganisationdisposantdemoinsderessources.CommepourOCTAVE,lamthodeestbiendocumenteavecdesguidesdetravail,desconseilsetunexemplecomplet.

Phase1:Vueorganisationnelle

Processus1:Dgagerdesinformationssurlorganisation

Lebutestdtabliruncritred'valuationdimpact,didentifierlesactifsdel'organisationetdvaluerlespratiquesdescuritactuellesdel'organisation.

Processus2:Crerlesprofilsdemenace

Lebutestdeslectionnerdesactifscritiques,didentifierlesimpratifsdescuritpourlesactifsainsiquelesmenacesquipsentsurcesderniers.

Phase2:Vuetechnique

Processus3:Examinerl'infrastructureinformatiqueenrelationaveclesactifscritiques

Lebutest icidexaminer lesvoiesd'accsauxactifscritiquesde lentreprise.Onanalyseraensuite lesprocessusenrapportaveclatechnologie.

Phase3:Dveloppementdelastratgie

Processus4:Identifieretanalyserlesrisques

Le but est dvaluer l'impact des menaces, dtablir un critre de probabilit et enfin dvaluer laprobabilitd'occurrencedesmenaces.

Processus5:Dvelopperlastratgiedeprotectionetlesplansderductiondesrisques

Lebutestdedcrire la stratgie actuelle,de slectionner l'approchepour la gestion,didentifier leschangementsetlesactionsmener.


CITI

Version2009 32

4.3OUTILS

OCTAVE

Ladocumentationoffredesconseilssurlaprparationlamthode,commentslectionnersonquipedanalyse, choisir le primtre de ltude, identifier les participants clefs. Elle fournit galement unmodledeplanningetdesrfrencespourladaptationdelamthode.

Chaque processus fait ensuite lobjet dun volume spar (il en existe une vingtaine en tout). Onretrouverapour chaque processusun rsumdesobjectifs atteindre,des feuillesde travail, etundescriptifdesobjectifsremplir.Lamthodevajusqudfinirlesconceptsquelleabordeafinquedesnonspcialistespuissent lutiliser.Deplus, chaqueprocessus est galementprsent sous formedeprsentationlectroniquediffuserlquipe.

Par ailleurs, un exemple complet accompagne le lecteur tout au long de lamthode. Il concerne lascurisationduneclinique.

OCTAVES

Delammefaon,OCTAVESoffreunedocumentationexhaustive.AladiffrencedOCTAVEquifournitpluttunparcours,OCTAVESproposeunensembledechecklistsadaptesauxbesoinsdepluspetitesorganisations.Cestuneapprochepluspragmatique.

Le mme exemple que pour OCTAVE est propos, savoir une clinique, mais avec les checklistsdOCTAVES.


CITI

Version2009 33

5.ITGrundschutz

5.1OBJECTIFS

LITGrundschutz prsente une liste de mesures standards pour des SI gnriques. Le but de cesrecommandationsestdatteindreunniveaudescuritadquatepourlesSIayantunbesoindescuritnormaloulev.

LemanueldeLITGrundschutzcomprend:

Unedescriptiondunesituationpotentiellementdangereuse Desdescriptionsdtaillesdemesuresprendreafindefaciliterlamiseenuvre Unedescriptionduprocessusd'tablissementetdemaintiend'unniveaudescuritadquat Uneprocdure simplepourdterminer leniveaude scuritde linformationobtenu sous la

formed'unecomparaisondesrsultatscibles Cemanuel est gratuit, disponible tous et qui plus est actualis par linsertion tous les 6mois denouveaux modules. Il est galement possible de senregistrer gratuitement pour recevoir desinformationscomplmentairessurlamthode.CelapermetunchangeentreutilisateursetleBSIpourfairevoluerlemanuelenfonctiondesremarquesetbesoins.Deplus,desoutilslogicielsetdesguidessupplmentairessontdisponiblesetilestpossibled'trecertifi.


CITI

Version2009 34

5.2PROCESSUS

PourlITGrundschutznousallonsnousfocalisersurlestandard1002mthodologie:

Figure 13-BSI standards


CITI

Version2009 35

Lestandard1002:lamthodologiedelITGrundschutz

Figure 14-Processus de la mthodologie IT-Grundschutz


CITI

Version2009 36

Etape1:InitialisationduprocessusdescuritIT

Pourraliseroumaintenirunniveauappropridescurit IT, ilestncessairedexigeruneapprocheplanifieetorganisemaisaussiunestructureorganisationnelleadquate. Ilest importantdedfinirdesobjectifsdescuritainsiquunestratgiepour lesraliser,quidoittrefondesurunprocessuscontinu.

Etape2:ProductionduconceptdescuritUn des objectifs de lITGrundschutz est de proposer une approche pragmatique et efficace laralisationd'unniveaudescuritITnormaletquipeutaussifournirlabasepourunniveaudescuritplus lev. Pour produire un concept de scurit IT, il faut tout dabord initialiser le processus descuritpuisdfinirlorganisationetlapolitiquedescuritmettreenplace.

Denombreusesrfrencessontfaitesauxcataloguesde lITGrundschutzetapportent lutilisateur labasedeconnaissancesncessairelamthodologie.

Le module 1 du catalogue de lITGrundschutz explique et dtaille les tapes dimplmentation duconceptdescurit,lestapessont:

AnalysedelastructureIT Dfinitiond'exigencesdeprotection Choixdemesuredescurit Contrledescuritbasic Analysedescuritsupplmentaire

Etape3:Implmentationduconceptdescurit

Cettesectionprsentelesaspectsquel'ondoitconsidrerpourimplmenterleconceptdescurit.Onretrouveicicommentmettreenuvrelesmesuresdescurit,lesplanifier,lesexcuter,lessurveilleret les contrler.Depuis 2003, loffice fdral de la scurit de linformation propose un systme decertification suivant le rgime prvu par lITGrundschutz, grce auquel il est possible de vrifier leniveaudescuritdel'informationrellementatteint.

Etape4:MaintienetamliorationCettetapepermetdegarantiruneamliorationcontinueduniveaudescurit,grce:

Desrapportsdedtectiondincidents


CITI

Version2009 37

Destestsdesimulationdincidents Desauditsinternesetexternes Unecertificationdeconformitdescritresdescurit

5.3OUTILS

Pourfaciliterlaslectiondescontremesuresmettreenplace,leBSI(BundesamtfrSicherheitinderInformationstechnik)proposeunoutilsharewareGSTOOL,qui fournitcetteslectionenspcifiantsoninfrastructureIT.

Figure 15-Copie d'cran du logiciel GSTOOL


CITI

Version2009 38


CITI

Version2009 39

SynthsePourconclure,letableausuivantmetenvidencelesavantagesetinconvnientsdechaquemthode.

Avantages Inconvnients

ISO/CEI27005 Dmarcheflexible Neconstituepasunguide

EBIOS Dmarchetrslogique Traitementdesexigences Logiciel Basesdeconnaissances SoutenueparlaDCSSI Trsreconnue

Distinguepeu loprationneldu restedelorganisation

Difficile dutilisation pour un novicedelascurit

MEHARI Logiciel ConuparleCLUSIF Reconnue

Mthodepotentiellementlourde

OCTAVE /OCTAVES

Orientemtier Accessibletous Documentationtrscomplte Cataloguedepratiques VarianteSpourlesPME Soutenue par le CERT/CC

(Computer Emergency ResponseTeam/ CoordinationCenter

Netraitepaslesexigences

ITGrundschutz Dmarchesimple,innovante Rapiditdemiseenuvre Trsaccessible

Nonexhaustive Netraitepaslesexigences Peuformelle


CITI

Version2009 40

Misejourfrquente SoutenueparlUnionEuropenne Enpleineexpansion Certificationpossible

Figure 16-Tableau de synthse


CITI

Version2009 41

Tabledesfigures

Figure1ProcessusISO/IEC27005................................................................................................................9

Figure2LadmarcheEBIOS.......................................................................................................................12

Figure3Exempled'identificationderisquepouruneentit.....................................................................16

Figure4Exempledetraitementdesrisquespouruneentit....................................................................17

Figure5Copiedcrandulogicield'assistancelamthodeEBIOS..........................................................19

Figure6Copiedcrandulogicield'assistancelamthodeEBIOS..........................................................20

Figure7ProcessusMEHARI........................................................................................................................21

Figure8Processusd'analysedesrisques...................................................................................................22

Figure9Tableaud'impactintrinsque.......................................................................................................24

Figure10Grillederductiond'impact.......................................................................................................25

Figure11Evaluationglobaledurisque......................................................................................................26

Figure12Lesphasesprincipalesd'OCTAVE...............................................................................................28

Figure13BSIstandards..............................................................................................................................34

Figure14ProcessusdelamthodologieITGrundschutz..........................................................................35

Figure15Copied'crandulogicielGSTOOL...............................................................................................37

Figure16Tableaudesynthse...................................................................................................................40

comparaison méthodes d'analyse de risque

Documents