Méthode d'analyse de risques informatiques optimisée par niveau

La méthode d'analyse de risques informatiques optimisée par niveau est une méthode d'audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité informatique d'une entreprise.

Catégories :

Standard en sécrité informatique - Méthode d'analyse de risques - Cindynique - Assurance - Abréviation en informatique

Source image : jeanmichelbasset.wordpress.com
Cette image est un résultat de recherche de Google Image. Elle est peut-être réduite par rapport à l'originale et/ou protégée par des droits d'auteur.

Page(s) en rapport avec ce sujet :

... MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux), ... La sécurité d'un réseau est un niveau de garantie que la totalité des ... la nouvelle version d'IE 8 optimisée pour CommentCaMarche... (source : commentcamarche)
Les méthodes principales du marché sont les suivantes : - MARION (Méthodologie d'Analyse et de réduction des Risques Informatiques Optimisés par Niveau).... (source : books.google)
Risque informatique : exemple Risque informatique... pour les risques informatiques * MARION (Méthode d'Analyse de Risques Informatiques Optimisée par... (source : ebooks-gratuit)

La méthode d'analyse de risques informatiques optimisée par niveau (Marion) est une méthode d'audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité informatique d'une entreprise. Le but est double :

situer l'entreprise auditée comparé à un niveau jugé correct, et comparé au niveau atteint par les entreprises semblables
identifier les menaces et vulnérabilités à contrer.

Principe

Six thèmes

L'analyse est articulée en 6 grands thèmes :

la sécurité organisationnelle
la sécurité physique
la continuité de service
l'organisation informatique
la sécurité logique et l'exploitation
la sécurité des applications

Vingt-sept indicateurs

Les indicateurs, répartis dans ces 6 thèmes, vont être évalués, et valorisés sur une échelle de 0 (très insatisfaisant) à 4 (très satisfaisant), le niveau 3 étant le niveau jugé correct. Chaque indicateur est affecté d'un poids selon son importance.

Dix-sept types de menaces

Accidents physiques
Malveillance physique
Panne du SI
Carence de personnel
Carence de prestataire
Interruption de fonctionnement du réseau
Erreur de saisie
Erreur de transmission
Erreur d'exploitation
Erreur de conception / développement
Vice caché d'un progiciel
Détournement de fonds
Détournement de biens
Copie illicite de logiciels
Indiscrétion / détournement d'information
Sabotage immatériel
Attaque logique du réseau

Phases

Préparation

Les objectifs de sécurité de l'entreprise sont définis
Le champ d'action de l'analyse est défini, mais aussi le découpage fonctionnel de ce champ d'action

Audit des vulnérabilités

Cette phase se base sur les questionnaires apportés par la méthode

Les contraintes de l'entreprise sont identifiées.
Les indicateurs sont valorisés de 0 à 4. Chaque indicateur est affecté d'un poids relatif.
La totalité des indicateurs est fréquemment représenté sous forme graphique : rosace/radar, diagramme en barres, ... Des diagrammes de synthèse sont aussi envisageables : rosace par source des risques (accident, malveillance, erreur), par impact des risque (disponibilité, intégrité, confidentialité des informations), ...

Analyse des risques

L'exploitation des résultats de l'audit sert à répartir les risques en majeurs (RM) et simples (RS).
Le SI est alors découpé en fonctions. Les groupes fonctionnels spécifiques hiérarchisés selon l'impact et la potentialité des risques les concernant sont identifiés. Pour chaque groupe fonctionnel de l'entreprise, chaque fonction est revue en détail afin d'évaluer les scénarios d'attaque envisageables avec leur impact et leur potentialité. Voir ci-dessus la typologie des menaces proposée par la méthode.

Élaboration du plan d'action

Les menaces et vulnérabilités qui pèsent sur l'entreprise étant identifiées et valorisées, l'entreprise décide du degré d'amélioration à apporter pour diminuer ces risques et parfaitement atteindre la note globale de 3.
Elle définit les moyens à y affecter. On évalue le coût de la mise en conformité.
Les tâches sont décrites et ordonnancées.

Évolution

La méthode MARION n'a plus évolué depuis 1998. Le CLUSIF, qui considère que la méthode MARION est devenue obsolète dans la prise en compte des urbanisations informatiques et des environnements d'applications et de réseaux, propose désormais une méthode harmonisée d'analyse des risques (Méhari).

Annexes

Voir aussi

Bibliographie

Alphonse Carlier (2006). Stratégie appliquée à l'audit des SI. Editions Lavoisier (Paris) 432 p.

Liens externes

Recherche sur Amazone (livres) :

Principaux mots-clés de cette page : risques - sécurité - méthode - entreprise - analyse - informatiques - niveau - indicateurs - erreur - audit - menaces - information - marion - clusif - vulnérabilités - thèmes - physique - exploitation - détournement - action -

Ce texte est issu de l'encyclopédie Wikipedia. Vous pouvez consulter sa version originale dans cette encyclopédie à l'adresse http://fr.wikipedia.org/wiki/M%C3%A9thode_d%27analyse_de_risques_informatiques_optimis%C3%A9e_par_niveau.
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 17/12/2010.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.