MARION, MELISA, MEHARI et EBIOS sont différentes méthodes d'évaluation des risques informatiques.

Leurs principales caractéristiques sont les suivantes :

MARION

Méthode développée initialement en 1985, puis régulièrement améliorée et adaptée.

Le risque est mesuré par sa gravité : évaluation de ses conséquences / impacts et de sa potentialité (depuis 1993).

3 phases :

Phase 1 : analyse des risques (analyse de 17 scénarios types, mesure des risques, sélection des risques majeurs)

Phase 2 : analyse des vulnérabilités au travers de l'audit de 27 facteurs de sécurité (repose sur la réponse à un questionnaire de plus de 600 questions), pondération, synthèse

Phase 3 : définition du plan d'action, avec distinction des mesures prioritaires, secondaires de mise en cohérence, avec itérations et optimisation

Avantages de la méthode :

  • Possibilité de se comparer aux autres entreprises d'un même secteur d'activité au travers de la note acquise
  • Existence de bases de connaissance mises à jour annuellement

MELISA

Méthode d'auto audit développée initialement par la DGA (Direction générale de l'Armement) et la DCN (Direction des constructions navales) en 1985, puis étendue.

Le risque est mesuré au travers de l'analyse des vulnérabilités grâce à l'étude d'évènements, sortes de mini-scénarios imagés et détaillés (environ 600 par base de connaissance). La vulnérabilité est considérée comme la résultante de la gravité des conséquences de l'évènement (impact), le risque de non détection de l'évènement, sa facilité de réalisation et du "facteur d'exposition structurelle" (id. la vulnérabilité liée aux sujets). Pour chaque mini-scénario, le choix d'une parade permet d'évaluer la vulnérabilité résiduelle.

Avantages de la méthode :

  • Approche concrète
  • Existence de bases de connaissances mises à jour annuellement organisées par type de système et sensibilité (S : sensible, P : vitales, R : réseaux).

MEHARI

Méthode développée par le CLUSIF (Club de la Sécurité Informatique Français) dans les années 1993 en partant des concepts de MARION et MELISA.

Le risque est mesuré au travers de l'étude de 6 facteurs de risques et 6 mesures de sécurité.

La potentialité est considérée liée à 3 paramètres :

  • l'exposition naturelle (attrait, ciblage)
  • le niveau de risque pour l'agresseur (risque d'être identifié et sanctionné)
  • le niveau des moyens requis (intellectuels, matériels, temps)

L'impact est considéré lié à 3 paramètres

  • la circonscription des dommages (matériels, données)
  • les capacités de reprise (opérations, flux financiers, communication)
  • la capacité de récupération financière

Les 6 mesures sont considérées comme ayant une influence sur un des facteurs :

  • structurelles (localisation, architecture, organisation)
  • dissuasives (identification, journalisation, sanctions)
  • préventives (contrôle d'accès, détection, interception)
  • de prévention (détection, intervention, non propagation)
  • palliatives (restauration, reconfiguration, secours)
  • de récupération (assurances, actions en justice)

La méthode introduit 16 familles de services, décomposés en sous-service, et une base de connaissance basée sur 12 familles de scénarios de 10 scénarios chacune en moyenne

Depuis 1995, la méthode distingue plans stratégiques et opérationnels, ce qui revient en fait à distinguer les mesures d'ordre global (mesures assurant la cohérence pour l'ensemble de l'entreprise) et local (plans réalisés par chaque entité : ressources locales).

Depuis 1996, une approche globale, basée sur la classification des ressources, l'analyse d'un nombre limité de scénarios et l'évaluation de l'effet global des mesures a été mise en œuvre.

Avantages de la méthode :

  • Application rapide

EBIOS

EBIOS (Expression des Besoins et Identification des Objectifs de sécurité) est une méthode créée en 1995 par la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) du Secrétariat général de la défense nationale. La méthode est compatible avec les normes internationales telles que l'ISO 13335 (GMITS), l'ISO 15408 (critères communs) et l'ISO 17799.

Le risque de sécurité des systèmes d'information (SSI) est considéré une combinaison d'une menace et des pertes qu'elle peut engendrer. La menace SSI peut être considérée comme un scénario envisageable, avec une certaine opportunité (représentant l'incertitude). Ce scénario met en jeu : une méthode d'attaque, les éléments menaçants susceptibles de l'employer (naturels ou humains, manière accidentelle ou délibérée), les vulnérabilités des entités (matériels, logiciels, réseaux, organisations, personnels, locaux), qui vont pouvoir être exploitées par les éléments menaçants dans le cadre de la méthode d'attaque. Les pertes sont généralement estimées en termes d'atteinte des besoins de sécurité des éléments essentiels (le patrimoine informationnel et les processus associés) et d'impacts induits sur l'organisme.

La gestion des risques SSI est considérée comme un processus continu et itératif en 4 phases :

Phase 1 : appréciation des risques représente l'ensemble du processus d'analyse et d'évaluation du risque. Elle consiste à décrire le contexte (l'organisme, le système d'information, les éléments essentiels à protéger, les entités sur lesquelles ils reposent, les enjeux liés au SI, les contraintes à prendre en compte, …), puis les besoins de sécurité des éléments essentiels en termes de disponibilité, d'intégrité et de confidentialité, et enfin à identifier et à caractériser les menaces pesant sur le SI en terme d'opportunité (représentant l'incertitude de ces menaces) puis à déterminer les risques en confrontant les menaces aux besoins de sécurité.

Phase 2 : traitement des risques est le processus de sélection et de mise en œuvre des mesures de protection contre les risques. Il consiste tout d'abord à identifier les objectifs de sécurité exprimant la volonté de traiter ou non les risques en ne préjugeant pas des solutions à mettre en œuvre puis à déterminer les exigences de sécurité décrivant la manière de traiter les risques (dissuasion, protection, détection, récupération, restauration, compensation et les mesures de sécurité, techniques ou non techniques à mettre en œuvre.

Phase 3 : acceptation des risques SSI représente la décision d'accepter les risques résiduels. Elle est prononcée pour une durée déterminée, par une autorité d'homologation, qui doit être à désigner.

Phase 4 : communication relative aux risques SSI représente le partage d'informations concernant les risques.

Avantages de la méthode :

  • Le référentiel est composé d'un ensemble d'outils pour découvrir la méthode, s'y former, la pratiquer et contribuer à son développement communautaire.
  • La méthode est directement applicables à la plupart des secteurs, mais chacun peut l'adapter à son contexte particulier.
  • Des éléments nécessaires à la prise de décision et à la gestion de celle-ci sont fournis (EBIOS est proposée comme un outil de négociation et d'arbitrage).
  • Des formations gratuites sont assurées par la DCSSI pour les intervenants des organismes publics.