La mission d'audit de la sécurité est une opération qui englobe divers volets ayant des relations directes avec le système d'information touchant les facteurs humains, organisationnels, techniques, physiques, environnementaux et voire meme des facteurs de qualité, ce qui rend l'opération d'audit assez complexe et assez vaste. Cet aspect a obligé les auditeurs à développer des démarches claires et exhaustives pour couvrir toute l'opération d'audit. Ces démarches sont traduites sous forme de méthodologies définissant des méthodes claires et efficaces pour la mission.
Les méthodologies se sont généralisées pour offrir une sorte de standard pouvant être un support aux auditeurs. Les méthodologies d'audit de la sécurité informatique sont à la base d'une politique efficace et, bien souvent, des choix actionnels de gestion des risques. Ces méthodologies doivent leur succès croissant à leur souplesse: elles peuvent être appliquées à des sociétés de toute taille, dans tout domaine d'activité. Il existe en ce moment plusieurs méthodologies d'audit dont :
1. Méthodologies issues d'institutions gouvernementales
Expression des Besoins et Identification des Objectifs de Sécurité. La méthode EBIOS (Expression du Besoin et Identification des Objectifs de Sécurité) a été élaborée par la DCSSI (Direction Centrale de la Sécurité des Systemes d'Information) en france.
Elle est particulierement déployée au sein de l'administration française. Elle comprend une base de connaissances qui décrit les types d'entités, les méthodes d'attaques, les vulnérabilités, les objectifs de sécurité et les exigences de sécurité. Elle propose également un recueil des meilleures pratiques sur l'élaboration de schémas directeurs SSI, la rédaction de profils de protection, de cibles de sécurité et de SSRS (System-specific Security Requirement Statement). La méthode se veut un outil de gestion des risques SSI mais aussi de sensibilisation, de négociation et d'arbitrage. Elle est téléchargeable sur le site de la DCSSI et s'accompagne d'un logiciel d'assistance, distribué sous licence libre.
Les résultats de la méthode EBIOS peuvent etre exploités dans le cadre d'une FEROS (Fiche d'Expression Rationnelle des Objectifs de Sécurité), document créé par la DCSSI (Direction centrale de la sécurité des systemes d'information) qui dépend, elle aussi, des services du Premier Ministre. Ce document est obligatoire pour les systemes traitant d'informations classées "défense".
Il présente l'ensemble des objectifs de sécurité du systeme étudié et les risques résiduels, mais aussi la démarche et l'argumentation qui a permis de les identifier. Ainsi, apres avoir extrait certaines données (systeme étudié, besoins de sécurité, menaces, risques...) en provenance d'une étude EBIOS, la fiche FEROS permet de réorganiser et de classer les objectifs de sécurité et de définir les responsabilités qui doivent - ou ne doivent pas - etre engagées. La méthode EBIOS (Expression du Besoin et Identification des Objectifs de Sécurité) a été élaborée par la DCSSI (Direction Centrale de la Sécurité des Systemes d'Information) en france.
Lien : https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios...
ITIL , un référentiel international édictés par l'Office public britannique du commerce, définissant les meilleures pratiques étroitement liées à l'application de la norme ISO 17799 pour la sécurisation de l'infrastructure informatique, vient de répondre aux besoins des entreprises qui cherchent à améliorer l'efficacité du système d'information, réduire les risques, augmenter la qualité et l'évolutivité des services IT délivrés.
Le référentiel ITIL suit une démarche d'amélioration itérative des processus composant les services IT, il met en place plusieurs moyens pour la définition des processus et leurs interactions, la définition des rôles et des responsabilités, l'organisation des relations clients-fournisseurs et la définition des moyens de contrôle des résultats obtenus.
ITIL comporte 6 modules principaux :
- Service Support : support aux utilisateurs.
- Service Delivery : gestion du service.
- Software Asset Management : gestion des logiciels.
- ICT Infrastructure Management : contrôle des processus.
- Application Management : gestion des projets.
- Security Management : gestion de la sécurité.
Les 2 premiers modules (Service Support et Service Delivery) constituent la base d'ITIL.
Le support des services ITIL, destiné au support des utilisateurs et à la gestion des services, comprend six processus :
- Service Desk : point central de relation entre client et fournisseur,
- Gestion des incidents : définition des activités et opérations pour la reprise rapide après incident,
- Gestion des problèmes : surveillance du niveau de service et analyse des incidents,
- Gestion des configurations : description détaillée du SI et de ses processus,
- Gestion des changements : mécanismes de conduite du changement,
- Gestion des versions : processus de mise en service des nouvelles activités.
La fourniture des services ITIL comprend également six processus pour Organise la gestion des services (besoins, ressources, niveau de service, contrôle des couts..) :
- Gestion du niveau de service : description des services et mises en place avec l'utilisateur. Niveaux de service (SLA),
- Gestion de la capacité : gestion des ressources et définition des objectifs de l'entreprise,
- Gestion de la disponibilité : contrôle de la conformité du niveau de service par rapport aux engagements,
- Gestion de la continuité : définition et utilisation d'un plan de surveillance de la continuité du service (sécurité),
- Gestion financière des services informatiques : définition des seuils de rentabilité, décisionnel financier,
- Gestion de la relation avec les clients.
Liens : http://www.itilfrance.com
2. Méthodologies issues d'associations de sécurité
MEHARI (Méthode Harmonisée d'Analyse de Risques)
Méthode d'analyse et de gestion des risques conçue par le CLUSIF.
Langues : bases de connaissance (Français, Anglais, Roumain), documentation en plusieurs langues (Français, Anglais, Allemand, Espagnol, Italien, Roumain).
MEHARI représente une évolution notable depuis deux autres méthodes françaises: MARION et MELISA.
MEHARI :
Est un composant utile pour réaliser une démarche SMSI (ISO 27001),
Est conforme aux recommandations de la norme ISO 27005,
Apporte des indicateurs relatifs aux points de contrôles ISO 27002.
La méthode contient des guides accompagnés par des exemples d'utilisation et des liens d'assistance, disponibles sur le site du CLUSIF :
- Présentation générale, Principes et mécanismes,
- Guide de l’analyse des enjeux et de la classification,
- Guide du diagnostic de l’état des services de sécurité,
- Guide de l'analyse de risque
Les "Bases de Connaissances" sont disponibles sur le site du CLUSIF et utilisables gratuitement (en mode Open Source) :
- Base des services de sécurité,
- Base d'audit des services de sécurité,
- Base de scénarios de risque,
- Base d'analyse des scénarios de risque en fonction des services de sécurité effectifs,
- Manuel de référence des scénarios de risque avec évaluation directe des facteurs de risque.
La méthode contient des moteurs d'évaluation quantitative.
- De la qualité des services de sécurité,
- Des facteurs de risque (menaces),
- De la potentialité, de l'impact et de la gravité de chaque scénario de risque,
- Des besoins d'amélioration des mesures de sécurité.
Il est possible d’utiliser des macros pour réaliser les quantifications ainsi que des outils logiciels tels que RISICARE (produit commercial de la société BUC SA) qui permet l'audit des vulnérabilités, la gestion des scénarios, l'évaluation du niveau de gravité des risques et la planification d'actions correctrices.
MEHARI permet à l'entreprise de consolider la politique de sécurité, de piloter la sécurité et de définir des plans d'amélioration optimaux à partir de l'analyse de risques : Cible l'administration, les grands comptes et les entreprises PME-PMI
Site officiel : https://clusif.fr/mehari/
Control Objectives for Information and Technology
Méthode publiée par l'ISACA (Information Systems Audit and Control Association).
Actuellement dans sa 3e édition, COBIT se veut accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances, une liste de facteurs clés de succès et de bonnes pratiques pour les non techniciens. Les outils fournis permettent la mesure des performances mais la méthode est aujourd'hui davantage assimilée à une méthode de gouvernance des SI.
La mise en œuvre de COBIT consiste en sept phases :
- Phase 1 : Quels sont les pilotes?
La phase 1 de l'approche de mise en œuvre identifie les moteurs de changement actuels et crée au niveau de la direction une volonté de changement qui s'exprime ensuite dans les grandes lignes d'une analyse de rentabilisation. Un pilote de changement est un événement interne ou externe, une condition ou un problème clé qui stimule le changement. Les événements, les tendances (industrie, marché ou technique), les insuffisances de performances, les implémentations logicielles et même les objectifs de l'entreprise peuvent tous servir de moteurs de changement. - Phase 2 : Où sommes-nous actuellement?
La phase 2 aligne les objectifs liés à l'information et aux technologies avec les stratégies et les risques de l'entreprise et priorise les objectifs d'entreprise, les objectifs d'alignement et les processus les plus importants. En fonction des objectifs de l'entreprise et des objectifs liés aux TI, ainsi que d'autres facteurs de conception, l'entreprise doit identifier les objectifs de gouvernance et de gestion et les processus sous-jacents pour assurer des résultats positifs. - Phase 3 : Où voulons-nous être?
La phase 3 définit un objectif d'amélioration suivi d'une analyse des écarts afin d'identifier les solutions potentielles. Certaines solutions seront des « quick wins » et d’autres seront des tâches à long terme et plus difficiles. La priorité devrait être donnée aux projets qui sont plus faciles à réaliser et susceptibles de donner le plus grand avantage. Les tâches à plus long terme doivent être décomposées en éléments gérables. - Phase 4 : Que faut-il faire?
La phase 4 explique comment planifier des solutions réalisables et pratiques en définissant des projets soutenus par des cas métiers justifiés et un plan de changement pour la mise en œuvre. Un cas métier bien développé peut aider à faire en sorte que les avantages du projet soient identifiés et surveillés en permanence. - Phase 5 : Comment pouvons-nous y arriver?
La phase 5 prévoit la mise en œuvre des solutions proposées via les pratiques quotidiennes et l’établissement de mesures et la surveillance des systèmes pour s'assurer que l'alignement des activités est réalisé et que les performances peuvent être mesurées. Le succès nécessite l'engagement, la sensibilisation et la communication, la compréhension et l'engagement de la direction, ainsi que l'appropriation par les responsables des processus métier et IT concernés. - Phase 6 : Est-ce que nous y sommes arrivés ?
La phase 6 se concentre sur la transition durable des pratiques améliorées de gouvernance et de gestion vers des opérations métiers normales. Elle met également l'accent sur le suivi de la réalisation des améliorations à l'aide des indicateurs de performance et des avantages attendus. - Phase 7 : Comment maintenir le rythme?
La phase 7 examine le succès général de l'initiative, identifie d'autres exigences en matière de gouvernance ou de gestion et renforce le besoin d'amélioration continue. Elle donne également la priorité à d’autres possibilités d’améliorer le système de gouvernance.
Site officiel :
http://www.isaca.org/cobit/pages/default.aspx
3. Méthodologies issues du CERT/CC
Operationally Critical Threat, Asset, and Vulnerability Evaluation
- Parue en 1999.
- Pas de référence ISO 17799 .
- Langue Anglaise.
La méthodologie est conçue pour être conduite en interne. La méthodologie comprend trois phases principales :
- Vue organisationnelle : création des profils de menaces sur les biens de l'entreprise à partir des connaissances des cadres supérieurs, des cadres opérationnels et des équipes de production,
- Vue technique : Identification des vulnérabilités d'infrastructure,
- Développement de la stratégie : analyse de risques, mise en place des mesures de sécurité
Les documents produits à la fin de l'utilisation de la méthode sont :
- Une stratégie de protection pour l'organisationnel et l'opérationnel,
- Un plan de gestion des risques pour l'IT,
- Un plan d'action à court terme pour l'ensemble de l'organisation.
Déclinée en une version pour les PME en 2003 Cible l'administration, les grands comptes et les entreprises PME/PMI
OCTAVE-S (OCTAVE-S est une version réduite de OCTAVE à destination des entreprises de moins de 100 personnes)
Site officiel : http://www.cert.org/octave/