Méthode d'analyse de risques informatiques optimisée par niveau
Un article de Wikipédia, l'encyclopédie libre.
La méthode d'analyse de risques informatiques optimisée par niveau (Marion) est une méthode d'audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité informatique d'une entreprise. L'objectif est double:
- situer l'entreprise auditée par rapport à un niveau jugé correct, et par rapport au niveau atteint par les entreprises similaires
- identifier les menaces et vulnérabilités à contrer.
Sommaire |
[modifier] Principes
[modifier] Six thèmes
L'analyse est articulée en 6 grands thèmes:
- la sécurité organisationnelle
- la sécurité physique
- la continuité de service
- l'organisation informatique
- la sécurité logique et l'exploitation
- la sécurité des applications
[modifier] Vingt-sept indicateurs
Les indicateurs, répartis dans ces 6 thèmes, vont être évalués, et valorisés sur une échelle de 0 (très insatisfaisant) à 4 (très satisfaisant), le niveau 3 étant le niveau jugé correct. Chaque indicateur est affecté d'un poids en fonction de son importance.
[modifier] Dix-sept types de menaces
- Accidents physiques
- Malveillance physique
- Panne du SI
- Carence de personnel
- Carence de prestataire
- Interruption de fonctionnement du réseau
- Erreur de saisie
- Erreur de transmission
- Erreur d'exploitation
- Erreur de conception / développement
- Vice caché d'un progiciel
- Détournement de fonds
- Détournement de biens
- Copie illicite de logiciels
- Indiscrétion / détournement d'information
- Sabotage immatériel
- Attaque logique du réseau
[modifier] Phases
0.Préparation |
|
1.Audit des vulnérabiltés
Cette phase se base sur les questionnaires fournis par la méthode |
|
2.Analyse des risques |
|
3.Elaboration du plan d'action |
|
[modifier] Évolution
La méthode MARION n'a plus évolué depuis 1998. Le CLUSIF propose désormais une méthode harmonisée d'analyse des risques (Méhari) dont on peut penser qu'elle remplacera MARION.
[modifier] Annexes
[modifier] Voir aussi
- CLUSIF
- Méthode harmonisée d'analyse des risques
- Plan de continuité d'activité (informatique)
- Risques en sécurité informatique
- Sécurité de l'information
- Sécurité des systèmes d'information
[modifier] Bibliographie
- Alphonse Carlier (2006). Stratégie appliquée à l'audit des SI. Editions Lavoisier (Paris) 432 p.