République Tunisienne
 Accueil | Contact | Plan du site
A+  A-   A
English    عربي 		 
Ministère des Technologies de la Communication
 
 
 
Accueil Audit Références documentaires
REFERENCES DOCUMENTAIRES
. Lois d'audit ..
Normes d'audit
c Méthodologies d'audit clic
 

Méthodologies d'audit de la sécurité informatique

La mission d'audit de la sécurité est une opération qui englobe divers volets ayant des relations directes avec le systeme d'information touchant les facteurs humains, organisationnel, technique, physique, environnemental et voir meme des facteurs de qualité, ce qui rend l'opération d'audit assez complexe et assez vaste. Cet aspect a obligé les auditeurs a développer des démarches claires et exhaustives pour couvrir toute l'opération d'audit. Ces démarches sont traduites sous forme de méthodologies définissant des méthodes claires et efficaces pour la mission. Les méthodologies se sont généralisées pour offrir une sorte de standard pouvant etre un support aux auditeurs.

Les méthodes d'audit de la sécurité informatique sont a la base d'une politique efficace et, bien souvent, des choix actionnels de gestion des risques.

Les méthodes doivent leur succes croissant a leur souplesse: elles peuvent etre appliquées a des sociétés de toute taille, dans tout domaine d'activité.

Il existe en ce moment plusieurs méthodologies d'audit privées et publiques dont :

La plus ancienne de ces méthodes s'appelle MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux). Élaborée par le CLUSIF (Club de la Sécurité des Systemes d'Information Français), elle a surtout été appliquée dans les années 1980 et 1990. L 'entreprise auditée se soumet a un certain nombre de questionnaires débouchant sur différentes notes de 0 a 4 (en tout, 27 indicateurs répartis en 6 catégories) évaluant sa performance a la fois par rapport a un standard - jugé satisfaisant - mais aussi par rapport aux autres entreprises ayant procédées a l'audit. Il existe en ce moment plusieurs méthodologies d'audit dont :

 

1- Méthodologies issues d'institutions gouvernementales

     t EBIOS Expression des Besoins et Identification des Objectifs de Sécurité

     t ITIL (IT Infrastructure Library)

     t CRAMM

     t FEROS Fiche d'Expression Rationnelle des Objectifs de Sécurité

 

2. Méthodologies issues d'associations de sécurité

     t MARION Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux

     t MEHARI (Méthode Harmonisée d'Analyse de Risques)

     t COBIT (Control Objectives for Information and Technology)

 

3. Méthodologies issues du CERT/CC

     t OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation

     t OCTAVE-S (OCTAVE-S est une version réduitede OCTAVE a destination des entreprises de moins de 100 personnes)

 

4. Méthodologies issues de boites privées

     t CALLIO(solution commerciale de Callio Technonolgies)

     t SCORE (Ageris consulting)

     t COBRA (Consultative, Objective and Bi-functional Risk Analysis)

 

 
Copyright © 2010 ANSI webmaster@ansi.tn