|
Méthode d'Audit de Sécurité Informatique dans l'Entreprise : La méthode FEROS |
Introduction
La plupart des entreprises a encore des difficultés à concevoir que leur sécurité peut être défaillante.
Ceci est particulièrement vrai dans un contexte de PME-PMI.
Chaque structure préfère croire que les pertes de données n'arrivent "qu'aux autres"
et argue souvent que les audits effectués par des sociétés spécialisées type SSII sont trop
onéreux pour leur budget.
Malheureusement, les dirigeants ou responsables informatiques oublient de se poser
une question cruciale : "combien cela me coûtera-t-il si l'informatique de mon entreprise,
ma base de donnée client ou ma comptabilité par exemple, disparaissait ?". En effet, cette question devrait
pouvoir sensibiliser n'importe quel décideur responsable, et l'amener à faire valider la cohérence
de ses systèmes d'informations et de sauvegardes.
Il existe aujourd'hui sur le marché différentes méthodes permettant d'auditer de manière
fiable et autonome une entreprise. Cependant, il faut garder en tête que faire appel à des
professionnels serait plus judicieux.
Dans tous les cas, voici une synthèse des quatre principales méthodes disponibles sur le
marché :
1. La méthode Feros
2. La méthode Méhari
3. La méthode Marion
4. La méthode Melissa.
La méthode FEROS
La méthode FEROS signifie : Fiche d'Expression Rationnelle des Objectifs
de Sécurité des Systèmes d'Information.
Elle part du constat simple que les Responsables Informatiques sont généralement chargés de veiller sur :
- le bon fonctionnement des matériels et réseaux de communication de l'entreprise,
- l'intégrité des données qui circulent, sont sauvegardées et archivées.
Partant de ce constat, il est donc primordial de définir des objectifs de sécurité à
mettre en oeuvre dans l'entreprise.
Pour ce faire, il faut commencer par déterminer les besoins de la structure auditée :
- identification des données cruciales,
- détermination d'un seuil de tolérance de disponibilités ou inaccessibilité des dites données
- identification des impératifs légaux incontournables qu'il faut respecter.
En parallèle de ces objectifs doivent se trouver les contraintes incontournables que rencontre la société :
- contraintes matérielles,
- contraitres de limitation de savoir faire en interne,
- contrainte de disponibilités des ressources hommes etc.
C'est en confrontant les besoins de l'entreprise en matière de sécurité avec les contraintes auxquelles
elle doit faire face qu'il faudra déterminer la politique de sécurité à mettre instaurer.
Une fois les grands axes de cette politique définis, il est important selon la méthode FEROS de s'interroger sur
les menaces que l'entreprise peut rencontrer :
- piratage amateur à vocation ludique,
- piratage professionnel à la solde de la concurrence,
- piratage d'un personnel interne en colère contre l'entreprise etc .....
La méthode FEROS s'articule autour de quatre axes principaux :
- un guide permettant à chaque structure auditée de rédiger un questionnaire qui lui sera propre,
- le questionnaire structuré qui permettra de mettre en évidence les particularités de l'entreprise,
- un glossaire qui définira précisément le sens de chaque terme technique employé pour le vulgariser auprès des
décideurs non techniques,
- une synthèse des menaces potentielles qui permettra d'en prévoir les parades.
Cette méthode émane du SCSSI et vous la retrouverez intégralement sur leur site.
Notre opinion : Cette méthode possède le gros avantage d'être simple d'appréhension
pour un non initié à la technique. Fonctionnelle et structurée cette méthode permet de réagir rapidement et
pourquoi pas de préparer le travail d'une société extérieure qui sera chargée d'approfondir chaque point soulevé par
l'application de cette méthode. En effet, elle nous semble être un bon moyen de "préparer le terrain" et donc réaliser
des économies substantielles en ne faisant appel à des spécialistes qu'une fois le terrain déblayé.
Plus d'informations sur nos services d'audit en cliquant ici.
| |
| 
