33
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
Enjeux critiques + Vulnérabilités fortes = Risques inacceptables
Cette expression très simple signifie que le management de la sécurité a pour objectif fondamental d’éviter de se trouver dans une situation telle que des vulnérabilités fortes pourraient être exploitées et conduire à des sinistres très critiques pour l’entreprise ou l’organisation qui en est victime. Les phases de MEHARI sont les suivantes : + Phase 1 : établissement d’un plan stratégique de sécurité (global) qui fournit notamment : – la définition des métriques des risques et la fixation des objectifs de sécurité, – la reconnaissance et la détermination des valeurs de l’entreprise, – l’établissement d’une politique de sécurité entreprise, l’établissement d’une charte de management. + Phase 2 : établissement de plans opérationnels de sécurité réalisés par les différentes unités de l’entreprise + Phase 3 : consolidation des plans opérationnels (Plan global). Nous allons détailler ces différentes étapes dans la suite de notre rapport, en étudier les modalités et les moyens à mettre en œuvre. 2- Mise en place de la méthode MEHARI se présente comme un ensemble cohérent d’outils et de méthodes de management de la sécurité, fondés sur l’analyse des risques. Les deux aspects fondamentaux de MEHARI sont le modèle de risque (qualitatif et quantitatif) et les modèles de management de la sécurité basés sur l’analyse de risque. MEHARI vise à donner des outils et des méthodes pour sélectionner les mesures de sécurité les plus pertinentes pour une entreprise donnée.