35
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
de façon globale afin de pouvoir mettre en œuvre des solutions : règles de sécurité et de responsabilité. Les solutions s’appliquent sur plusieurs niveaux : Ce découpage permet un regroupement des mesures en six grandes familles : – Les mesures structurelles qui jouent sur la structure même du système d’information, pour éviter certaines agressions ou en limiter la gravité. – Les mesures dissuasives qui permettent, dans le cas d’agresseurs humains, d’éviter qu’ils mettent à exécution la menace potentielle en déclenchant l’agression. – Les mesures préventives : celles qui permettent d’empêcher les détériorations ou d’éviter qu’une agression n’atteigne des ressources du système d’information. – Les mesures de protection qui, sans empêcher les détériorations, permettent tout au moins d’en limiter l’ampleur. – Les mesures palliatives qui agissent une fois les détériorations accomplies, et qui permettent, d’une part d’en limiter les conséquences au niveau de l’entreprise, d’autre part de restaurer les ressources détériorées pour retrouver l’état initial. – Les mesures de récupération qui visent à récupérer une partie du préjudice subi par transfert des pertes sur des tiers, par le biais des assurances ou de dommages et intérêts consécutifs à des actions en justice, dans le cas d’agresseurs humains. b) Plan opérationnel de sécurité – Spécifier le domaine et les outils : élaboration des scénarios. Périmètre et niveau de détail Elaboration des scénarios Validation de la classification – Auditer le niveau de sécurité : audit des services Audit des services et sous services Consolidation au niveau cellules – Evaluer la gravité des scénarios : Potentialité/ Impact/ Gravité Détermination Potentialité/Impact/gravité – Exprimer les besoins de sécurité : mesures générales et spécifiques – Planifier les actions de sécurité : mesures prioritaires Mesures spécifiques et prioritaires Autres mesures hiérarchisées c) Plan opérationnel d’entreprise Dans cette étape il s’agit fondamentalement de mettre en place des scénarii sur les impacts et les conséquences que peuvent avoir ces sinistres sur le bon fonctionnement de l’entreprise. Cette partie conclue la boucle de l’application de la méthode Méhari par la mise en place d’un outil permettant le suivi des opérations à effectuer afin d’améliorer la sécurité de la société.