Revue des référentiels traitant de la sécurité des systèmes d'information

Aujourd'hui, en recherchant des documents clairs me permettant de faire le tri de façon simple dans les différents principaux référentiels disponibles pour assurer la sécurité de son système d'information, j'ai eu envie de vous écrire un billet passant en revue ces différents référentiels et de vous faire partager les documents que je juge intéressant.

  • Les "classiques" :

- MEHARI, éditée par le CLUSIF, dans sa dernière version 2010 qui a pour avantage de pouvoir s'inscrire dans une démarche ISO 27001 et qui est totalement gratuite et open source.

- EBIOS, créée par l'ANSSI, également dans sa dernière version 2010, et dont nous en avions déjà fait sa présentation sur ce blog.

  • Les "ISO" :

- ISO/IEC 27000:2009 : Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -- Vue d'ensemble et vocabulaire

- ISO/IEC 27001:2005 : Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -- Exigences

- ISO/IEC 27002:2005 : Technologies de l'information -- Techniques de sécurité -- Code de bonne pratique pour le management de la sécurité de l'information

- ISO/IEC 27003:2010 : Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour la mise en oeuvre du système de management de la sécurité de l'information

- ISO/IEC 27004:2009 : Technologies de l'information -- Techniques de sécurité -- Management de la sécurité de l'information -- Mesurage

- ISO/IEC 27005:2008 : Technologies de l'information -- Techniques de sécurité -- Gestion des risques en sécurité de l'information

- ISO/IEC 27006:2007 : Technologies de l'information -- Techniques de sécurité -- Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information

- ISO 27799:2008 : Informatique de santé -- Management de la sécurité de l'information relative à la santé en utilisant l'ISO/CEI 27002

- ISO/IEC 27011:2008 : Technologies de l'information -- Techniques de sécurité -- Lignes directrices du management de la sécurité de l'information pour les organismes de télécommunications sur la base de l'ISO/CEI 27002

  • Les approches conventionnelles :

- OCTAVE ET OCTAVE -S : publiée par l'université américaine Carnegie Mellon , qui héberge le centre de coordination des CERT mondiaux.

- CRAMM : créée par Siemens en Anglettre et compatible avec la norme BS7799.

  • Les approches spécifiques :

- ITBPM : créée par le BSI, analogue allemand de notre ANSSI, qui possède une approche par module assez intéressante

- SSE-CMM/ISO 21827 : fonctionne en utilisant le concept de l'approche processus.

  • Les disparues :

- MARION, développée par le CLUSIF, elle a été abandonnée au profit de MEHARI

- MELISA, développée par la DGA et abandonnée.

Comme nous pouvons le voir, il existe une multitude de référentiels permettant d'aider une entité a améliorer la sécurité de son système d'information (et nous n'avons listé ici que les plus courantes).

Il n'existe pas de méthode miracle, le choix de cette dernière dépend de vos objectifs, de vos actifs à protéger et de votre organisation.

Dans les prochains billets, je tenterai de détailler les éléments distinctifs de ces méthodes pour vous aider à faire ce choix. En attendant, les liens ci-dessous vous permettrons d'approfondir un certain nombre de méthodes.

Sources / Pour en savoir plus :

- MEHARI 2010 sur le Club de la Sécurité de l'Information Français (CLUSIF)

- Normes de sécurité : les méthodes d'analyse des risques

- OCTAVE

- Etude comparée de référentiels et méthodes utilisées en sécurité informatique (PDF)

- Organisation Internationale de Normalisation (ISO)

- EBIOS 2010

2 thoughts to “Revue des référentiels traitant de la sécurité des systèmes d'information”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.