Discussion :

[slideveloppeur2006]

Bonjour,

J'aimerais faire un audit de ma société où le divisant en trois grandes catégories :

- audit de l'environnement de développement web (environnement PHP, gestion du versionning, injection SQL, c'est vrai que c'est technique)
- audit de l'architecture réseau (plus coté DMZ,proxy,routeur...)
- audit du systême d'information ( risques liés aux différents processus organitationels : production, recherche, commerce, vente.....)


J'aimerais afin de faire quelque chose de "propre" en suivant les méthodologie existantes. Mon choix se porte sur deux options :

- MEHARI 2007 (gratuite !!) mais son logiciel permettant d'appuyer la méthode est je pense payant
- EBIOS (plus ancienne) qui est gratuite et a un logiciel en licence GPL

Apparemment l'analyse des risques avec ses méthodes couvre énormément de couche (que ce soit organisationel, SI, reseau, physique...)

Deja est-ce que ma démarche est correcte ?

L'entreprise est une SSII de 6 employés. J'aimerais avoir des retours d'expérience sur la durée d'une telle mission (sachant que la collecte d'information ne sera pas un obstacle), est-ce que les objectifs suivant mes troix axes seront vu avec ces méthodes ?


Merci beaucoup,

[Promeneur]

C'est très spécialisé, comme demande. Il te faudra de la chance pour que quelqu'un capable de te répondre passe par là. Perso, dans un ancien poste, quand on m'a demandé de m'occuper de quelque chose de semblable, j'ai proposé de sous-traiter. Cela ne s'est finalement pas fait, mais des groupes comme http://www.lexsi.com/societe.html me semblent adaptés à ce genre de besoins.

[slideveloppeur2006]

Ben en fait j'aimerais le faire moi-même...personne n'a d'idée ?

[slideveloppeur2006]

Bon ca avance un peu, j'ai décidé d'utiliser la méthode MEHARI 2007 sans le logicel RISICARE (1000 euros pour 3 mois ).

Apparement c'est un méthode d'approche des risques au niveau de tous le systeme d'information de l'entreprise (logique et physique).

Par rapport au temps impartis je pense que ma démarche sera :

- analyse des enjeux et classification des ressourcess
- audit des services de sécurité ( avec le questionnaire)
- plans d'action basés sur l'audit des vulnérabilités

Si d'autres personnes s'intéressent et applique ce genre de méthode, ca serait bien de partager les connaissances.

[Promeneur]

Par curiosité, tu vas monter des attaques sur ton système ?

[slideveloppeur2006]

Pour le moment rien de prévu de ce coté la. Car la démarche est différente.

La méthode MEHARI va permettre d'identifier les risques du systêmes ( notamment un risque d'intrusion dans le SI).
Ensuite si les ressources au niveau temps/moyens sont suffisantes, pourquoi pas, faire des tests appronfondies de ce coté la (avec des logiciels d'audit/test réseaux) serait un plus.

Mais le plus important est de bien proportionné le cout que cela aura ( plusieurs journée, risque de planter le reseau...) par rapport au enjeu de l'entreprise et surtout de la probabilité que ce risque arrive.

Ceci est mon opinion de débutant

[slideveloppeur2006]

Pour ceux qui connaisse cette méthode (ou à peu près), je voulais savoir si mes analyses des risques était correct.


Par exemple :

Un cahier des charges qui n'est pas toujours validée par le pôle développement (ce qui a pour csq un allongement des temps de developpement (vu quil peut y avoir des surprises...)

ou

Pertre de plusieurs gros contrat (qui peuvent mettre en danger la situation de l'entreprise)

Est-ce qu'on reste dans le domaine de l'analyse des risques du SI ou est-ce que je m'éloigne trop et m'attarde plus sur des questions organitationnelles.


Merci

[perry75000]

ISO 27001