L'octave informatique

C’est une méthode d’évaluation publiée par le SEI (Software Engineering Institute) de la Carnegie Mellon University de Pittsburgh aux États-Unis, université très reconnue dans le domaine de la sécurité. En se basant sur les travaux du CERT11 Américain, l’équipe du SEM (Survivable Enterprise Management) a développé cette méthode d’évaluation des vulnérabilités, des menaces, et des actifs opérationnels critiques. L’ensemble de la méthode est public et maintenu par l’université. Elle est centrée sur la protection des actifs de l'entreprise et le management du personnel. Elle couvre l'ensemble des processus métiers de l'entreprise aux niveaux organisationnel et technique. Cette méthode suppose la constitution d'une équipe pluridisciplinaire comprenant des membres de tous les services de l'entreprise. Elle leur permettra d'améliorer leur connaissance de leur entreprise et de mutualiser les bonnes pratiques de sécurité. MEHARI est une méthode d'analyse des risques mise au point en 1996 par le Club de la sécurité de l'information français (CLUSIF). Elle s'inspire de la méthode MARION, elle aussi mise au point par le CLUSIF. MEHARI a pour but d'aider les entreprises et organismes à sécuriser leurs systèmes d'information. Elle est très utilisée en France, en Europe et également au Québec. La démarche générale de MEHARI consiste à diagnostiquer l’état de la sécurité, l'analyse des enjeux de sécurité avec une classification préalable des entités du système d’information en fonction de trois critères de sécurité de base (confidentialité, intégrité, disponibilité). MEHARI dispose également d’une base de connaissance des services de sécurité et pourra être employée pour bâtir un référentiel de sécurité (politique de sécurité) contenant l’ensemble des règles de sécurité à respecter dans l’entreprise. MEHARI demeure une des méthodes d’analyse des risques les plus utilisées actuellement. Elle est dérivée de deux autres méthodes d’anayse des risques (MARION et MELISA). MEHARI est maintenue en France par le CLUSIF (Club de la Sécurité des Systèmes d’Information Français), via notamment le Groupe de Travail dédié à cette méthode. Cette méthode se présente comme une véritable boîte à outils de la sécurité des SI, permettant d’appréhender le risque de différentes manières au sein d’une organisation, et composée de plusieurs modules. Ces derniers, indépendamment de la démarche sécurité choisie. Pour en savoir davantage, je vous recommande la lecture du site internet de l'agence web Lyon qui est très bien élaboré sur ce sujet.