Vers une nouvelle mthode ddie

linformatique en nuage
Saadia Drissi, Hanane Houmani, Hicham Medromi
Equipe architecture des systmes (EAS)
Laboratoire dinformatique, Systmes et Energie Renouvelables (LISER)
Universit Hassan II An Chock. ENSEM, BP. 8118, Oasis Casablanca, Maroc
(saadia.drissi@gmail.com, hanane.houmani@ift.ulaval.ca, hmedromi@yahoo.fr)

Rsum Le Cloud Computing offre des avantages et

plusieurs possibilits importantes pour les entreprises
utilisatrices. En effet, il permet de rduire les investissements
et les interventions de maintenance technique et applicative
tout en profitant daccs rapide et mobile ses donnes
hberges de faon scurise en payant uniquement ce qui
consomm.
Pourtant, ces avantages sont freins par lexistence des risques
de scurit, do limportance dutilisation dune mthode de
gestion des risques pour avoir une mtrique prvenir et grer
ses risques.
Mais jusqu ce jour, il nexiste aucune mthode de gestion des
risques ddie linformatique en nuage.
Cette communication aborde le thme des risques
informatiques, pour but de palier les faiblesses releves dans les
mthodes de gestion des risques.
Mots cls Gestion des risque informatiques, cloud
computing ou informatique en nuage,

I. INTRODUCTION
Le Cloud Computing ou linformatique dans le nuage
est lune des technologies innovantes, qui permet
dhberger des ressources matrielles (serveurs) et
logicielles (ERP, CRM, bases de donnes), chez un
prestataire disposant dune architecture oriente service,
volutive et puissante.
Il existe plusieurs types de cloud computing classs selon
leur utilisation :
SaaS : Software as a Service, le fournisseur
maintient des applications que le client utilis de
manire totalement transparente. Par exemple, les
applications Google (doc, reader, gmail, etc).
PaaS : Platform as a Service, le client maintient
uniquement ses applications alors que le
fournisseur maintient les serveurs et l'infrastructure
logicielle (bases de donnes, scurit, stockage).
IaaS : Infrastructure as a Service. On met
disposition des ressources composes par une
infrastructure virtualise, dont la plus grande partie
est localise distance dans des Datacenters.
En effet lutilisation de linformatique dans le nuage
offre aux entreprises plusieurs possibilits importantes,
tel que la rduction des couts dexploitation pour le
client, il permet aussi aux utilisateurs de se concentrer au

mtier et non au service informatique, grande puissance

de calcul, mise jour et volutivit. Pourtant cette
technologie entraine des risques.
Le risque, cest un ventuel problme qui ne sest pas
encore produit, qui existe avec ou sans Cloud, mais dans
le cas du Cloud le risque augmente car la connexion des
postes internet, les exposent un risque dattaque ou
des violations de confidentialit.
Do limportance dutilisation des mthodes de
gestion du risque lies la scurit des systmes
dinformation , afin daider les entreprises soucieuses de
leur scurit dfinir des barrires de protection,
valuer les risques et identifier les dangers induit par les
systmes dinformation.
En effet, ces mthodes de gestion du risque
informatique sont nombreuses et leurs approches
peuvent tre diffrentes.il nexiste pas de bonne et de
mauvaise mthode de management du risque SI,
puisquil y a une grande multiplicit et diversit dans les
activs et dans les approches de scurit [1].
Parmi les mthodes les plus utilises, savoir
EBIOS (expression des besoins et identifications des
objectifs de scurit), MEHARI (mthode harmonise
danalyse des risque), OCTAVE (operationally critical
threat,asset,and vulnerability evaluation) et CRAMM, et
aussi la norme internationnale ISO/IEC 27005 qui traite
la gestion des risques des systmes dinformation.
Malgr lexistence de plusieurs outils de gestion des
risques, le cloud computing manque de mthodes
adquates permettant de grer efficacement ses risques.
Lobjectif de cette communication est dtudier les
dfrentes mthodes de gestion des risques et de mettre
en vidence les faiblesses, afin de leur proposer des
solutions.
II. ETAT DE LART
Plusieurs mthodes utilises pour la gestion des risques
informatiques dans la littrature, Mais malgr la multiplicit
et la diversit des mthodes, la plupart dentre eux sont
gnriques (orients MRE) ou spcifiques (orients SSI),
Pourtant, ils ne traitent pas les risques lis la scurit
informatiques.

MEHARI est avant tout une mthode danalyse et de

management des risques.
En effet, la gestion des risques lis au cloud est
complique, par le fait que toutes les technologies et tous les
contrles sont hbergs lextrieur de lentreprise. Do
limportance dutiliser une mthode de gestion des risques
afin didentifier les principaux risques lis au cloud [2].
Dans les sections qui suivent, nous prsentons les
mthodes de gestion des risques les plus utilises pour
mettre en oeuvre efficacement la norme ISO 27005, entre
outre la mthode MEHARI, EBIOS, OCTAVE et aussi la
mthode de NIST SP 800-30.
En effet, ces mthodes permettent lanalyse des enjeux et
les besoins de scurit, elles constituent un vrai parcours
danalyse avec une dmarche et des tapes valider.
Mais tout dabord nous allons prsenter la norme
ISO/IEC 27005.
A. La norme ISO 27005
L'ISO /IEC 27005 [3] (International Standardization
Organization) explique en dtail comment conduire
l'apprciation des risques et le traitement des risques, dans le
cadre de la scurit de l'information et aussi donne des
lignes directrices pour grer les risques en scurit de
l'information. La norme taye les concepts gnraux
spcifis dans lISO 27001, ce dernier permet didentifier
plus efficacement les risques mais il ne les rduit pas .
Le processus de gestion du risque en scurit de
l'information se dcompose comme suit :
1.
2.

3.
4.

5.
6.

Etablissement du contexte : permet de dfinir les

critres dvaluation, dimpact et dacceptation.
Apprciation des risques : permet danalyser et
dvaluer les risques afin de donner des priorits et
les ordonnancer par rapport leurs critres
d'valuation.
Traitement du risque : il sagit dun processus de
slection et de mise en uvre des mesures.
Acceptation des risques : Il sagit dune
homologation de scurit effectue par une autorit
dhomologation dsigne pour une dure
dtermine.
Communication du risque : Il sagit dun change et
un partage rgulier dinformations sur les risques.
Surveillance des risques : Il faut s'assurer que le
processus reste pertinent et adapt aux objectifs de
scurit des mtiers de l'organisme.

Cette norme ne donne aucune mthodologie spcifique. Il

appartient chaque organisation de prciser son approche,
en fonction du primtre du SMSI( systme de management
des systmes dinformation), du contexte de gestion du
risque ou du secteur dactivit.
B. La mthode MEHARI
MEHARI [4] est utilis pour aider les RSSI (Responsable de
la Scurit des Systmes dInformation) dans leur tche de
management de la scurit des systmes dinformation.

En pratique, MEHARI est lensemble de ses bases de

connaissances sont btis pour permettre une analyse prcise
des risques, quand cela sera jug ncessaire, sans pour
autant imposer lanalyse des risques comme une politique
majeure de gestion.
MEHARI est une dmarche danalyse des risques des
systmes dinformation qui ne rpond pas efficacement
plusieurs besoins savoir la formalisation des expressions
des besoins de scurit et de TPE/PME. Donc elle reste une
mthode potentiellement lourde.
C. La mthode OCTAVE
OCTAVE [5] (Operationally Critical Threat, Asset, and
Vulnerability Evaluation) est une mthode dvaluation des
vulnrabilits et des menaces sur les actifs oprationnels.
Ce sont ces actifs oprationnels et les pratiques de scurit
qui ont dirig lorientation de la mthode. Elle a galement
t conue pour tre mene par des membres internes une
organisation, sans faire appel des spcialistes externes.
Cette technique permet, par la mme occasion, damliorer
la connaissance de lentreprise sur ses propres pratiques de
scurit. Pour tre mene bien elle suppose donc la
composition dune quipe danalyse multidisciplinaire.
Mais cette mthode de gestion des risques ne rpond pas
aux exigences mtiers de chaque entreprise.
D. La mthode EBIOS
La mthode EBIOS [6] (Expression des Besoins et
Identification des Objectifs de Scurit), est une mthode
dapprciation et de traitement des risques, mais galement
un outil dassistance la matrise douvrage. La mthode
peut couvrir aussi bien un systme dj existant que
sinscrire dans une dmarche damlioration. La dmarche
propose par EBIOS apporte une vision globale et cohrente
de la SSIC (Scurit des Systmes de lInformation et de la
Communication). Elle fournit un vocabulaire et des concepts
communs, elle permet d'tre exhaustif et de dterminer des
objectifs de scurit adapts au travers de cinq tapes. Elle
permet aussi dimpliquer lensemble des acteurs du SI dans
la problmatique de scurit.
Cette mthode se dcompose en 3 tapes :
L'tude du contexte : Le but de cette tape est de
dterminer de faon prcise et sans ambigut le
systme concevoir ou existant, et aussi qui mettra
en uvre les mesures de scurit, ainsi que le
contexte dutilisation de ce systme.
L'expression des besoins de scurit : Pour chaque
fonction ou information rpertorie dans ltape
prcdente, nous allons dterminer la sensibilit.
Ces critres se basent sur limpact que peut
provoquer une altration de ces donnes,
informations ou fonctions.
L'tude des risques : Le but de cette tape est
didentifier les risques qui pseront sur le systme
parmi une liste de menaces gnrique et par une

liste de vulnrabilits associes aux menaces

retenues.
EBIOS cest une mthode qui ne contient pas des
recommandations scuritaires et aussi elle ne peut pas tre
utilise toute seul (possibilit dutilisation avec la norme
ISO 27002).
E. La mthode de NIST SP 800-30
NIST SP 800-30 [7] cest une mthodologie systmatique
permettant de raliser une analyse de risque pour les
sysmes dinformation , suivant trois grandes tapes:

Evaluation des risques: ce processus permet

didentifier et valuer des risques et de leurs
impacts, dterminer des priorits de ces risques
et aussi de donner des recommandations de
contre-mesures.
Attnuation des risques: permet de classer par
ordre de priorits des contres mesures, les
implmenter et aussi les maintenir.
Evolution et valuation: permet dvaluer dune
manire continue du systme en cours de son
volution.

Cette mthodologie permet de dcrire ce qui est recherch,

mais, elle ne dcrit pas comment y arriver en liminant les
risques.
F.

Le rfrentiel Risk IT

Risk IT [8] est le rfrentiel de management du systme

dinformation et des technologies par les risques.
Cest un guide de principes directeurs et de bonnes
pratiques. Il aide les entreprises mettre en place une
gouvernance ad hoc, identifier et grer efficacement les
risques informatiques.
Risk IT est un rfrentiel qui fournit une vision
quilibre des risques mtiers de lentreprise lis
linformatique :
Rassemble tous les aspects des risques
informatiques, dont les notions de valeurs,
changement, disponibilit, scurit, projet et
continuit.
Etablit le lien avec les concepts de management des
risques de lentreprise et les modles comme COSO
ERM, ARMS et ISO 31000.
Complte les autres normes et rfrentiels trop
gnriques (c'est--dire orients MRE
Management des Risques de lEntreprise) ou trop
centrs sur un sujet (par exemple, scurit de
linformation SSI).
Offre une vision unique et complte des risques
mtiers inhrents linformatique qui peuvent
couteux aux entreprises.
Risk IT complte et enrichit Cobit et Val IT permettant
ainsi de disposer dun ensemble de ressources plus complet
sur la gouvernance SI, donc ce rfrentiel est cens juste
pour complter le triptyque de la gouvernance pour but
dajouter le volet consacr la scurit.

G. Synthse:
Les avantages des mthodes de gestion des risques sont
comme suit:

1. ISO/IEC 27005
Cette norme met en vidence une dmarche
flexible pour la gestion des risques.
Utilisable de manire autonome.
2. EBIOS
Permet de traiter les exigences.
Dmarche logique, elle dfinit aussi les acteurs,
leurs rles et les interactions.
Une dmarche adaptative et optimise.
3. OCTAVE
Cest une mthode oriente mtier et accessible
tous.
Variante pour les PME

4. NIST SP 800-30
Permet de donner des recommandations de
contre-mesures.

5. MEHARI
MEHARI propose des outils dassistance tout au
long du processus danalyse et dvaluation.

Cependant ces mthodes souffrent de plusieurs limites :

1. EBIOS :
mthode
ne fournissent pas de solutions
immdiates aux problmes de scurit, elles
constituent un support la rflexion pas plus.
2. OCTAVE
Ne traite pas les exigences mtier de lentreprise.
3. Rfrentiel Risk IT :
Ce rfrentiel est fait par les concepteurs de
Cobit juste pour complter le volet scurit du
triptyque (gouvernance SI, Risque, Val IT).
4. NIST SP 800-30
Cette mthode nexplique pas comment liminer
les risques.
5. MEHARI
Logiciel difficile utiliser pour les PME.
Ces mthodes sont trop lourdes et difficilement
adaptables aux contraintes et spcificits de
chaque entreprise.

En plus toutes ces mthodes ne sont pas adaptes aux

spcificits et aux contraintes des entreprises, La plupart des
mthodes sont dveloppes pour un secteur dactivit donn,
leur application dans un environnement nouveau implique
des ajustements difficiles mettre en uvre. Do

limportance de mettre en place une nouvelle mthode de

gestion des risques pour les grer efficacement.

La dmarche quon planifie entreprendre pour atteindre nos

objectifs est comme suit :

III. IDEE PRINCIPALE

Le Cloud Computing offre des avantages et plusieurs
possibilits importantes pour les entreprises utilisatrices. En
effet le Cloud permet de rduire les investissements et les
interventions de maintenance technique et applicative, tout
en profitant d'accs rapide et mobile ses donnes
hberges, de faon scurise en payant uniquement ce qui
est consomm.
Toutefois ces avantages sont freins par plusieurs risques
tel que :

Des risques lis aux solutions technologiques non

cloud : (comme : la scurit, lintgrit, la
disponibilit et aussi la performance) qui sont les
mmes avec les systmes dans le nuage.
Des risques spcifiques au cloud : le fait que les
donnes sont sur le nuage, la connexion des postes
utilisateurs linternet les expose un risque de
vol des donnes par piratage, dattaque et
dintrusion.

Do limportance dutiliser une mthode de gestion,

pour but de grer les risques spcifiques au cloud
efficacement.

IV. CONCLUSIONS
Dans cette communication, nous avons tudi les
faiblesses de dfrentes mthodes de gestion des risques
lis aux systmes dinformation, afin de proposer des
solutions ses limites.
Et pour un prochain article, on va mettre en place une
nouvelle mthode de gestion des risques mieux adapte et
spcifique au Cloud Computing, en sinspirant de dfrentes
mthodes, afin de garantir la scurit des donnes aux clients
utilisateurs de cette technologie.
Rfrences
[1]
[2]
[3]

Cependant, les mthodes qui existent savoir MEHARI,

EBIOS et OCTAVE ne fournissent pas des solutions
adquates aux problmes des risques, et elles apparaissent
aussi aux yeux de certaines responsables informatiques trop
lourdes et difficilement adaptables aux contraintes et
spcificits de leur entreprise.
Pour cette raison, de nombreuses entreprises nappliquent
pas ces mthodes. Nanmoins, elles peuvent sen inspirer
pour mettre en place leurs propres procdures danalyse et
de traitement des risques, plus spcifique, donc mieux
adapte leurs besoins mais aussi plus difficile entretenir
et faire voluer.

Etudier les faiblesses des mthodes de gestion des

risques.
Proposer des solutions pour les dfrentes
faiblesses de ces mthodes.
Etudier les risques lis au cloud.
Proposer les mtriques ces risques.
Finaliser et tester la mthode de gestion des risques.

[4]
[5]
[6]
[7]
[8]

Kenneth Laudon et Jane Laudon Management des systmes

dinformation 11 dition 2010.
Audits de TI : informatique en nuage et services SaaS
Tommie W. Singleton, Ph. D., CISA, CITP, CMA, CPA
2010 ISACA.
ISO/IEC 27005 international standard: information technologysecurity techniques information security risk management, first
edition 2008-06-15
Mthode Harmonise dAnalyse de Risques (MEHARI), Principes et
mcanismes, CLUSIF, Version 3, Octobre 2004.
Operationally Critical Threat, Asset and Vulnerability Evaluation
(OCTAVE), Carnegie Mellon - Software Engineering Institute, Juin
1999.
EBIOS, Direction Centrale de la Scurit des Systmes
dInformation, Fvrier 2004.
Gary Stoneburner, Alice Goguen, et Alexis Feringa, Risk
Management Guide for Information Technology Systems,
NIST SP 800-30, 2002.
Entreprise Risk: Identify,Govern and manage IT Risk, The risk IT
framework v 0.1revised 03 FEB 09.

Face cette complexit, les mthodes de gestion des risques

sont appeles voluer et sadapter au cloud. Do
limportance dutilisation dune mthode de gestion des
risques pour avoir une mtrique prvenir et grer ses
risques.