La méthode CRAMM1 est une méthode d’analyse et de maîtrise des risques concernant le système d’information d’une entreprise créée en 1986 par Siemens en Angleterre. Cette méthode est entièrement conforme aux normes BS2 7799 « Information security management systems. Guidelines for information security risk management » et ISO3 27001 « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences ».
Avec ses 3 000 points de contrôle, l’exhaustivité de cette méthode est assez lourde et reste essentiellement réservée aux grandes entreprises.
Cette méthode se décompose en 3 principales étapes :
étape 1 : l’identification et l’évaluation en termes de coût et d’impact en cas de compromission des éléments existants constituant le système d’information de l’entreprise (les équipements, les applications, les données…) ;
étape 2 : l’évaluation de la criticité des menaces et des vulnérabilités du système d’information ;
étape 3 : le choix de contre-mesures à mettre en place.
Cette méthode couvre les différentes menaces et vulnérabilités auxquelles le système d’information est exposé, qu’elles soient délibérées ou accidentelles. L’entreprise doit évaluer ses risques mais également décider du niveau de sécurité voulu pour chaque menace.
La méthode CRAMM est associée d’un logiciel avec une liste de 3 000 contre-mesures possibles à adopter en fonction des risques, de leur criticité et du niveau de sécurité désiré. Ce logiciel propose différents outils afin d’aider au management de la sécurité du système d’information et à son amélioration continue.
Cette méthode permet ainsi de cibler les menaces à surveiller et de savoir quand mettre en place des dispositifs de sécurité supplémentaires.
D’autres méthodes concernant la gestion de la sécurité du système d’information :
1 : Risk Analysis and Management Method, traduit en français par méthode d’analyse et de maîtrise des risques
2 : British Standard
3 : International Organization for Standardization, traduit en français par Organisation Internationale de Normalisation
Copyright : INFOQUALITE
Partager cet article