12 - securité - marion

12 - securité - marion
Auteur: BLAY FABRICE
Date: 11-06-07 16:39

remarques personnelles :

J'ai été amené à effectuer une audit avec la méthode marion :

Elle correspond à un énorme questionnnaire ( sous excel )

Elle s'effectue sous forme d'entretien avec les différents responsables ( direction,
services généraux ... ) qui répondent aux questions.
Vous pouvez demander la preuve de leurs réponses :
exemple on étiquitte les bandes, demandez à voir la bande étiquer janvier 2006.

du type de la diapo 221 : Utilise-t-on des techniques de chiffrement pour le stockage des fichiers stratégiques ?

Réponses aux questions :
3 = bon niveau suffisant de sécurité
si la réponse à une question est clairement oui ou non, la réponse est cotée 4 ou 0
si l ’on peut moduler, on utilisera les notes intermédiaires 1, 2 , 3 traduisant un niveau de sécurité devenant de plus en plus satisfaisant
si une question est sans objet, la réponse est 3

on obtient en résultat la rosace diapo : 225.

Les creux de la rosace étant les defauts à corriger.
Dans l'exemple, il y a des efforts à faire sur les controles programmés.


En général, on effectue
1 - un premier audit, présentation des résultats,
présentation d'un plan d'action, plan action

2 - deuxieme audit pour mesurer que le plan d'action à ajouter des valeurs.

Nous sommes comme dans la roue deming ( alias cercle vertueux comme on le prend dans le bon sens )


Certains avantages de marion :

Elle contrôle plusieurs aspects : sécurité physique des locaux, type de management de la part de la direction ...

inconvénients:

Elle est orienté gros système
et peut parfois s'adapter mal à certains systèmes d'exploitation tel que windows
sur par exemple, la notion de point de reprise.

autres inconvénients :
elle dépend parfois de l'interpretation de l'auditeur.
Mon audit faisait suite à l'audit du directeur informatique et responsable qualité qui n'avaient pas trouvés exactement les mêmes résultats.

BF