Depuis son introduction en France en 1984, la méthode MARION a été utilisée dans d'autres États d'Europe occidentale et au Québec. La méthode est naturellement très populaire en France, d'où elle est originaire. Elle est appliquée par quantité de banques et de mutuelles, de groupes industriels et de petites et moyennes entreprises. En Suisse, la méthode est également appliquée par des entreprises privées. Au Québec, quelques entreprises du secteur privé ont recours en partie à cette méthode avec de bons résultats.
MARION est un ensemble méthodologique conçu et développé par le CLUSIF, qui réunit la plupart des spécialistes français des systèmes d'information. Elle a été adaptée à divers contextes (grands, moyens et petits systèmes) et traduite dans la plupart des pays à économie développée.
La méthode repose sur six principes de base :

1. La sécurité ne peut être assurée que s'il y a une forte implication de l'entreprise ou de l'organisme, de la direction générale à l'utilisateur final, après une phase de sensibilisation. La mise en uvre de moyens et de procédures de sécurité réalistes et cohérents ne peut dépendre d'un responsable de sécurité isolé, mais d'un comité de sécurité comprenant des personnes de disciplines diverses : informaticiens, utilisateurs, vérificateurs, etc. Puisque l'essentiel des préjudices et une large partie des ripostes résident chez les utilisateurs, ceux-ci doivent être largement impliqués.

2. La méthode vise à réduire les vulnérabilités en accidents, erreurs et malveillances afin d'assurer la sécurité en matière de disponibilité, d'intégrité et de confidentialité. Les règles de base sont : la cohérence des moyens de sécurité et leur adéquation aux enjeux.

3. Il n'existe pas de recette ni de solution générale : dans chaque entreprise ou organisme, le scénario de risque est particulier et complexe. Il n'y a pas de relation simple et générale du type risque-solution. Les moyens de sécurité doivent être adaptés aux scénarios spécifiques à l'organisme, puis validés.

4. Il convient de distinguer les risques maximaux (supérieurs à la capacité de l'organisme d'y résister) et les risques moyens et courants. Dans le premier cas, on ne peut parler de probabilité. Chaque cas est particulier en termes de scénarios, d'enjeux et de ripostes. Il faut donc simuler les scénarios correspondants avec les acteurs concernés. Dans le second cas, au contraire, on doit raisonner statistiquement sur la base des sinistres observés en pratiquant un audit quantitatif et pondéré.

5. Le choix des moyens de sécurité est fondé sur la priorité des moyens de protection (blocage des grands risques) par rapport aux moyens de prévention (réduction de la fréquence des sinistres), sur l'équilibrage des moyens de prévention et de protection, sur la réduction des incohérences (suppression des failles) et l'optimisation du rapport qualité-coûts des moyens de sécurité.

6. Le schéma directeur de sécurité des systèmes d'information est une base de décision pour la direction générale : toutes les informations doivent y être objectivement quantifiées pour justifier le budget de sécurité par rapport aux objectifs du plan d'entreprise. La méthode propose un bilan coûts-réduction des risques.

Accueil cyberguerre