Académique Documents
Professionnel Documents
Culture Documents
analyser et classifier les enjeux majeurs, tudier les vulnrabilits, rduire la gravit des scnarios de risques, piloter la scurit de linformation
Lanalyse des enjeux de MEHARI permet dvaluer la gravit de dysfonctionnements en DIC pouvant tre causs ou favoriss par une faille ou un dfaut de scurit. Il sagit dune analyse totalement focalise sur les objectifs et attentes des mtiers de lentreprise mettant contribution les dcideurs et le management de lentreprise ou de lentit considre. Cette analyse se traduit par :
une chelle de valeurs des dysfonctionnements potentiels, lment de rfrence centr sur les impacts mtiers, une classification rigoureuse des actifs (informations et des ressources) du Systme dinformation, des processus dassistance pour effectuer cette classification, ltablissement de liens directs vers lanalyse dtaille des risques correspondants
Lanalyse des vulnrabilits fournit une valuation de la qualit (robustesse, efficacit, mise sous contrle) des mesures de scurit en place. La base de connaissance des mesures de scurit de MEHARI est structure par domaines et par services ayant des finalits prcises de rduction de potentialit ou dimpact des situations de risques. Cette analyse des vulnrabilits permet de :
corriger les points faibles inacceptables par des plans daction immdiats, valuer lefficacit des mesures mises en place et garantir leur efficience, prparer lanalyse des risques induits par les faiblesses mises en vidence, comparer la maturit de son organisation avec ltat de lart et la norme ISO 27002
Avec MEHARI, lanalyse des risques permet didentifier les situations susceptibles de remettre en cause un des rsultats attendus de lentreprise ou de lentit, et dvaluer la probabilit de ces situations, leurs consquences possibles et leur caractre : acceptable ou non. Lanalyse des risques met galement en vidence les mesures susceptibles de ramener chaque risque un niveau acceptable.
Cette analyse des risques sappuie sur un ensemble de scnarios prcis et peut servir :
dfinir les mesures de scurit les mieux adaptes au contexte et aux enjeux dans une dmarche de management de la scurit de linformation (SMSI), par exemple dans une dmarche ISO 27001 mettre en place un management des risques et garantir que toutes les situations de risques critiques ont t identifies, prises en compte et un plan daction dfini
Limites de MEHARI
Mehari est une dmarche d'analyse des risques de systmes d'informations. Elle ne rpondra pas efficacement des besoins :
de formalisation d'expression de besoins de scurit par exemple lors de la rdaction d'un cahier des charges de refonte d'une partie du systme d'information, de TPE/PME n'ayant aucune culture scurit informatique et qui peuvent souhaiter qu'en une poigne de jours, soient dfinies les solutions de base de scurit (sauvegardes, authentification, politique de sauvegarde, politique anti virale, ...) d'analyse de conformit technique.
Enfin si les concepts de MEHARI peuvent s'appliquer d'autres domaines de la gestion des risques (risques oprationnels, risques scadas...), les bases dveloppes actuellement au CLUSIF ne s'appliquent qu'aux risques lis aux systmes d'information.
une analyse des enjeux mtiers qui permet de pondrer la gravit des dysfonctionnements redouts et indirectement influe sur le choix des mesures de scurit le choix des mesures de scurit est directement corrl aux faiblesses de scurit de l'entreprise (grce une analyse du niveau de vulnrabilit) un calcul de pertinence des mesures de scurit par rapport aux scnarios de sinistre potentiel (avec des critres de choix d'un service de scurit base sur sa robustesse, son efficacit et la possibilit de mettre sous contrle)
une cotation de ltat de la scurit selon les points de contrle de lISO 27002 une assistance la classification des actifs amlioration de certaines fonctions dans la justification des mesures de scurit
des changements de vocabilaires et concepts pour s'aligner sur ISO 27005 des clarifications sur les dfinitions de termes telles que Menaces, une nouvelle structure des scnario de risque qui dfinit dsormais plusieurs niveaux dactifs une clarification des questionnaires en cas dambigut dinterprtation
En synthse Mehari est certainement la mthode d'analyse de risques la plus aboutie en terme de modle et d'efficacit. La documentation a t entirement remanie et propose maintenant des documents de synthse et de dtail par tape.
d'identifier les macro-processus clefs pour l'entreprise d'analyser l'impact de scnarios de sinistres et de classer ces impacts d'en dduire une classification des actifs essentiels (applications, matriels, quipement mais galement ressources humaines).
La phase prparatoire
Cette phase (qui correspondant l'tablissement du contexte dans ISO 27005) permet en synthse de :
Dfinir le contexte o les objectifs de la dmarche de gestion des risques o les contraintes (lgales, rglementaires, normatives,...) Dfinir le cadre de la mission (primtre de l'analyse des risques, primtre d'audit, ...) et surtout dfinir les critres dfinis dans l'ISO 27005 d'acceptabilit des risques et critre d'impact
L'analyse des enjeux qui dbouche sur une classification des actifs (principaux et de support) Le diagnostic de la qualit des mesures de scurit en place L'apprciation des risques : o La slection des scnarios de risques traiter (suivant les critres d'valuation des risques) o L'estimation de la gravit des risques ( partir des bases de connaissance Mehari 2010)
Le traitement des risques critiques (suivant les critres d'acceptation des risques) Le traitement des risques moins critiques La mise en place du pilotage du traitement des risques La production d'indicateurs et tableau de bord des risques (communication des risques)
C'est un processus continu et transverse l'organisation Les notions de seuil d'acceptabilit du risque : dans les limites de son apptence pour le risque Le management des risques est un support pour l'atteinte des objectifs de l'organisation :
Cette volution du concept de management des risques, que l'on retrouve dans ISO 31000, s'applique galement au Management des Risques lis aux Systme d'Information.
cartographie des risques d'entreprise : pour suivre la matrise des principaux risques de l'entreprise cartographie des risques Scurit de l'information : pour protger les actifs du SI au regard des menaces qu'ils encourent cartographie des risques pour construction du plan d'audit : pour identifier l'exposition au risque et dfinir le plan d'audit cartographie des risques lis la fonction des Systmes d'Information : pour piloter les processus DSI et la russite des projts informatiquesdes projets informatiques
panne d'un composant actif du rseau incendie de la salle machine intrusion d'un pirate et destruction des bases de donnes plan de secours n'ayant pas suivi les volutions rcentes des systmes
La gestion des risques lis la scurit de l'information doit permettre dassurer la Disponibilit, lIntgrit, la Confidentialit des donnes de lorganisation v ainsi que la preuve et le contrle. Mais en creusant ces exmple, on peut dfinir la notion du risque li la scurit de l'information suivant plusieurs axes :
dfinition du risque bases sur la notion de menace sur un actif associe des vulnrabilits : vision assez statique d'un risque (par exemple : o panne d'un serveur li un dfaut de maintenance (et qui va engendrer un arrt des activits mtiers qui t lis au fonctionnement de ce serveur) dfinition du risque bases sur des scnarios d'incidents : ce sont des situations de risque dcrivant la fois le dommage subi et les circonstances dans lesquelles se produit ce dommage. On privilgie ici sur une vision dynamique des risques dans laquelle le temps peut tre pris en compte, permettant de prvoir des actions diffrencies en fonction des phases de scnario de risque. o Indisponibilit temporaire accidentelle de systme hte de services applicatifs, due un manque d'alimentation en nergie (dfaut externe)