Vous êtes sur la page 1sur 0

METHODES

MEHARI 2010
Guide du diagnostic de ltat des services de scurit





Janvier 2010







Espace Mthodes




CLUB DE LA SECURITE DE LINFORMATION FRANAIS
30, rue Pierre Smard, 75009 PARIS
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr
MEHARI est une marque dpose par le CLUSIF.

La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle, fai-
te sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal
MEHARI 2010 : Guide du diagnostic 3/26 CLUSIF 2010
de ltat des services de scurit
Remerciements
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :


Jean-Philippe Jouas Responsable de lEspace Mthodes
Responsable du Groupe de Travail Principes, Mcanismes et Ba-
ses de connaissances de MEHARI
Jean-Louis Roule Responsable du Groupe de Travail Documentation de MEHARI
Dominique Buc BUC S.A.
Olivier Corbier Docapost
Louise Doucet Ministre des Services gouvernementaux du Qubec
Martine Gagn HydroQubec
Mose Hazzan Ministre des Services gouvernementaux du Qubec
Grard Molines Molines Consultants
Chantale Pineault AGRM
Luc Poulin CRIM
Pierre Sasseville Ministre des Services gouvernementaux du Qubec
Claude Taillon Ministre de l'ducation, du Loisir et du Sport du Qubec
Marc Touboul BULL SA



MEHARI 2010 : Guide du diagnostic 4/26 CLUSIF 2010
de ltat des services de scurit
Sommaire

1. Introduction.................................................................................................................................. 5
2. Dfinitions .................................................................................................................................... 6
2.1. Services de scurit..................................................................................................................... 6
2.2. Critres dvaluation de la qualit des services de scurit................................................... 7
2.3. Base de connaissance MEHARI des services de scurit........................................................ 9
2.4. Systme de mesure de la qualit des services de scurit.................................................... 10
3. Processus de diagnostic............................................................................................................. 14
3.1. Le schma daudit ..................................................................................................................... 14
3.2. Le processus de diagnostic...................................................................................................... 18
4. Diagnostics modulables ............................................................................................................ 20
5. Livrables ...................................................................................................................................... 21
5.1. La synthse par services de scurit....................................................................................... 21
5.2. La synthse par Thmes de scurit ................................................................................. 21
5.3. Fournitures dindicateurs relatifs la norme ISO/IEC 27002:2005................................. 22
6. Conseils pratiques ...................................................................................................................... 23
6.1. Points importants dans llaboration du schma daudit .................................................... 23
6.2. Points importants dans le processus daudit......................................................................... 23

MEHARI 2010 : Guide du diagnostic 5/26 CLUSIF 2010
de ltat des services de scurit
1. Introduction
Les principes fondamentaux de MEHARI 2010 ont t prsents dans le document MEHARI
2010 Principes fondamentaux et spcifications fonctionnelles .
Ces principes incluent la ncessit dune base de connaissance de services de scurit incluant :
La dfinition des services de scurit
La dfinition de critres dvaluation des niveaux de qualit : paramtres prendre en
compte et niveaux de qualit
Llaboration dune base de connaissance des services de scurit : liste de services de
scurit et questionnaires permettant le diagnostic de la qualit des services de scurit.
La dfinition dune base mtrologique pour valuer la qualit des services de scurit
Nous revenons sur ces diverses dfinitions avant daborder le diagnostic proprement dit des ser-
vices de scurit

MEHARI 2010 : Guide du diagnostic 6/26 CLUSIF 2010
de ltat des services de scurit
2. Dfinitions
2.1. Services de scurit
Un service de scurit est une rponse un besoin de scurit, exprime en termes gnriques
et fonctionnels dcrivant la finalit du service, gnralement en rfrence certains types de me-
naces.
Un service de scurit dcrit une fonction de scurit.
Cette fonction est indpendante des mcanismes et solutions concrtes permettant la rali-
sation effective du service.
Exemple : le service Contrle daccs , dont la finalit ou fonction, dcrite implicitement par
son titre, est de contrler les accs, cest dire de ne laisser passer que les personnes autorises.
2.1.1 Services et sous-services de scurit
La fonction assure par un service de scurit peut, elle mme, ncessiter plusieurs lments com-
plmentaires, qui peuvent tre considrs comme des sous-fonctions . Dans lexemple ci-
dessus, le contrle daccs ncessite la connaissance de ce qui est autoris, ce qui fait appel une
fonction dautorisation, la reconnaissance dune personne, ce qui fait appel une fonction
dauthentification, et le filtrage des accs, ce qui fait appel une troisime fonction de filtrage.
Un service de scurit peut ainsi lui-mme tre constitu de plusieurs autres services de scurit
pour rpondre un besoin ou une finalit dtermine. Chacun des constituants est un sous-
service de scurit du service en question, tout en conservant, vis--vis d'une fonction qui lui
est propre, les caractristiques d'un service, telles que dfinies plus haut.
2.1.2 Mcanismes et solutions de scurit
Un "Mcanisme" est une manire particulire dassurer, totalement ou partiellement, la fonction
du service ou du sous-service. Il peut sagir de procdure spcifique, dalgorithme, de technologie,
etc.
Pour le sous-service dauthentification abord prcdemment, les mcanismes possibles (pour
lauthentification aux systmes dinformation) sont les mots de passe, les jetons, les processus re-
posant sur des algorithmes contenus dans des cartes puce, les systmes biomtriques, etc.
Pour un sous-service donn, plusieurs mcanismes sont gnralement possibles. Leur choix a trs
souvent un effet direct sur la qualit du sous-service concern.
Une solution de scurit est la ralisation concrte d'un mcanisme de scurit et comprend les
matriels et logiciels ncessaires son dploiement, les procdures de dploiement et de support
oprationnel ainsi que les structures organisationnelles ncessaires.
MEHARI 2010 : Guide du diagnostic 7/26 CLUSIF 2010
de ltat des services de scurit
2.1.3 Typologie des services de scurit
Certains services peuvent tre considrs comme des mesures gnrales, dautres comme des ser-
vices techniques :
Les mesures gnrales sont des mesures de scurit reconnues comme utiles, voire n-
cessaires, la scurit des systmes dinformation, mais dont leffet se situe davantage au
plan de lorganisation, du pilotage de la scurit ou de la sensibilisation, sans influence
directe sur des situations de risques prcises.
Les mesures techniques ont un rle prcis, une finalit directe et ont un effet immdiat
sur certaines situations de risque quil est possible de prciser.
2.2. Critres dvaluation de la qualit des services de
scurit
Les services de scurit peuvent avoir des niveaux de performance trs diffrents selon les mca-
nismes employs. Ils seront plus ou moins efficaces (performants) dans leur fonction et plus ou
moins robustes dans leur capacit rsister une attaque directe.
2.2.1 Paramtres prendre en compte
Pour mesurer la performance dun service de scurit, plusieurs paramtres devront tre pris en
compte :
L'efficacit du service
Sa robustesse
Les moyens de contrle de son bon fonctionnement
Efficacit d'un service de scurit
Pour les services dits techniques, l'efficacit mesure leur capacit assurer effectivement la fonc-
tion demande face des acteurs ayant des comptences plus ou moins fortes ou des circonstan-
ces plus ou moins courantes.
Pour prendre l'exemple du sous-service "Gestion des autorisations d'accs au systme
dinformation", qui concerne lattribution des droits des utilisateurs, la fonction du service est
de faire en sorte que seules les personnes dment habilites par leur hirarchie se voient effecti-
vement attribuer des autorisations daccs au systme dinformation. En pratique, lefficacit du
service dpendra de la rigueur du contrle de lauthenticit de la demande et du contrle de la po-
sition du demandeur vis--vis de lutilisateur. Sil sagit dun simple courrier sign sans quil y ait
dpt de signature ni compte rendu la hirarchie, nimporte quelle personne connaissant un peu
le circuit dautorisation sera capable de se faire attribuer indment des droits et la qualit du sous-
service pourra tre considre comme faible.
L'efficacit d'un service contrlant des actions humaines est ainsi la mesure des moyens et des
comptences ncessaires pour qu'un acteur puisse passer au travers des contrles mis en place ou
pour les abuser.
Pour les services visant des vnements naturels (tels que la dtection incendie, l'extinction in-
cendie, etc.), lefficacit est la mesure de la force de l'vnement pour lequel ils gardent leur ef-
fet.
MEHARI 2010 : Guide du diagnostic 8/26 CLUSIF 2010
de ltat des services de scurit
Sil sagit, par exemple, dune digue destine empcher une inondation due la crue dune ri-
vire, lefficacit sera directement lie la hauteur de la crue (sa force) laquelle la digue rsiste.
En pratique cette force sera souvent value en fonction du caractre plus ou moins ex-
ceptionnel de lvnement.
Les services qui sont des mesures gnrales ne peuvent pas, par principe, tre valus en fonction
de leur finalit directe mais en fonction de leur rle indirect.
Lefficacit des mesures gnrales mesure leur capacit gnrer des plans daction ou des chan-
gements significatifs de comportement
Robustesse d'un service de scurit
La robustesse d'un service mesure sa capacit rsister une action visant le court-circuiter ou
l'inhiber.
La robustesse ne concerne que les services dits techniques.
Dans l'exemple prcdent de gestion des autorisations, la robustesse du sous-service dpend, en
particulier, des possibilits d'accs direct la table des droits attribus aux utilisateurs et donc de
se faire attribuer des droits sans passer par les processus normaux de contrle mis en place.
Dans le cas de services visant des accidents ou des vnements naturels (systme de dtection et
dextinction automatique dincendie, par exemple), leur robustesse tiendra compte de leur capaci-
t rsister une mise hors circuit volontaire ou accidentelle.
Mise sous contrle d'un service de scurit
La qualit globale d'un service de scurit doit enfin prendre en compte sa permanence dans le
temps.
Pour cela, il convient que toute interruption de service soit dtecte et que des mesures palliatives
soient alors dcides. La qualit de ce paramtre dpend donc de la capacit et de la rapidit de
dtection et des moyens de raction.
Pour les mesures gnrales, la mise sous contrle reprsente dune part, leur aptitude tre mesu-
res en termes de mise en uvre ou deffet et dautre part la mise en place effective dindicateurs
et de systmes de contrle
2.2.2 Dfinition des niveaux de qualit des services de scurit
La qualit dun service de scurit mesure ainsi son efficacit, sa robustesse et sa capacit
dautocontrle. Globalement la qualit dun service de scurit est ainsi sa capacit de rsistance
diffrents types dattaque, en notant quaucune forteresse nest inviolable.
La qualit dun service de scurit est note sur une chelle allant de 0 4. Cette chelle reflte le
niveau de force ou de comptence quil faut avoir pour violer le service, le court-circuiter et/ou
inhiber ou rendre inefficace la dtection de sa mise hors circuit.
Bien que cette chelle soit continue, il nest pas inutile de donner quelques valeurs de rfrence
pour la qualit de service.

Qualit de service value 1
Le service a une qualit minimale. Il peut ne pas tre efficace (ou ne pas rsister) une per-
sonne quelconque, sans qualification particulire, ou tant soit peu initie ou, dans le domaine des
vnements naturels, ne pas tre efficace face un vnement relativement banal. Pour une me-
sure gnrale, elle aura trs peu deffet sur les comportements ou lefficacit de lorganisation.
MEHARI 2010 : Guide du diagnostic 9/26 CLUSIF 2010
de ltat des services de scurit
Qualit de service value 2
Le service reste efficace et rsiste un agresseur moyen, voire initi, mais pourrait tre in-
suffisant contre un bon professionnel du domaine concern (un informaticien professionnel pour
un service de scurit logique, un cambrioleur normalement quip ou un "casseur" pour un ser-
vice de scurit physique des accs). Dans le domaine des vnements naturels, un tel service
pourrait tre insuffisant pour des vnements trs srieux, considrs comme rares. Pour les me-
sures gnrales, un tel service napportera une amlioration des comportements que dans des cas
courants.
Qualit de service value 3
Le service reste efficace et rsiste aux agresseurs et vnements dcrits ci-dessus, mais
pourrait tre insuffisant contre des spcialistes (hackers chevronns et quips, ingnieurs syst-
mes fortement spcialiss sur un domaine donn et dots d'outils spciaux qu'ils matrisent, es-
pions professionnels, etc.) ou des vnements exceptionnels (catastrophes naturelles). Une me-
sure gnrale de ce niveau aura un effet certain dans la trs grande majorit des circonstances,
mais peut-tre pas dans des circonstances exceptionnelles.
Qualit de service value 4
Il s'agit du niveau le plus lev et le service de scurit reste efficace et rsiste aux agres-
seurs et vnements dcrits ci-dessus. Il reste qu'il pourrait tre mis en brche par des cir-
constances exceptionnelles : meilleurs experts mondiaux dots d'outils exceptionnels (moyens
pouvant tre mis en uvre par des tats importants) ou concours exceptionnels de circonstances
elles-mmes exceptionnelles.

Le processus dvaluation de la qualit des services de scurit prvu par MEHARI a t bti pour
fournir des valuations de la qualit des services de scurit rpondant ces dfinitions.
2.3. Base de connaissance MEHARI des services de
scurit
MEHARI comprend une base de connaissance des services de scurit comprenant des question-
naires de diagnostic organiss par domaines de responsabilit.
Cette organisation permet davoir des questionnaires spars en fonction des interlocuteurs ren-
contrer pour faire le diagnostic.
Les domaines de la base 2010 sont les suivants :
Organisation de la scurit
Scurit des sites
Scurit des locaux
Rseau tendu intersites
Rseau local
Exploitation des rseaux
Scurit des systmes et de leur architecture
Production informatique
Scurit applicative
Scurit des projets et dveloppements applicatifs
MEHARI 2010 : Guide du diagnostic 10/26 CLUSIF 2010
de ltat des services de scurit
Postes de travail utilisateurs
Exploitation des tlcommunications
Processus de gestion
Gestion de la scurit de l'information
2.4. Systme de mesure de la qualit des services de
scurit
Le systme de mesure de la qualit des services de scurit de la base de connaissance MEHARI
est bas sur un systme de cotation des rponses aux questions, questions auxquelles il est
demand de rpondre par oui ou par non, avec des conventions de cotation et de pondration
que nous tudierons plus loin.
Nous donnons ci-dessous un extrait du questionnaire relatif au domaine des systmes.

Questionnaire daudit : Domaine des Systmes (07)
Service : A. Contrle daccs aux systmes et applications
Sous-service : A02. Gestion des autorisations daccs et privilges (attribution, dlgation, retrait)
N Question Libell de la question
07A02-01 La procdure d'attribution des autorisations d'accs ncessite-t-elle l'accord formel de la hirarchie ( un niveau suffi-
sant) ?
07A02-02 Les autorisations sont-elles attribues nominativement en fonction du seul profil des utilisateurs ?
07A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations un individu (directement ou par le biais de
profils) est-il strictement contrl ?
Un contrle strict requiert une identification formelle du demandeur (reconnaissance de sa signature, signature lectro-
nique, etc.), que la matrialisation des profils attribus aux utilisateurs (par exemple sous forme de tables) soit stricte-
ment scurise lors de leur transmission et de leur stockage et qu'il existe un contrle d'accs renforc pour pouvoir
les modifier, et que ces modifications soient journalises et audites.
07A02-04 Y a-t-il un processus de remise jour systmatique de la table des autorisations d'accs lors de dparts de personnel
interne ou externe l'entreprise ou de changements de fonctions ?
07A02-05 Y a-t-il un processus strictement contrl (voir ci-dessus) permettant de dlguer ses propres autorisations, en tout ou
en partie, une personne de son choix, pour une priode dtermine (en cas d'absence) ?
Dans ce cas les autorisations dlgues ne doivent plus tre autorises la personne qui les a dlgues. Cette der-
nire doit cependant avoir la possibilit de les reprendre, en annulant ou en suspendant la dlgation.
07A02-06 Peut-on contrler tout moment, pour tous les utilisateurs, les habilitations, autorisations et privilges en cours ?
07A02-07 Y a-t-il un audit rgulier, au moins une fois par an, de l'ensemble des profils ou des autorisations attribus aux utilisa-
teurs et des procdures de gestion des profils attribus ?

Les questionnaires comprennent la fois des questions axes sur lefficacit des mesures de scu-
rit (par exemple : frquence des sauvegardes, type de contrle daccs physique : lecteur de carte,
digicode, etc., existence dun systme de dtection dincendie, etc.), des questions axes sur la ro-
bustesse des mesures de scurit (par exemple : localisation et protection daccs au lieu de stoc-
kage des sauvegardes, existence dun sas dentre ou solidit de la porte, protection du systme de
dtection incendie, etc.) et, gnralement, une ou deux questions sur le contrle ou laudit des
fonctionnalits attendues du service.
Systme de pondration des questions
Les questions se poser au sujet d'un service de scurit sont relatives des mesures de scurit
utiles ou ncessaires au service. Or, ces mesures ne jouent pas toutes le mme rle, et les mesures
contributives, les mesures majeures ou suffisantes et les mesures indispensables seront distin-
guer.
MEHARI 2010 : Guide du diagnostic 11/26 CLUSIF 2010
de ltat des services de scurit
2.4.1 Mesures contributives
Certaines questions ont trait des mesures qui ont un certain rle, au sens o elles contribuent
la qualit de service sans, pour autant, que leur mise en uvre soit indispensable.
En termes quantitatifs, une pondration classique de ces mesures reflte bien cette notion de
contribution. Dans ce cas, certaines mesures, plus importantes que d'autres, ont des poids diff-
rents. La base de connaissance MEHARI indique les poids attribus chaque question.
Le tableau ci-dessous est un extrait de la base MEHARI, dans lequel une colonne est utilise pour
la rponse aux questions (1 pour Oui et 0 pour Non), avant la colonne indiquant le poids de cha-
que question.

Questionnaire daudit : Domaine des Systmes (07)
Service : A. Contrle daccs aux systmes et applications
Sous-service : A02. Gestion des autorisations daccs et privilges (attribution, dlgation, retrait)

N Ques-
tion
Libell de la question R-V1 P
07A02-01 La procdure d'attribution des autorisations d'accs ncessite-t-elle l'accord formel de la hirarchie ( un
niveau suffisant) ?
0 4
07A02-02 Les autorisations sont-elles attribues nominativement en fonction du seul profil des utilisateurs ? 1 2
07A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations un individu (directement ou
par le biais de profils) est-il strictement contrl ?
Un contrle strict requiert une identification formelle du demandeur (reconnaissance de sa signature, si-
gnature lectronique, etc.), que la matrialisation des profils attribus aux utilisateurs (par exemple sous
forme de tables) soit strictement scurise lors de leur transmission et de leur stockage et qu'il existe un
contrle d'accs renforc pour pouvoir les modifier, et que ces modifications soient journalises et audi-
tes.
1 4
07A02-04 Y a-t-il un processus de remise jour systmatique de la table des autorisations d'accs lors de dparts
de personnel interne ou externe l'entreprise ou de changements de fonctions ?
0 2
07A02-05 Y a-t-il un processus strictement contrl (voir ci-dessus) permettant de dlguer ses propres autorisa-
tions, en tout ou en partie, une personne de son choix, pour une priode dtermine (en cas d'absence)
?
Dans ce cas les autorisations dlgues ne doivent plus tre autorises la personne qui les a dl-
gues. Cette dernire doit cependant avoir la possibilit de les reprendre, en annulant ou en suspendant
la dlgation.
0 4
07A02-06 Peut-on contrler tout moment, pour tous les utilisateurs, les habilitations, autorisations et privilges en
cours ?
1 1
07A02-07 Y a-t-il un audit rgulier, au moins une fois par an, de l'ensemble des profils ou des autorisations attribus
aux utilisateurs et des procdures de gestion des profils attribus ?
0 1
La moyenne pondre est alors un simple cumul des poids des mesures actives (pour lesquelles il
a t rpondu affirmativement), ramen la somme des poids possibles et norm sur l'chelle 0
4.
Soit en notant R
i
la rponse la question i, P
i
le poids de la question i et Mp la moyenne pond-
re :
Mp = 4 x R
i
.P
i
/
P
i

Dans lexemple de rponses donn dans le tableau ci-dessus la moyenne pondre serait ainsi :
Mp = 4 x 7/18 = 1,6
et la qualit de service Q = Mp = 1,6
MEHARI 2010 : Guide du diagnostic 12/26 CLUSIF 2010
de ltat des services de scurit
2.4.2 Mesures majeures ou suffisantes
D'autres mesures peuvent tre juges suffisantes pour atteindre un certain niveau de qualit. Ain-
si, l'existence d'un systme de dtection incendie peut tre considre comme suffisante pour at-
teindre le niveau 2 pour le sous-service correspondant.
Il a donc t introduit un seuil minimum, qui est le minimum atteint, pour la qualit de service, si
une mesure est active.
La colonne "Seuil min" indique que sil est rpondu oui une question pour laquelle un seuil min
a t fix, alors le sous-service atteint au moins ce palier.
Un deuxime extrait de la base, avec la colonne Min est prsent ci-dessous :

Questionnaire daudit : Domaine des Systmes (07)
Service : A. Contrle daccs aux systmes et applications
Sous-service : A02. Gestion des autorisations daccs et privilges (attribution, dlgation, retrait)

N Quest. Libell de la question R-V1 P Min
07A02-01 La procdure d'attribution des autorisations d'accs ncessite-t-elle l'accord formel de la hirarchie ( un
niveau suffisant) ?
0 4
07A02-02 Les autorisations sont-elles attribues nominativement en fonction du seul profil des utilisateurs ? 1 2
07A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations un individu (directement ou
par le biais de profils) est-il strictement contrl ?

1 4 3
07A02-04 Y a-t-il un processus de remise jour systmatique de la table des autorisations d'accs lors de dparts
de personnel interne ou externe l'entreprise ou de changements de fonctions ?
0 2
07A02-05 Y a-t-il un processus strictement contrl (voir ci-dessus) permettant de dlguer ses propres autorisa-
tions, en tout ou en partie, une personne de son choix, pour une priode dtermine (en cas d'absence)
?

0 4
07A02-06 Peut-on contrler tout moment, pour tous les utilisateurs, les habilitations, autorisations et privilges en
cours ?
1 1
07A02-07 Y a-t-il un audit rgulier, au moins une fois par an, de l'ensemble des profils ou des autorisations attribus
aux utilisateurs et des procdures de gestion des profils attribus ?
0 1
Dans lexemple donn, le fait que le processus dattribution, modification ou retrait de droits
(question 3) soit strictement contrl a t jug suffisant pour augmenter la cotation de la qualit
du service au palier minimum de 3.
MEHARI 2010 : Guide du diagnostic 13/26 CLUSIF 2010
de ltat des services de scurit
2.4.3 Mesures indispensables
Par contre, d'autres mesures peuvent tre juges indispensables pour atteindre un certain degr de
qualit de service.
A ces mesures indispensables pour obtenir un certain niveau de qualit, et donc aux questions
correspondantes, MEHARI associe donc un seuil de qualit pour aller au-del duquel la mesure est
indispensable.
En d'autres termes, le seuil indiqu dans la colonne "Max" est la limite maximum de niveau de
qualit que peut atteindre le sous-service si la mesure n'est pas mise en uvre.
En cas de conflit entre un seuil min et un seuil max, le seuil max prvaut.
Le tableau prcdent devient alors le tableau final suivant :

Questionnaire daudit : Domaine des Systmes (07)
Service : A. Contrle daccs aux systmes et applications
Sous-service : A02. Gestion des autorisations daccs et privilges (attribution, dlgation, retrait)

N Quest. Libell de la question R-V1 P Max Min
07A02-01 La procdure d'attribution des autorisations d'accs ncessite-t-elle l'accord formel de la hirarchie (
un niveau suffisant) ?
0 4 2
07A02-02 Les autorisations sont-elles attribues nominativement en fonction du seul profil des utilisateurs ? 1 2
07A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations un individu (directement
ou par le biais de profils) est-il strictement contrl ?

1 4 2 3
07A02-04 Y a-t-il un processus de remise jour systmatique de la table des autorisations d'accs lors de d-
parts de personnel interne ou externe l'entreprise ou de changements de fonctions ?
0 2
07A02-05 Y a-t-il un processus strictement contrl (voir ci-dessus) permettant de dlguer ses propres autori-
sations, en tout ou en partie, une personne de son choix, pour une priode dtermine (en cas d'ab-
sence) ?

0 4
07A02-06 Peut-on contrler tout moment, pour tous les utilisateurs, les habilitations, autorisations et privilges
en cours ?
1 1
07A02-07 Y a-t-il un audit rgulier, au moins une fois par an, de l'ensemble des profils ou des autorisations attri-
bus aux utilisateurs et des procdures de gestion des profils attribus ?
0 1 2
Dans l'exemple ci-dessus, l'opinion d'experts est que les rponses ngatives aux questions 1 et 7
font que le niveau de qualit de service ne peut excder le niveau 2. Cette limitation prvaut sur
le niveau 3 valu prcdemment.
Ce triple systme de mesure de la qualit de service vite le risque de voir une srie de mesures
faiblement efficaces survaluer un niveau de qualit si les mesures essentielles ne sont pas actives
ou, au contraire, une srie de mesures de poids faible sous-valuer la qualit de service, alors
qu'une mesure essentielle est effectivement en place. Cette approche est une valeur distinctive de
MEHARI et sappuie sur lexpertise des personnes qui tiennent jour les bases de connaissance.
2.4.4 Questions sans objet
Certaines questions peuvent tre sans objet pour certaines units. Dans ce cas, le fait de rem-
plir X dans la colonne rponse suffit faire que la question ne soit pas prise en compte.
Il conviendra de faire trs attention cependant ce quune question sans objet doit le rester quel-
les que soient les volutions prvisibles du systme dinformation et des services de scurit.

MEHARI 2010 : Guide du diagnostic 14/26 CLUSIF 2010
de ltat des services de scurit
3. Processus de diagnostic
Avant de dcrire le processus de diagnostic proprement dit, il est ncessaire daborder une ques-
tion prliminaire qui a trait aux services diagnostiquer. Il peut, en effet, exister plusieurs varian-
tes du mme service et il peut tre ncessaire den tenir compte
3.1. Le schma daudit

Les services de scurit tels que dcrits dans MEHARI sont des fonctions de scurit et ces fonc-
tions sont assures par des solutions effectivement mises en place dans lentreprise ou
lorganisme.
Le diagnostic de ltat de la scurit consiste, en pratique, analyser ou auditer les solutions ainsi
que les procdures mises en place pour assurer les fonctions de scurit.
Cependant, il existe gnralement, dans la mme entreprise, plusieurs solutions pour assurer la
mme fonction gnrale.
Par exemple, le contrle daccs aux locaux est certainement assur par des mcanismes diff-
rents et avec des solutions diffrentes pour laccs aux salles informatiques, laccs aux baies de
rpartition des lignes tlphoniques, laccs aux salles de confrence et laccs aux salles techni-
ques contenant les gros quipements dalimentation lectrique.
Il est clair galement que les fonctions de contrle daccs logique aux systmes et applications
sont assures de manire diffrente par des systmes dexploitation diffrents, MVS, UNIX, NT,
etc.
Avant mme dengager le processus danalyse et dvaluation des services de scurit, la premire
question poser est celle didentifier les solutions distinctes analyser ou auditer.
Cest le but de ce que MEHARI appelle le plan daudit ou schma daudit .
3.1.1 Pourquoi un schma daudit ?
Dans labsolu, il faudrait raisonner au niveau de chaque service de scurit et identifier toutes les
solutions diffrentes qui existent dans lentreprise ou lorganisme pour assurer chaque service,
afin de les auditer une par une.
Cela conduirait une charge de travail vraisemblablement insupportable pour une prcision de
rsultat en grande partie superflue. Il est donc ncessaire de simplifier et de regrouper les services
analyser en ensembles homognes.
Pour autant, il nest gnralement pas possible de considrer toutes les solutions implantes dans
lentreprise comme quivalentes. Cela reviendrait considrer que tous les locaux sont protgs
de la mme manire, que toutes les parties de linfrastructure informatique font lobjet de plans de
secours quivalents, que toutes les donnes sont sauvegardes avec le mme soin, et ainsi de sui-
te, ce qui est trs certainement faux.
Il est bien sr toujours possible de regrouper des objets diffrents au sein dun ensemble consid-
r comme homogne, mais un principe de prcaution, essentiel pour un diagnostic de scurit,
devrait alors faire retenir pour tous les lments de lensemble lvaluation la plus pessimiste, ce
qui risque alors de donner une image trs ngative de lensemble.
MEHARI 2010 : Guide du diagnostic 15/26 CLUSIF 2010
de ltat des services de scurit
Il est donc ncessaire de trouver un compromis et de distinguer des domaines de solutions au-
diter sparment et lintrieur desquels les solutions de scurit seront considres comme ho-
mognes. La dfinition de ces domaines est traduite par le schma daudit .
3.1.2 laboration du schma daudit
Lapproche de MEHARI est de considrer que les services de scurit sont dfinis et mis en uvre
par des quipes en nombre limit, ayant une politique de scurit, explicitement exprime ou non,
qui leur fera prendre des dcisions homognes et cohrentes, mme en prsence de contraintes
techniques imposant des solutions de dtail diffrentes.
Partant de ce principe, la dmarche de MEHARI est de :
Distinguer des domaines de responsabilit pour lesquels il est possible de dfinir des
responsables de domaine ayant une politique de scurit cohrente
Analyser, lintrieur de ces domaines, sil existe des responsables diffrents pouvant
avoir des politiques diffrentes et de distinguer alors des sous-domaines de responsabili-
ts (par exemple des responsables de sites diffrents pouvant avoir, pour la scurit de
leur site, des politiques diffrentes)
Analyser dans chaque domaine ou sous-domaine les sous-ensembles pouvant faire
lobjet dune politique diffrencie, pour des raisons techniques ou pour toute
autre raison
3.1.3 Les domaines de responsabilits de MEHARI
MEHARI a dfini des domaines de responsabilit, qui ont t cits au paragraphe 2.3 plus haut.
Le schma daudit devant finir par se traduire par des audits spcifiques associs chaque do-
maine, les questionnaires daudit de MEHARI sont eux-mmes dcoups selon cette organisation
et cest pour cette seule raison quils ont t organiss comme ils le sont.
Le premier niveau de structuration du schma daudit est donc fait selon cette dcomposition,
puis lauditeur doit dterminer, pour chaque domaine couvrir, combien de variantes devraient
tre dfinies :
Combien dorganisations diffrentes mritent dtre audites sparment pour les fonc-
tions de scurit dpendant des organisations ?
Combien de responsables de sites peuvent avoir une politique de scurit propre, nces-
sitant de faire des diagnostics spars ?
Combien de responsables de locaux peuvent avoir une politique de scurit propre, n-
cessitant de faire des diagnostics spars ?
Y a-t-il plusieurs responsables de rseaux locaux interroger sparment ?
Etc.
Chaque fois que la rponse ces questions ira dans le sens dune distinction ncessaire pour des
raisons dautonomie ou de politiques pouvant ne pas tre cohrentes, le domaine sera clat en
sous-domaines distincts, ce qui se traduit ventuellement par des variantes reprsentes par
des colonnes diffrentes (R-V1 R-V4) raliser.
Remarque : A linverse dans certaines petites entits, des domaines de responsabilit considrs
comme distincts seront sous la responsabilit de la mme personne. Il pourra alors tre judicieux
de regrouper certains domaines, voire certains services pour viter une trop forte rptition de
questions similaires.
MEHARI 2010 : Guide du diagnostic 16/26 CLUSIF 2010
de ltat des services de scurit
3.1.4 Les types de sous-ensembles individualiser pour laudit de
scurit
Le deuxime niveau de dcomposition du schma daudit a trait aux raisons techniques, stratgi-
ques ou autres conduisant diffrencier, lintrieur de chaque domaine, des sous-ensembles
pouvant ncessiter une politique de scurit adapte. Les questions poser, ce deuxime niveau,
sont alors :
Combien de types dorganisations diffrentes doivent tre audits sparment pour les
fonctions de scurit dpendant des organisations ?
Combien de types de sites peuvent avoir une politique de scurit adapte, ncessitant
de faire des diagnostics spars (sites Seveso, tablissements Rgimes Restrictifs, etc.)
?
Combien de types de locaux doivent tre distingus au plan de la scurit (bureaux, sal-
les informatiques, locaux techniques, etc.) ?
Combien de rseaux tendus ?
Combien de types de rseaux locaux ?
Etc.
Dans chacun de ces domaines, il convient didentifier combien de variantes diffrentes il est op-
portun de distinguer et dauditer sparment.
3.1.5 Llaboration du schma daudit
Le schma daudit rsulte de cette double dcomposition, selon les domaines de responsabilit
dune part et selon les variantes individualiser dautre part.
Un schma daudit global dentreprise typique rsultant de cette double dcomposition, serait,
titre dexemple, le schma donn dans le tableau suivant.

Domaine Exemples de sous-domaines Type de sous-ensemble
Organisation Nant (pas dclatement) Lentreprise
Sites Le sige et les agences commer-
ciales

Les sites de production (grs
par la Direction industrielle)
Le sige
Les agences commerciales
Les sites de production
Locaux Les locaux grs par les services
gnraux
Les locaux informatiques et tl-
com
Les locaux de servitude (arri-
ves lectriques)
Les salles informatiques
Les locaux techniques
Architecture du rseau
tendu
Nant (pas dclatement) Le rseau tendu intersites
Architecture des rseaux
locaux
Les rseaux informatiques
Les rseaux de process (grs par
la Direction industrielle)
Les rseaux informatiques
Les rseaux de process
Exploitation des rseaux Les rseaux informatiques
Les rseaux de process (grs par
la Direction industrielle)
Les rseaux informatiques
Les rseaux de process
MEHARI 2010 : Guide du diagnostic 17/26 CLUSIF 2010
de ltat des services de scurit
Domaine Exemples de sous-domaines Type de sous-ensemble
Les systmes Les systmes informatiques

Les systmes de process (grs
par la Direction industrielle)
Le systme Mainframe
Les systmes ouverts (Unix et
Windows)
Les systmes de conduite de
process
Les systmes de scurit de
contrle de process
La production informati-
que
Les systmes informatiques

Les systmes de process (grs
par la Direction industrielle)
Le systme Mainframe
Les systmes ouverts (Unix et
Windows)
Les systmes de process
La scurit applicative Nant (pas dclatement) Les applications dveloppes
sur mainframe
Les applications dveloppes
sur systmes ouverts
Les dveloppements in-
formatiques
Les dveloppements faits par la
Direction Informatique
Les dveloppements faits par les
utilisateurs
Les dveloppements faits par la
Direction Informatique
Les dveloppements faits par
les utilisateurs
Les postes de travail utili-
sateurs
Les postes bureautiques

Les stations de travail spciali-
ses

Lexploitation des tl-
communications
Nant (pas dclatement)
Les processus de gestion Nant (pas dclatement)
La gestion de la scurit de
linformation
Nant (pas dclatement)

Un tel schma daudit permet de dfinir dans le dtail, lorganisation du diagnostic de scurit, en
prvoyant de faire un diagnostic spcifique pour chacune des lignes identifies dans la colonne de
droite, et donc en dupliquant chaque questionnaire, si lon travaille sur la base de questionnaires,
en autant dexemplaires remplir que de lignes diffrencies dans le domaine correspondant.
3.1.6 laboration de schmas daudit spcifiques
Il est bien sr possible de btir des schmas daudit spcifiques rpondant des besoins particu-
liers et qui ne couvrent pas lensemble des domaines.
On peut, par exemple, construire un schma daudit spcifique dun dpartement ou dune activi-
t (depuis lenvironnement de travail des utilisateurs jusquaux systmes et aux applications mises
en uvre), en slectionnant les domaines concerns et en reliant les sous-ensembles appropris
chaque primtre considr.
Il faudra nanmoins considrer que si ce diagnostic doit tre suivi dune analyse de risques, les
domaines non audits risquent de poser des difficults lors de lanalyse de risques.
MEHARI 2010 : Guide du diagnostic 18/26 CLUSIF 2010
de ltat des services de scurit
3.2. Le processus de diagnostic
3.2.1 Le processus de diagnostic proprement dit
Puisque les questionnaires daudit des services de scurit sont prcisment organiss en fonction
des domaines de responsabilit, il suffira, une fois dfini le schma daudit, de dupliquer les ques-
tionnaires pour couvrir chacune des variantes du domaine analyser et dy rpondre ensuite avec
la personne ou le groupe de personnes le mieux plac pour cela. Sil sagit dune valuation directe
de la qualit des services de scurit, il sera fait de mme.

Il peut arriver que certains sous-services apparaissent, lors de l'audit, sans objet pour l'entit
concerne. Il convient alors de les supprimer des questionnaires et den documenter la raison.
Par ailleurs, en ce qui concerne lusage des questionnaires, les rponses par oui ou par non peu-
vent, dans certains cas, poser des difficults, les rponses naturelles pouvant tre :
"Oui en gnral mais avec des exceptions"
"Oui en thorie, mais, en pratique, ce n'est pas certain ou pas appliqu partout"
"Oui partiellement, X %"
"Oui, en cours de dploiement"
"Oui, c'est prvu mais non encore appliqu"
etc.
Les recommandations suivantes peuvent tre faites :
Il faut imprativement noter les explications accompagnant les rponses et en garder la
trace. C'est ainsi que dans les questionnaires papiers qui servent de support aux runions
d'audit, il importe de garder une colonne "Commentaires" dans laquelle la rponse pr-
cise sera note.
La cotation demandant une rponse "oui" ou "non", il faut prendre un parti. La position
"scuritaire" consisterait rpondre "non" toutes les questions prcdentes pour que
les dcisions qui dcouleront de l'audit n'occultent pas l'imperfection constate.
Il faut tre conscient, nanmoins, que cela peut dmotiver les utilisateurs et dcrdibiliser
l'audit si trop dinsistance est mise sur un point mineur en cours de correction et matri-
s.
La solution raisonnable semble ainsi tre de rpondre "Oui" chaque fois que le processus
de correction et de raction aux manquements ou de dploiement est sous contrle et
matris et de rpondre "Non" dans le cas contraire.
A noter que pour que de telles rponses puissent tre saisies, il est absolument ncessaire que
l'audit ait lieu lors d'une rencontre entre l'auditeur et le responsable du domaine audit et que les
questionnaires soient remplis lors de cette runion. Les questionnaires remplis par la personne
audite en dehors de la prsence de l'auditeur masquent totalement cet aspect des rponses et
peuvent introduire des biais srieux dans la qualit de l'audit.
MEHARI 2010 : Guide du diagnostic 19/26 CLUSIF 2010
de ltat des services de scurit
3.2.2 Cotations et corrections des cotations
Pour les cotations obtenues par questionnaires, une fois ceux-ci remplis, la cotation des services
de scurit peut tre entreprise, selon ce qui a t expliqu plus haut, en fonction du systme de
pondration propos par MEHARI.
Le systme de pondration a t mis au point par les experts du CLUSIF, mais il se peut toujours
qu'il fasse apparatre des imperfections locales. Il ne saurait, en effet, tenir compte de tous les
contextes particuliers qui peuvent tre rencontrs dans un audit, ni tre parfaitement adapt
toutes les organisations.
L'auditeur devra donc, avant de tirer ses conclusions et d'tablir une synthse de l'audit, vrifier
qu'il est d'accord avec la cotation retenue pour chaque service et sous-service de scurit, en se
rfrant aux dfinitions du niveau de qualit atteint.
De ce point de vue, l'auditeur doit obligatoirement tre un professionnel de la scurit expri-
ment.
MEHARI 2010 : Guide du diagnostic 20/26 CLUSIF 2010
de ltat des services de scurit
4. Diagnostics modulables
Les questionnaires de MEHARI ont t construits avec lobjectif dtre aussi experts que possi-
bles et dans loptique dune utilisation dans le cadre dune gestion individualise des risques.
Ceci conduit adopter une attitude de prcaution et plutt sous-valuer la qualit des servi-
ces de scurit pour ne pas risquer de sous-valuer un risque qui pourrait tre critique.
Cette attitude est prudente mais peut savrer dmotivante si lon ne cherche pas grer des ris-
ques mais se faire une opinion sur le niveau de scurit.
En outre, pour les entits qui ne sont quen phase de dmarrage de la scurit, lensemble des
questionnaires de la base peut savrer disproportionn par rapport ltat de la scurit.
Cest pour cette raison quil a t prvu de pouvoir moduler les questionnaires et de les limiter
des questions plus ou moins dterminantes.
A cette fin, chaque question des questionnaires Mehari est affecte dun coefficient qui reflte la
fois le type de question et le degr de maturit en scurit auquel elle sadresse.
La premire partie du coefficient est une lettre : E, R ou C
E dsigne une question ayant trait lefficacit du service
R dsigne une question ayant trait la robustesse du service
C dsigne une question ayant trait sa mise sous contrle ( sa permanence)
La deuxime partie du coefficient est un chiffre en relation avec le degr de maturit de lentit
pour lequel la question est pertinente : 1, 2 ou 3 (3 uniquement pour les questions relatives
lefficacit du service) :
1 dsigne une question basique la quelle il devrait tre rpondu quelque soit le degr de
maturit de lentit
2 dsigne un degr de maturit moyen (entreprise ou organisme ayant dj bien avanc
en scurit, mais devant encore progresser)
3 reprsente des questions qui ne sont pertinentes que pour des entits totalement ma-
tures
Il est ainsi possible dexclure des questionnaires les questions ayant trait la mise sous contrle
ou les questions de niveau trop lev pour un audit de survol.

MEHARI 2010 : Guide du diagnostic 21/26 CLUSIF 2010
de ltat des services de scurit
5. Livrables
Les rsultats bruts sont constitus des questionnaires remplis, avec les commentaires comme ex-
pliqu plus haut ou par des valuations brutes directes de la qualit des services de scurit.
Ils comportent gnralement aussi plusieurs niveaux de synthse.
5.1. La synthse par services de scurit
Le diagnostic final sera souvent prsent sous forme de graphique plusieurs niveaux :
par services de scurit (faisant apparatre les divers sous-services et leur cotation)
par domaine de responsabilit (faisant apparatre les divers services composant le do-
maine et leur cotation obtenue par la moyenne des sous-services le composant)
globalement (en faisant apparatre les divers domaines et leur cotation)
5.2. La synthse par Thmes de scurit
Certains services de scurit, quoique appartenant des domaines daudit diffrents, sont com-
plmentaires dans latteinte dun objectif de scurit plus global. Ainsi, pour avoir une ide gn-
rale de la qualit des plans de secours, il faut faire une synthse entre les plans de secours infor-
matiques et rseaux, les plans de continuit, le secours de lnergie lectrique, etc.
Le CLUSIF a dfini 17 Thmes de scurit , qui reprsentent des grands domaines de scurit
pour lesquels il est possible de faire une synthse. Ces thmes, dont le mode de calcul est donn
dans la base de connaissances de MEHARI sont :
Lorganisation de la scurit (rles et structures)
La sensibilisation et la formation la scurit et la gestion des ressources humaines
Les contrles daccs physiques (aux sites, btiments et locaux)
La protection contre les risques divers (incendie, dgts des eaux, etc.)
Larchitecture des rseaux et systmes
Le contrle des changes
Le contrle daccs logique (aux rseaux, systmes, applications et donnes)
La scurit des donnes
Les procdures dexploitation
La gestion des supports dinformation
La protection des documents et informations crites
Les plans de secours
Les sauvegardes et les plans de sauvegarde et de restauration
La maintenance
La scurit des projets et des dveloppements informatiques
La gestion des incidents
La gestion des audits
MEHARI 2010 : Guide du diagnostic 22/26 CLUSIF 2010
de ltat des services de scurit

Il faut noter que lors dun audit partiel concernant un ou plusieurs thmes (par exemple la main-
tenance ainsi que la scurit des projets et des dveloppements), il est facile de concentrer laudit
sur les services de scurit contribuant aux thmes slectionns.
5.3. Fournitures dindicateurs relatifs la norme ISO/IEC
27002:2005

Ainsi quil a t indiqu dans le document Mehari 2010 Principes fondamentaux et spcifica-
tions fonctionnelles , le diagnostic de scurit peut servir galement exprimer le niveau de ma-
turit de lorganisation considre vis vis des bonnes pratiques de la norme ISO/IEC
27002:2005.
En effet, chaque question de laudit MEHARI peut tre vue comme un point de contrle lmen-
taire destin vrifier les solutions et les processus de scurit mis en uvre par lentit.
Comme lorganisation de laudit MEHARI permet dobtenir, auprs de chaque responsable opra-
tionnel concern, la capacit de lentit rduire les risques, la structure des services ne se plie pas
directement la structure descriptive de la norme.
De plus, les questionnaires de MEHARI comportent plusieurs services et contrles allant au del
des recommandations de la norme, il a t ncessaire de raliser une extraction et un transcodage
parmi les questions de laudit MEHARI vers les pratiques de la norme ISO.
Les questionnaires daudit de MEHARI permettent ce transcodage et une table de correspondance
(avec les formules ncessaires) est fournie dans les bases de connaissances.

Ainsi, il est possible de visualiser le niveau de maturit de lentit (avec un score de 0 10, par
exemple) pour chaque point de contrle de la norme. Il ne sagit pas de lobjectif primaire de
MEHARI mais cela peut constituer une information utile lors dun processus de certification ou
dune comparaison entre plusieurs organisations.
MEHARI 2010 : Guide du diagnostic 23/26 CLUSIF 2010
de ltat des services de scurit
6. Conseils pratiques
6.1. Points importants dans llaboration du schma
daudit
Le schma daudit apparat parfois comme quelque chose de compliqu. Pourtant, ce nest rien
dautre que la prise en compte de solutions diffrentes ou de contextes diffrents.
Un systme MVS est diffrent dun systme Unix et les solutions de scurit, comme les proc-
dures dexploitation, sont diffrentes par essence. Il peut alors tre dcid de prendre en compte
ces diffrences ou non. Sil est dcid de les prendre en compte, il faudra dupliquer les question-
naires et poser plusieurs fois la mme question. Dans le cas contraire, il ny a rien faire et cha-
que question ne sera pose quune fois. Mais ceci est totalement indpendant de la mthode
daudit.
Le schma daudit nest quun moyen simple permettant de diffrencier, dans le processus
daudit, des domaines de solutions diffrents.
La distinction des domaines de solutions est donc une question de choix. Une bonne manire
globale de prendre le problme est sans doute de se demander combien dinterlocuteurs diff-
rents devraient tre rencontrs, pour le mme domaine.
Au fond, la problmatique laquelle il faut rpondre est la suivante : dans chaque domaine de
responsabilit, combien dinterlocuteurs pouvant avoir des rponses sensiblement diffrentes,
devrait-on rencontrer ? . On admettra, en corollaire de cette prise de position, que si deux inter-
locuteurs doivent avoir des rponses sensiblement identiques, il est inutile de les rencontrer spa-
rment.
6.2. Points importants dans le processus daudit
Comme nous lavons dj prcis, il est important que les questionnaires soient remplis en pr-
sence de lauditeur, pour que tous les attendus ou commentaires puissent tre pris en compte et
nots.
Par ailleurs, et nous lavons dj voqu, si les rponses ne sont pas totalement oui ou non ,
il vaut mieux prendre en compte pour la pondration et lvaluation des services, une approche
scuritaire (gnralement en rpondant non) quitte reporter, dans les commentaires que la r-
ponse tait partiellement affirmative.
Les bases de connaissances de MEHARI, et, en particulier les questionnaires daudit, ont t bties
en adoptant un principe de prcaution qui est le suivant :
Les automatismes de la mthode ne doivent jamais conduire sous-valuer un risque. Il
est toujours prfrable quun risque soit survalu au dpart quitte tre revu la baisse lors
dune analyse dtaille plutt que sous-valu et non slectionn pour une analyse plus fine.
Cest un principe de prcaution qui consiste prendre les mesures ncessaires pour viter que les
automatismes de calcul ne considrent un scnario de risque comme peu grave et lliminent
dune slection, alors quil est dun niveau de gravit lev. Il peut y avoir plusieurs raisons qui
MEHARI 2010 : Guide du diagnostic 24/26 CLUSIF 2010
de ltat des services de scurit
fassent que les automatismes sous-valuent la gravit dun scnario dont la survaluation de la
qualit des services de scurit.

De par ce principe, les rsultats de laudit de scurit pouvant tre utiliss pour une analyse des
risques encourus par lentreprise, la cotation des services de scurit est prudente .
Les rsultats chiffrs des valuations peuvent donc apparatre comme svres, si une comparaison est faite avec
les rsultats dautres mthodes daudit (Marion en particulier). Le lecteur devra alors avoir lesprit que MEHARI
est exigeant en termes de robustesse des services et de mise sous contrle, et que la note finale tient compte
dune assurance scurit , ce qui nest pas souvent le cas des autres mthodes ou questionnaires.



L E S P R I T D E L C H A N G E



CLUB DE LA SCURIT DE L'INFORMATION FRANAIS
30, rue Pierre Smard
75009 Paris
01 53 25 08 80
clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur
www.clusif.asso.fr