Vous êtes sur la page 1sur 21

METHODES

METHODES M EHARI 2010 Manuel de référence de la base de connaissances M EHARI 2010 DB-Mehari_2010_Exc_FR_2-14.xls

MEHARI 2010

Manuel de référence de la base de connaissances MEHARI 2010

DB-Mehari_2010_Exc_FR_2-14.xls

Pour Excel , LibreOffice ou OpenOffice

30 mars 2012

METHODES M EHARI 2010 Manuel de référence de la base de connaissances M EHARI 2010 DB-Mehari_2010_Exc_FR_2-14.xls

Espace Méthodes

CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS

11, rue de Mogador, 75009 PARIS Tél. : +33 1 53 25 08 80 – Fax : +33 1 53 25 08 88 – e-mail : clusif@clusif.asso.fr

Web : http://www.clusif.asso.fr

Remerciements

Le CLUSIF tient à mettre ici à l'honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement :

Olivier

Corbier

Docapost

Responsable de l’Espace Méthodes

Jean-Philippe

Jouas

Responsable du Groupe de Travail Principes, Mécanismes et Bases de connaissances de MEHARI

Jean-Louis

Roule

Responsable du Groupe de Travail Documentation de MEHARI

Dominique

Buc

BUC S.A.

Annabelle

Travers-Viaud

BULL SAS

Louise

Doucet

Ministère des Services gouvernementaux du Québec

Martine

Gagné

HydroQuébec

Moïse

Hazzan

Ministère des Services gouvernementaux du Québec

Chantale

Pineault

AGRM

Luc

Poulin

CRIM

Pierre

Sasseville

Ministère des Services gouvernementaux du Québec

Claude

Taillon

Ministère de l'Éducation, du Loisir et du Sport du Québec

Marc

Touboul

BULL SAS

MEHARI est une marque déposée par le CLUSIF.

La loi du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple et d'illustration, "toute représentation ou reproduction intégrale, ou partielle, fai- te sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alinéa 1er de l'article 40) Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal

Sommaire

  • 1 Feuilles de calcul contenues dans le classeur

..........................................................................................

6

  • 2 Description générale des feuilles de calcul utilisées

...............................................................................

7

  • 2.1 Appellation des feuilles de calcul

.....................................................................................................

Feuille Intro

  • 2.2 .........................................................................................................................................

7

7

2.3

2.4

Feuille Dossier

....................................................................................................................................

8

Feuille Licence

....................................................................................................................................

8

2.5

2.6

Feuilles de classification T1(données), T2 (services) et T3(processus de management

...........

Feuille Classif

......................................................................................................................................

8

9

  • 2.7 Feuilles de diagnostic des services de sécurité

...............................................................................

9

2.8

Feuille Services

.................................................................................................................................

10

2.9

2.10

Feuille Thèmes

..................................................................................................................................

11

Feuille Score

ISO...........................................................................................................................

11

2.11

2.12

Feuille Expo

....................................................................................................................................

Feuille Scénarios

.............................................................................................................................

11

12

  • 2.13 Feuille Risk%actif

...........................................................................................................................

13

  • 2.14 Feuille Risk%event

.........................................................................................................................

14

  • 2.15 Feuille Plans_action

.......................................................................................................................

14

Feuille Obj_PA

  • 2.16 ...............................................................................................................................

  • 2.17 Feuille Obj_Projets

........................................................................................................................

  • 2.18 Feuille Vulnérabilités types

...........................................................................................................

  • 2.19 Feuille Grilles_IP

...........................................................................................................................

15

15

16

16

Feuille Gravité

  • 2.20 ................................................................................................................................

16

  • 2.21 Feuille Corr_Services

.....................................................................................................................

16

Feuille Codes

  • 2.22 ..................................................................................................................................

16

  • 3 Traitements et calculs effectués

..............................................................................................................

17

  • 3.1 Traitements et fonctions utilisées

..................................................................................................

17

  • 3.2 Macros (sous Excel)

.........................................................................................................................

19

1 Feuilles de calcul contenues dans le classeur

Les feuilles de calcul contenues dans le classeur distribué par le CLUSIF sont de plusieurs types:

Des feuilles générales de mise en œuvre :

Intro

 

Dossier

 

Nav

 

Licence

4 feuilles relatives aux résultats de l’analyse des enjeux et de la classification des actifs :

T1, T2 et T3 : exigences de sécurité pour les processus métiers et transverses

Classif : report des niveaux de classification des actifs à partir de T1, T2 et T3

Des feuilles relatives au diagnostic des services de sécurité

01 Org à 14 ISM : feuilles de questionnaires de diagnostic (une par domaine)

Services : feuille récapitulative des résultats des diagnostics par service

Thèmes : feuille récapitulative, par « thème » de sécurité

Score ISO : résultats des diagnostics selon la classification IS0 27001/27002 et ta-

 

ble de déclaration d’applicabilité (SOA)

Des feuilles relatives à l’évaluation des risques :

Expo : feuille d’évaluation de l’exposition naturelle aux risques

Scénarios : feuille descriptive des scénarios

Risk%actif et Risk%event : feuilles récapitulatives de la gravité des scénarios par

 

type d’actif et par type d’événement

Des feuilles relatives à la préparation de plans d’action :

Plans_d’action : Récapitulatif des scenarios par famille et des plans d’action possi-

 

bles

 

Obj_PA : Récapitulatif des objectifs issus des plans d’action

Obj_Projets : objectifs par projet

4 feuilles d’éléments permanents et de paramétrage de la méthode :

Vulnérabilités types

2 feuilles de paramétrage : Grille-IP et Gravité

1 feuille de correspondance entre les services de MEHARI 2010 et de MEHARI

 

2007

 

1 feuille de codes (masquée) servant dans la description des scénarios

Le fichier peut être ouvert soit avec Excel soit avec Open Office (version 3.1 ou plus).

2 Description générale des feuilles de calcul utilisées

Conventions utilisées pour ce document:

Texte normal pour la description de la feuille,

Exprime la possibilité d’entrer normalement des données pour effectuer l’analyse de risque

Exprime une possibilité additionnelle plus experte dans le traitement des résultats.

  • 2.1 Appellation des feuilles de calcul

Les feuilles de calcul ont des appellations qui sont reprises dans les descriptions ci-dessous, mais

également par les fonctions de calcul utilisées pour la mise à jour des bases. Il est donc demandé

de ne pas les changer (sinon il faut intervenir sur les fonctions).

Cependant, il est possible, lors d’un travail d’analyse MEHARI, d’ajouter des feuilles pour décrire

des éléments de suivi ou de description des actions et des intervenants impliqués ou de créer un

autre fichier (tableur ou autre) destiné à constituer un dossier de la démarche.

Les feuilles sont protégées, sauf pour les cellules pouvant être utilisées pour entrer les résultats,

explications ou commentaires obtenus par l’équipe d’analyse de risque. Il est expressément

demandé de ne pas retirer la protection des feuilles sans raison majeure.

Par convention, une cellule est désignée par le couple («numéro de ligne», «lettre de colonne»).

Exemple : 21,D.

Le nom du classeur lui-même est indifférent.

  • 2.2 Feuille Intro

La feuille Intro donne des indications sur les feuilles (ou onglets) et sur l’utilisation de la base.

Sous Excel-Windows, il est possible de masquer, en fonction des phases de travail (enjeux, dia-

gnostic, analyse, traitement, paramétrage), certaines feuilles de calcul par groupe.

Nota : Les utilisateurs ayant refusé d’activer les macros au chargement de la base n’ont pas accès

à cette fonction. Ils peuvent cependant masquer ou démasquer des feuilles de calcul en utilisant

les fonctions standard du tableur.

MEHARI™ 2010 Edition 2-1 Base de connaissances Méhari Onglet Objectif Intro Description et navigation entre les

MEHARI™ 2010 Edition 2-1

Base de connaissances Méhari

Onglet

Objectif

 

Intro

Description et navigation entre les onglets du fichier de la base de connaissance

Licence

Rappel de la licence Publique de MEHARI

Module d'analyse des enjeux et classification des actifs:

Tableaux de

 

T1, T2 et T3

Tableaux de classification

classification :

Masquer

T1, T2 et T3 Tableaux de classification classification : Masquer
 

Classif

Classification des actifs

T1, T2, T3 et Classif

Module du diagnostic des services de sécurité (ou d'audit)

   

Domaines 01 Org à 14 MSI

Questionnaires relatifs aux domaines (01 à 14) de sécurité MEHARI

Feuilles de

 

Services

Récapitulé de la qualité des services de sécurité (avec variantes)

questionnaires :

Masquer

Services Récapitulé de la qualité des services de sécurité (avec variantes) questionnaires : Masquer

Thèmes

Thèmes de sécurité Mehari : regroupement des services et sous-services en 10 centres d’intérêts et 18 axes de représentation

de 01Org à 14 Msi Thèmes et Score ISO

Score ISO

Table de scoring ISO 27002 suite au diagnostic des services Mehari

 

Module d'analyse de risque (identification, estimation et évaluation des risques)

Feuilles d'analyse des

 

Expo

Tableau des expositions naturelles aux menaces

risques :

 

Scénarios

Scénarios de risque incluant le calcul des risques

Evénements types,

Masquer

Scénarios Scénarios de risque incluant le calcul des risques Evénements types, Masquer

Risk%Actif

Panorama de gravité des scénarios par type d'actif

Risques par actifs

Risk%event

Panorama de gravité des scénarios par type d'événement

ou événements

Traitement des risques : options, plans de réduction et suivi

Feuilles de traitement :

 

Plans_action

Sélection de plans de réduction des risques

Plans_d'action

Masquer

Plans_action Sélection de plans de réduction des risques Plans_d'action Masquer
 

Obj_PA

 

Obj_PA

Obj_Projets

Sélection de plans de réduction des risques Sélection de plans de réduction des risques

Obj_Projets

Eléments permanents et de paramétrage de la méthode

Feuilles des

 

Vulnérabilités types

Les onglets qui suivent sont apportés avec la méthode

vulnérabilités types,

 

Gravité

Détermination de la Gravité du risque en fonction de la Potentialité et de l’Impact

Grilles d'acceptabilité

Gravité Détermination de la Gravité du risque en fonction de la Potentialité et de l’Impact Grilles

Grilles IP

Tables de détermination d’Impact et de Potentialité des scénarios

des risques et

Masquer

Corr_Services

Table de correspondance entre les services de Méhari 2010 et ceux de la version 2007

d'évaluation de I et P, Corr_Services

  • 2.3 Feuille Dossier

Cette feuille n’est pas protégée car elle vous permet de décrire les intervenants et les conditions

de réalisation de l’analyse de risque.

  • 2.4 Feuille Licence

Cette feuille est un rappel de la licence d’utilisation et de redistribution de la base de connaissance

de MEHARI.

MEHARI est distribué en mode Open Source. Son utilisation est gratuite mais la redistribution et

les additions à la base de connaissance doivent mentionner que le CLUSIF est à l’origine de

MEHARI.

  • 2.5 Feuilles de classification T1(données), T2 (services) et T3(processus de management

Ces feuilles sont utilisées pour intégrer les résultats de l’analyse des enjeux et du processus de

classification des actifs (voir guide correspondant).

La colonne A de la feuille T1 contient le nom de domaines d’activité, de processus métiers et de

processus transverses (gestion des identités et des droits, administration des systèmes et des ré-

seaux, assistance aux utilisateurs, etc.)

La colonne B de la feuille T1 contient une description de fonction, ces deux colonnes sont auto-

matiquement recopiées dans les mêmes colonnes des feuilles T2 et T3.

La colonne AF (Incl) de la feuille T1, fournie à 1, indique que le processus est inclus dans le pé-

rimètre de l’analyse de risque. Il faut forcer la valeur 0 pour exclure le processus.

Ligne 3 : indique le critère de sécurité D (Disponibilité), I (Intégrité), C (Confidentialité) or E (Ef-

ficience).

Ligne 4 : contient le nom de code de l’actif indiqué en ligne 2.

Les cellules des lignes 5 à 21 de chaque feuille doivent contenir le niveau de classification (de 1 à

4) pour chaque critère de sécurité de chaque actif en fonction de l’analyse des enjeux et de la car-

tographie effectuée. (voir le guide de l’analyse des enjeux et d la classification)

Ligne 22 (Classification d’ensemble) : chaque cellule est automatiquement remplie par la méthode

avec la valeur la plus élevée des cellules précédentes dans la colonne. En fonction de cette valeur,

les cellules sont colorées en vert (2), orange (3) or rouge (4). Cette classification est donnée à titre

indicatif, car l’analyse de risque sera effectuée à partir de la ligne ‘’Classification du périmètre’’.

Ligne 23 (Classification du périmètre) : est automatiquement remplie comme pour la ligne précé-

dente mais seulement pour les domaines d’activité et les processus inclus dans le périmètre

d’analyse de risque par le contenu de la colonne Incl.

Ainsi, il est possible de réaliser une première analyse de risque sur un nombre restreint d’activités

et/ou de processus puis d’en considérer plus dans les itérations suivantes. Cela correspond aussi à

la facilité de définir les frontières (boundaries) d’un SMSI selon la norme ISO/IEC 27001:2005.

La sélection autorisée par la colonne Incl (remplie par défaut avec des 1) permet aussi de préparer

la présentation des résultats aux managers. Ainsi il est possible, après l’analyse de risque, de ne sé-

lectionner qu’un (ou plusieurs) processus et de visualiser de manière unitaire les niveaux de risque

résultants et les améliorations des services de sécurité propres à réduire ces risques.

Attention : du fait de la recopie automatique de la feuille T1 dans T2 et T3, il faut éviter de modi-

fier le nombre de lignes des feuilles T1 à T3.

  • 2.6 Feuille Classif

Cette feuille reçoit automatiquement les synthèses en provenance de T1, T2 et T3 et contient

pour chaque type d’actif et chaque critère de sécurité, la classification de l’actif qui sera utilisée

comme Impact Intrinsèque pour l’évaluation des scénarios de risque.

La colonne F est remplie par défaut avec la valeur 1, forcer 0 permet de désélectionner le type

d’actif correspondant. La désélection se traduit par le fait que les scénarios correspondant à ce ty-

pe d’actif ne sont pas pris en compte dans la feuille scénarios et les feuilles Plans_action,

Risk%actif et Risk%event.

Ainsi il est possible de limiter (ou d’exclure) l’analyse de risque à certains actifs (par exemple les

réseaux ou la sécurité physique) ou, lors du traitement des résultats, de visualiser les améliorations

destinées à traiter ces actifs.

  • 2.7 Feuilles de diagnostic des services de sécurité

Ces feuilles, au nombre de 14, sont organisées par domaine et numérotées de 01 Org à 14 Msi

Toutes ces feuilles ont la même organisation :

Colonne A : numéro de service, de sous-service ou de question

Colonne B : libellé du service, du sous-service ou de la question

Colonnes C (R-V1) à F (R-V2) : réservées aux réponses possibles pour 4 variantes de

domaine maximum dans le schéma d’audit. Le nombre de variantes retenues doit

être indiqué sur la première ligne, colonne C (la valeur par défaut étant 1).

Les réponses à chaque question doivent être 1 (Oui), 0 (Non) ou X (Sans Objet).

Il est possible de déclarer globalement un sous-service comme sans objet en indiquant

un X sur la ligne du titre du sous-service, dans la colonne de la variante considérée (cette

déclaration est reportée automatiquement dans la feuille Services).

Colonnes G à I : paramètres de calcul de la qualité de service (voir le guide du diagnostic des

services de sécurité)

Colonne J : paramètre (E pour Efficacité, R pour Robustesse et C pour Continuité) ca-

ractéristique de la mesure de sécurité pouvant permettre de faire des sélections de ques-

tions (en mode expert).

Colonne K : Référence au (ou aux) paragraphe de l’ISO/IEC 27002 pertinent pour la

question

Colonne L : réservée pour des commentaires libres de l’auditeur.

Les seules colonnes à remplir lors d’un diagnostic sont C à F et L.

La feuille 14 Msi ne contribue pas à l’analyse de risque mais permet d’évaluer le niveau de

réalisation dans le cadre éventuel d’un processus de management de la sécurité de

l’information.

2.8 Feuille Services

La feuille Services fait la synthèse des diagnostics et permet d’évaluer la qualité des services de sécu-

rité. Chaque service est évalué, sur une échelle allant de 0 à 4 et les évaluations concernant la qualité

de chaque service, pour chaque variante retenue du schéma d’audit, sont regroupées dans la feuille

Services :

Colonne A : numéro du domaine, compris entre 01 et 14

Colonnes B et C : numéro et description des services de sécurité (standard MEHARI)

Colonne D : Indique le thème de sécurité auquel le service répond (voir feuille thèmes).

E à H : Niveau de qualité calculé des services de sécurité (de 0 à 4). En fonction du

schéma d’audit (appelé décomposition cellulaire dans les versions précédentes), plusieurs

diagnostics d’un même service peuvent être réalisés pour différentes instances. Les ré-

ponses ayant été notées dans des colonnes différentes dans chaque domaine sont utili-

sées pour calculer la qualité de chaque service pour chaque variante.

Les questions sans objet (notées X) ne sont pas prises en compte pour la pondération.

En cas de réponses partielles, pour un service (ou une variante de service), la moyenne

pondérée est calculée en prenant les notes des questions auxquelles il a été répondu,

mais en divisant par la somme des poids de toutes les questions (sauf questions sans ob-

jet avec un X comme réponse).

Colonne I : minimum des variantes retenues. Par mesure de précaution, ce minimum est

utilisé pour l’évaluation des risques.

Le minimum est arrondi à la valeur entière la plus

proche avec un minimum de 1.

Colonne J : Objectif de qualité retenu par les divers plans d’action (voir feuilles

Plans_action et Obj_PA) ou pour les objectifs fixés par projet (feuille Obj_projets). Il

est en effet possible, dans les plans d’action de fixer un objectif aux services de sécurité.

De même on peut assigner des objectifs à plusieurs services de sécurité dans des projets.

Si un service a fait l’objet de plusieurs décisions, le niveau maximum fixé comme objec-

tif est reporté automatiquement dans cette colonne.

La valeur de la cellule (2,J), indique la prise en compte de l’objectif (Valeur 1) ou pas (va-

leur 0). Cette valeur est remplie automatiquement à partir de paramètres introduits dans

la feuille « Plans_action » cellule (2,N).

Colonne K : colonne de travail utilisée par les plans d’action et la simulation des risques

résiduels. Selon l’option retenue, cellule (2,J), cette colonne contient soit la qualité ac-

tuelle du service soit sa qualité objectif (plus exactement le maximum de la qualité ac-

tuelle et de la qualité objectif).

2.9 Feuille Thèmes

Cette feuille indique des « thèmes de sécurité » et, pour chaque thème, les services et sous-

services de MEHARI qui pris en compte pour évaluer ce thème.

Les calculs sont effectués (par la moyenne des services concernés) :

- colonne D : en valeur actuelle (compte tenu du diagnostic de l’état des services de sécurité)

- colonne E : en valeur future (compte tenu des objectifs retenus, si le paramètre définissant la

prise en compte des objectifs a bien été positionné dans la feuille « Plans_action » cellule (2,N) ..

2.10 Feuille Score ISO

Cette feuille permet d’indiquer un score des points de contrôle de la norme ISO/IEC 27002:2005

en fonction des réponses aux questionnaires d’audit MEHARI.

Colonnes A à D : introduisent la liste des pratiques (‘’controls’’) de la norme

Colonne E : questions de MEHARI correspondant strictement au ‘’control’’ de la nor-

me

Cellule (2,F) : si positionnée à 1, les questions référencées en colonne sont sur fond jau-

ne dans les feuilles 01 0rg à 13 Man.

Colonne F : note de 0 à 10, de la ‘’conformance’’ pour le ‘’control’’, résultat de la divi-

sion du nombre de réponses positives par le nombre total de questions, multiplié ensuite

par 10. Le score est calculé uniquement en fonction de la variante 1 de chaque do-

maine.

Colonne G : remplie par défaut à 1, ce qui indique que le contrôle doit être intégré dans

la déclaration d’applicabilité de ISO 27001 (SOA). Forcer 0 permet de retirer l’objectif

de contrôle associé lors d’un processus de SMSI selon ISO 27001.

La colonne H est utilisée pour indiquer la justification de cette décision (maintien ou re-

trait).

2.11 Feuille Expo

La feuille Expo contient le tableau des événements déclencheurs de scénarios dont la probabilité

constitue la Potentialité Intrinsèque des scénarios.

Colonne A à D : les colonnes A à D contiennent les types d’événements et les codes

correspondants

Colonne E : la colonne E contient la valeur (de 0 à 4) de l’exposition naturelle proposée

en standard par le Clusif

La colonne F permet de forcer une valeur spécifique pour l’entité si la valeur standard

ne s’applique pas à sa situation ou à son environnement.

La colonne G contient par défaut la valeur standard et, si une valeur a été entrée en co-

lonne F, cette dernière valeur est prise en compte.

La colonne H (remplie par défaut avec des 1) permet de désélectionner (valeur 0) des

menaces (événements déclencheurs), alors tous les scénarios correspondants sont auto-

matiquement désélectionnés aussi.

La colonne I permet de commenter la valeur décidée pour chaque type d’événement.

2.12 Feuille Scénarios

La feuille Scénarios contient les scénarios de risque de la base de connaissances :

Colonne A : colonne contenant des codes de famille de scénarios utilisés également dans

la feuille Plans d’action.

Colonne B (masquée) : colonne contenant des codes utilisés uniquement pour le libellé

littéral du scénario

Colonne C : type d’actif primaire concerné

Colonnes D à G : Vulnérabilité exploitée décrite par un type d’actif secondaire, critère

(tel que D, I, C ou E, pour Efficience) et un type de dommage subi et un code significa-

tif de la vulnérabilité ou de l’exigence de conformité.

Colonnes H à N : Menace à l’origine du risque, caractérisée par un type d’événement

(décrit par des types et sous-types d’événements, des circonstances de lieux, de temps,

de type d’accès et de processus et un type d’acteurs, le tout sous forme de code (les co-

des sont explicités dans la feuille Codes).

Colonne O : libellé descriptif du scénario

Colonne P : Sélection directe et manuelle du scénario, décidée par l’auditeur. Seuls les

scénarios sélectionnés, par un 1 (valeur par défaut) dans cette colonne, ont une gravité

qui est évaluée et sont pris en compte dans les feuilles de synthèse Plans d’action,

Risk%actif et Risk%event. La sélection des scénarios est prise en compte lors de

l’étape d’identification des risques.

Colonnes Q et R : codes permettant de différencier la cause du scénario (A pour acci-

dent, E pour Erreur ou M pour Malveillance, V pour acte Volontaire non malveillant)

ou sa conséquence (D pour Disponibilité, I pour Intégrité et C pour Confidentialité, L

pour Limitable). Ces indications sont utilisées par les formules de calcul de la base de

connaissances pour sélectionner les grilles de calcul de potentialité et d’impact.

Colonnes S et T : Report de l’impact intrinsèque et de l’exposition naturelle (Potentialité

intrinsèque) du scénario. Ces indicateurs sont remplis automatiquement à partir des co-

lonnes C et D, pour l’impact intrinsèque, et H et I pour l’exposition naturelle.

Colonne U (Grav.) : évaluation de la Gravité intrinsèque, calculée sans facteur de réduc-

tion de risque, à partir de l’impact intrinsèque et de l’exposition naturelle.

Colonnes V à Y : évaluation des divers facteurs de réduction du risque (Dissuasion, Pré-

vention, Confinement, Palliation), en fonction de la qualité des services de sécurité. No-

ta : en cas de variantes dans le schéma d’audit, c’est le minimum des évaluations des di-

verses variantes qui est pris en compte pour calculer les facteurs de réduction de risque.

Colonne Z : Caractère « confinable » (1) ou non confinable (0) du scénario (valeur stan-

dard attribuée par le CLUSIF). Par mesure de précaution, certains scénarios sont consi-

dérés, par défaut, comme non confinables malgré l’existence de mesures de confine-

ment.

Colonne AA (Confinabilité décidée) : les cellules de la colonne sont livrées vides, mais une

valeur différente de la valeur standard de la colonne Z permet de décider de la prise en

compte (ou non) des mesures de confinement .

Colonnes AB et AC : Impact décidé et Potentialité décidée. Ces colonnes permettent de

forcer un impact et/ou une potentialité à une valeur différente de celle qui est automati-

quement calculée (voir guide de la gestion des risques).

Colonnes AD et AE (Impact calculé et Potentialité calculée) : évaluations calculées de l’Impact

et de la Potentialité du scénario en fonction de l’impact intrinsèque, de l’exposition natu-

relle et des facteurs d’atténuation de risque.

Colonne AF (Gravité calculée) : Gravité établie en fonction des valeurs de I et de P déci-

dées (colonnes AB et AC) ou calculées (colonnes AD et AE) et de la grille de gravité.

Cellule (1,AA) (Prise en compte des services de sécurité) : la feuille Plans action permet de bas-

culer rapidement entre trois vues successives des risques : intrinsèques, actuels et futurs

(suite aux mesures additionnelles planifiées). La valeur 0 de cette cellule indique que la

colonne AF reprend le résultat de la colonne U Gravité intrinsèque.

La valeur 1 donnera la valeur actuelle ou future en fonction de la cellule (2,N) de la feuil-

le Plans_action.

Colonne AG (Scénario accepté ou transféré) : Il est possible d‘indiquer, dans cette colonne,

que l’on accepte le risque du scénario, malgré sa gravité ou qu’on le traite par transfert

du risque (par l’assurance notamment). Certains scénarios peuvent ainsi être acceptés

(A), même si leur gravité est forte, ou considérés comme transférés (T), ils ne sont alors

pas comptés dans les récapitulatifs (nombre de scénarios par niveau de gravité) des feuil-

les « plans_action », « Risk%actif » ou Risk%event ».

Colonne AH : colonne de travail (vide si le scénario est accepté ou transféré, gravité cal-

culée sinon).

Colonnes AI à AL : colonnes contenant les formules littérales des facteurs d’atténuation

de risque.

Colonnes AM à AT : colonnes de travail pour les formules.

2.13 Feuille Risk%actif

Cette feuille contient un tableau récapitulatif du nombre de scénarios, par niveau de gravité, par

type d’actif et par critère de classification (D, I et C ou E).

C’est une vue de synthèse qui permet d’aller directement travailler, dans le Plans d’action, sur une

famille de scénarios.

A cette fin, des liens hypertexte sont inclus (colonne >) permettant de pointer directement sur

une famille de scénarios (et donc un type d’impact) dans la feuille Plans d’action.

La dernière ligne indique le cumul du nombre de scénarios de la colonne (ayant le même niveau

de gravité)

  • 2.14 Feuille Risk%event

Cette feuille contient un tableau récapitulatif du nombre de scénarios, par niveau de gravité, et

par type d’événement.

  • 2.15 Feuille Plans_action

Cette feuille contient des indications sur les plans d’action susceptibles de réduire les risques.

Les scénarios y sont traités par famille, chaque famille consistant en un type d’actif et un type

d’impact.

Pour chaque famille une synthèse du nombre de scénarios par niveau de gravité est fournie.

Pour visualiser cette synthèse il est possible de sélectionner l’une des trois options suivantes :

Evaluation de la gravité intrinsèque des scénarios (calculée sans prendre en compte le

niveau actuel des services de sécurité), obtenue en mettant 0 dans les cellules 1N et 2N.

Evaluation de la gravité résiduelle : l’ensemble des calculs prend en compte la qualité ac-

tuelle des services de sécurité, telle qu’elle résulte des feuilles de diagnostic, obtenue en

mettant 1 dans la cellule 1N et 0 dans la cellule 2N.

Prise en compte des actions décidées : l’ensemble des calculs est effectué en tenant

compte des niveaux d’objectifs attribués aux services de sécurité, en mettant 1 dans les

cellules 1N et 2N

Contenu des colonnes :

Colonne A : nom de la famille de scénarios.

Colonnes B à F : nombre de scénarios par niveau de gravité et nombre total de scénarios

de la famille (ayant un niveau de gravité calculé).

Colonne G : type des mesures proposées par chaque plan d’action, s’il est sélectionné.

Colonne H : indication de l’efficacité (valeur de A à E) du plan d’action, basée sur le

nombre de scénarios de la famille touchés par ce plan.

Colonne I (décision) : la valeur 1, indique que le plan d’action de réduction de ris-

que utilisant les services de sécurité de la ligne est sélectionné, sinon laisser vide

ou mettre un 0.

Colonnes J, M, P, S, V, Y, AB, AE, AH, AK : services inclus dans le plan.

Colonnes K, N, Q, T, W, AC, AF, AI et AL: Valeurs actuelles des niveaux des services

de sécurité (établies suite à la phase de diagnostic)

Colonnes L, O, R, U, AD, AG, AJ et AM : objectif de niveau de qualité (cible) assigné

au service à améliorer. Cette colonne est modifiable manuellement afin de permettre à

l’auditeur d’envisager plusieurs alternatives.

Fixation d’objectifs de niveaux aux services de sécurité

Les services de sécurité pertinents pour la famille de scénarios sont regroupés par ensembles ho-

mogènes et par type d’effet. Sur une ligne, les divers services concernés sont affichés avec un ni-

veau d’objectif a priori susceptible de réduire significativement le risque.

Il est proposé alors de sélectionner l’ensemble des services de cette ligne et leurs niveaux objectifs

correspondants, en forçant un 1 dans la colonne « décision » (I). Il est possible de modifier le ni-

veau objectif de chaque service individuellement. Nota : pour exclure un service d’un plan

d’action, fixer son objectif à 1.

Il est ainsi possible de faire des simulations sur l’effet de telle ou telle décision et de décider des

actions à mener en conséquence.

2.16

Feuille Obj_PA

Cette feuille est une feuille de travail qui récapitule les objectifs assignés aux services de sécurité

par les plans d’action évoqués au paragraphe précédent.

Colonne A à C : recopie des colonnes A à C de la feuille Services.

Colonne D : Récapitulatif des objectifs maximaux de niveaux de qualité assignés aux

services de sécurité par les plans d’action des colonnes suivantes. Cette colonne sert à

calculer les cibles d’objectifs de sécurité dans la colonne J de la feuille Services.

Colonnes E à BC: utilisées pour indiquer (par type d’actif et par critère de sécurité) le

 

niveau de qualité objectif global en fonction des divers plans sélectionnés dans la feuille

Plans_action, .

2.17

Feuille Obj_Projets

Cette feuille permet de définir des projets avec, pour chaque projet, une date d’achèvement, des

services améliorés et un objectif de qualité (de 1 à 4) pour chaque service.

Cette feuille contient également, en colonne I, une évaluation d’un « besoin de service de sécuri-

té ».

Colonnes A à C : recopie des colonnes A à C de la feuille Services.

Colonnes D à H (normalement cachées) : Indication d’un besoin de qualité de service en

fonction des types de plans faisant appel à chaque service (en fonction de leur efficaci-

té). On tient compte, pour ce calcul du nombre de scénarios de gravité 3 (avec un coef-

ficient de 1) ou 4 (avec un coefficient 8), pour chaque famille de scénarios et on fait la

somme de ces besoins pour l’ensemble des familles.

Colonne I : synthèse des besoins précédents (calculée avec une fonction logarithme).

A priori, plus cette valeur est forte, plus le besoin d’améliorer ce service est élevé.

Colonne J : Synthèse des objectifs assignés aux services de sécurité par des projets (dé-

crits colonnes suivantes).

La cellule (4,J) doit contenir une date de référence, au format « aa mm » (millésime sur

deux chiffres, puis un espace, puis mois sur deux chiffres). Seuls les projets ayant une da-

te d’achèvement antérieure à cette date de référence seront pris en compte pour les ob-

jectifs des services de sécurité.

Colonnes K à AX : Ces colonnes sont utilisées pour décrire des projets :

La ligne 3 fournit une courte description du projet

La ligne 4 mentionne la date planifiée de terminaison du projet (au format aa mm)

Chaque cellule de la colonne indique le niveau de qualité du service atteint lors de la ter-

minaison du projet.

Note : si aucune date n’est mentionnée en ligne 4, la méthode considère que le projet

sera terminé avant la date de référence donnée dans la cellule (4,J).

  • 2.18 Feuille Vulnérabilités types

La feuille Vulnérabilités types contient la liste, pour chaque type d’actif secondaire, des domma-

ges potentiels subis et des vulnérabilités exploitables. Ce tableau peut être utilisé pour analyser et

écarter certaines vulnérabilités qui ne seraient pas à retenir dans le contexte propre de l’entité.

Il convient alors de désélectionner ces vulnérabilités, dans la colonne G, en introduisant un 0, à la

place du 1 fourni en valeur standard.

Les scénarios faisant appel à ces vulnérabilités seront automatiquement désélectionnés.

  • 2.19 Feuille Grilles_IP

La feuille Grilles-IP contient les grilles de décision utilisées pour évaluer l’impact et la gravité ré-

siduels en fonction de l’impact intrinsèque, de la potentialité intrinsèque et des facteurs de réduc-

tion de risque (voir guide de la gestion des risques).

En mode expert, les valeurs contenues dans ces grilles peuvent éventuellement être modifiées

(après avoir retiré la protection de la feuille)

  • 2.20 Feuille Gravité

La feuille Gravité contient la grille d’acceptabilité des risques utilisée pour décider du niveau de

gravité des risques en fonction de l’impact et de la potentialité résiduels.

En mode expert, les valeurs contenues dans cette grille peuvent éventuellement être modifiées

(après avoir retiré la protection de la feuille)

A défaut la grille standard Clusif fournie dans la base devrait être validée par les parties prenantes.

  • 2.21 Feuille Corr_Services

Cette feuille indique la correspondance entre services de MEHARI 210 et services de MEHARI

2007, en précisant les services nouveaux, modifiés ou supprimés.

  • 2.22 Feuille Codes

Cette feuille (masquée) contient des libellés utilisés dans la description et n’ont pour seul objectif

que de faciliter la maintenance et la traduction de ces libellés

3 Traitements et calculs effectués

Les traitements effectués pour calculer la qualité des services, l’impact, la potentialité ou la gravité

des scénarios dépendent de formules contenues dans les feuilles du fichier .xls (pour Excel ou

OpenOffice).

Ces formules sont mises en place à l’aide de macros qui n’ont pas à être utilisées en dehors de la

maintenance de la base et ne sont pas disponibles dans la version publique de la base.

3.1 Traitements et fonctions utilisées

Feuille Services

Cotation des services

La cotation est faite pour 4 variantes de schéma d’audit maximum.

La cotation des services de sécurité, en fonction des réponses aux questionnaires (feuilles 01 Org

à 14 Msi), vérifie qu’un service n’a pas été déclaré « X» (Sans Objet) sur la ligne de titre du service

(et pour la variante considérée) dans la feuille de questionnaires.

On teste ensuite s’il y a au moins une réponse (1 ou 0) avec un poids non nul (sinon la cotation

n’est pas remplie).

Enfin la cotation calcule la moyenne pondérée (sans tenir compte des réponses X), puis vérifie

l’existence d’un seuil « MIN » ou d’un seuil « MAX » et affiche le résultat final.

Les seuils MIN et MAX sont calculés dans des colonnes cachées des différents domaines.

Les fonctions standard d’Excel et OpenOffice utilisées sont SI, NON, MIN, MAX et

SOMME.SI

Calcul du min des services

Le minimum des services est calculé et arrondi à l’entier le plus proche, après des tests pour reve-

nir à 1 si le service n’a aucune réponse ou une réponse « X » (Sans objet)

Fonctions standard utilisées : MIN, SI, OU et ARRONDI

Calcul de l’objectif

L’objectif de qualité de service fixé dans la feuille « Plans d’action » est calculé en prenant

l’objectif le plus élevé (on n’affiche rien s’il n’y a pas d’objectif fixé).

Fonctions standard utilisées : MAX et SI

Calcul du service avec objectifs

La valeur affichée dans cette colonne dépend du choix effectué dans la feuille « Plans d’action »,

choix qui se traduit par un 1 ou un 0 dans la cellule 2,J. Si on tient compte des objectifs fixés, soit

par des plans d’action, soit par des projets, la valeur affichée est le maximum de l’objectif et de la

valeur actuelle du service.

Fonctions standard utilisées : MAX et SI

Feuille Score ISO

Les scores sont calculés avec des fonctions SOMME, en ne tenant compte que du nombre de ré-

ponses positives, sans tenir compte de leur poids dans les questionnaires MEHARI.

Feuille Thèmes

Les calculs sont effectués avec la fonction standard : MOYENNE.

Feuille Scénarios

Recherche de la classification, de l’exposition naturelle et texte des scénarios

La classification est recherchée, dans la feuille « Classif » (en fait dans une table déclarée dans cet-

te feuille) en fonction du type d’actif et du type de dommage.

L’exposition naturelle est recherchée, dans la feuille Evénements types (en fait, dans une table

déclarée dans cette feuille) en fonction des événements déclarés dans le scénario.

Les libellés de scénarios sont eux-mêmes déduits des codes d’actifs, de vulnérabilités et de mena-

ces.

Fonctions standard utilisées : RECHERCHEV et SI

Calculs des facteurs de réduction de risque (dissuasion, prévention, confinement et pal- liation)

Les calculs emploient les fonctions MAX et MIN reflétant les formules littérales et font référence

aux services de sécurité par leur nom (variables déclarées).

Fonctions standard utilisées : MAX et MIN

Calculs de P (Potentialité), I (Impact) et G (Gravité)

P et I sont calculés en faisant appel aux grilles IP (nommées par des tables déclarées) en fonction

des paramètres du scénario.

La gravité est calculée soit à partir des I et P calculés soit à partir des I et P décidés.

Fonctions standard utilisées : SI, ET, OU, NON et INDEX

Feuilles Plans d’action et Risk%event

Le nombre de scénarios par famille est calculé pour chaque niveau de gravité.

Emploi de la fonction standard NB.SI

Feuille Obj_PA

Calcul de l’objectif pour chaque catégorie de plan d’action

Pour chaque catégorie de plans d’actions, si un plan est sélectionné, on affiche, pour chaque ser-

vice contenu dans le plan, l’objectif correspondant. La formule permet de tenir compte du fait

qu’un service peut être appelé 2 fois (avec 2 objectifs différents) dans la même catégorie de plans

d’action.

Fonctions standard utilisées : INDEX et SI

Synthèse des objectifs en fonction des différents plans

Utilisation de la fonction MAX

Feuille OBJ_Projets

Calcul de l’objectif d’un service pour différents projets

Le calcul test de fin d’achèvement de projet par rapport à la date de référence est fait dans des co-

lonnes cachées.

Fonctions standards utilisées: SI et MAX

Feuille Expo

L’exposition naturelle est sélectionnée entre la valeur par défaut et une valeur décidée (cette der-

nière prévalant)

Fonctions standard utilisées : MAX et SI

3.2 Macros (sous Excel)

Les macros utilisées couramment sont uniquement celles de masquage de feuilles.

D’autres macros sont utilisées, en mode maintenance, pour mettre à jour les codes de fonctions

et surtout les champs de cellules auxquels les fonctions font référence.

L ’ E S P R I T D E L ’ É C H A
L ’ E S P R I T
D E
L ’ É C H A N G E

CLUB DE LA SÉCURITÉ DE L'INFORMATION FRANÇAIS

11, rue de Mogador 75009 Paris 01 53 25 08 80 clusif@clusif.asso.fr

Téléchargez les productions du CLUSIF sur

www.clusif.asso.fr