Académique Documents
Professionnel Documents
Culture Documents
MEthode Harmonise
d'Analyse de RIsques
Sommaire
INTRODUCTION 3
3. Dveloppement de MEHARI 13
1) Recherche des informations pour la mise en place de la mthode 13
a) Vue gnrale de lentreprise 13
b) Test technique de linfrastructure rseau 16
2) Synthse des donnes rcoltes 17
3) Analyse et application de la mthode 17
4) Les Logiciels mettant en place Mhari 20
5. Actualits 23
1) Politique de gestion des risques en France 23
2) Autres moyens de gestion des risques 23
CONCLUSION 25
ANNEXE 26
INTRODUCTION
Gnralits
La ralisation de ce projet rentre dans le cadre de notre formation IUP. Dans la
matire scurit on sintresse aux diffrents daspects de la scurit dans les
rseaux informatiques prsents au sein des entreprises.
Nous avons une quipe de quatre lments pour nous partager les travaux de
recherches, de synthses et mise en pratique de la mthode chez RDI.
Sujet du projet
Le but de ce projet est de travailler sur la mthode MEHARI. Cette mthode consiste
une gestion des risques au niveau dune entreprises. On travaille sur plusieurs
niveaux que lon dtaillera au fur et mesure de notre expos.
Avant tout il est important de dfinir de quel sujet on va parler. On va prsenter le rle de
la mthode et son historique.
1) Dfinition
La mthode Mhari rsulte des travaux de Jean-Philippe Jouas et de Albert Harari, alors
chez Bull (le premier Directeur de la scurit du Groupe, le second responsable des
mthodes au sein de cette Direction) et de leur consolidation au sein de la commission
Mthodes du Clusif (Club de la Scurit des Systmes d'Information Franais).
Albert Harari avait dvelopp Melisa pour la DCN (Direction des Constructions Navales de la
Dlgation Gnrale pour l'Armement) et cette mthode proposait une certaine vision des
risques, avec des paramtres d'valuation relativement simples et adapts la cible vise.
Son utilisation dans un contexte industriel et dans un Groupe international a conduit Jean-
Philippe Jouas et Albert Harari faire voluer cette base pour dfinir un modle du risque
complet et une mtrique associe.
Les rsultats de ces travaux ont t publis en 1992 (Le Risque Informatique - Editions
d'Organisation).
Les lments fondateurs contenus dans cet ouvrage se sont rvls stables et ont peu
volus depuis. Une mise jour rcente du document d'origine est disponible sur ce site
dans la partie Bibliothque (Le Risque Informatique).
Reprise par le CLUSIF et permet une analyse et une valuation quantitative des facteurs de
risques chaque situation difficile que pourrait rencontre lentreprise. Elle permet de
concilier les objectifs stratgiques et les modes de fonctionnements de lentreprise. La
nouveaut de cette mthode est quelle prend en compte les derniers modes de
fonctionnement de lentreprise avec une politique de gestion des risques un bon niveau.
2) Historique
Mhari existe en Franais et en Anglais et est maintenue par le CLUSIF. Elle est drive des
mthodes Marion et Mlisa (qui eux nvoluent plus depuis plusieurs annes). Mhari est
utilise par de nombreuses structures publiques et prives en France mais galement au
Qubec.
3) Principe de fonctionnement
La mthode mhari prend avant tout en compte les informations de lentreprise afin de
dvelopper un plan afin de mieux dfinir les points protger dans lentreprise.
MEHARI permettra l'entreprise de dfinir :
- Un plan stratgique de scurit
- Un plan oprationnel de scurit par site ou entit
- Un plan oprationnel d'entreprise
- Le traitement d'une famille de scnarios ou d'un scnario particulier
- Le traitement d'un risque spcifique (Accident, Erreur, Malveillance)
- Le traitement d'un critre de scurit (Disponibilit, Intgrit, Confidentialit)
- Une application critique supportant le business
- Un projet critique (infrastructure, application)
La mthode MEHARI, quant elle, conjugue la rigueur d'une analyse des risques lis
formellement au niveau de vulnrabilit du systme dinformation, l'adaptabilit de la
gravit des risques tudis. En effet, la prsence ou l'absence de mesures de scurit va
rduire ou non, soit la potentialit de survenance d'un sinistre, soit son impact. L'interaction
de ces types de mesures concoure rduire la gravit du risque jusqu'au niveau choisi.
Nous allons dtailler ces diffrentes tapes dans la suite de notre rapport, en tudier les
modalits et les moyens mettre en uvre.
Mhari rpond aux besoins des entreprises dans la gestion des risques et la mise en place
des solutions des risques. Ce nest pas une mthode daudit. Il sorganise autour daxes
principaux qui rsument les donnes essentielles au bon fonctionnement dune entreprise.
La mthode MEHARI (MEthodes Harmonise dAnalyse de RIsques) est avant tout une
mthode danalyse et de management de risques. Elle a t conue pour tre adaptable au
contexte de lentreprise mais elle ne dispose pas de dclinaison par typologie dentreprise ou
mtier.
Mhari se nourrit des enjeux et des objectifs de lentreprise afin de livrer un rsultat
business quant aux mesures de scurit mettre en uvre. Les diffrentes phases sont
dtablir le contexte dentreprise, didentifier les actifs et les menaces, danalyser les risques
et enfin de dfinir les mesures de scurit (traitement du risque).
La mthode Mhari a t conue pour les grandes entreprises et organismes (qui sont
galement les principaux demandeurs de mthodologie de risques) et prvoit la dmarche
de scurit de linformation deux niveaux :
_Niveau oprationnel : entit, filiale, branche, business unit qui met en uvre cette politique
et la dcline en analyse prcise des risques, dfinition des mesures de scurit mettre en
uvre et pilotage de la scurit dans le temps (contrle et tableau de bord).
1) Plan stratgique
Cest le plan qui examinera lentreprise sur un aspect gnral. Ici on parle dune faon ou
dune autre du business. Serons pris en compte lors de cette analyse, la classification des
ressources de lentreprise, lensemble des risques existants, ses objectifs scurit.
Lors de laudit nous allons donc rpertorier les risques pouvant pnaliser lactivit de
lentreprise cliente.
Ensuite pour chacun des risques dtects on dfinit :
- Son potentiel :
C'est--dire la capacit de destruction. Cest pour cela que lon mettra en place des tests ou
plus prcisment des scnarios qui permettent de se mettre en situation et dvaluer ce
potentiel.
-Son impact :
En clair, une fois la catastrophe arrive concrtement quel seront les dgts rels.
-Sa gravit :
Dterminer si vraiment les dgts son handicapants pour lentreprise et son fonctionnement.
De part ces caractristiques nous allons ensuite mettre en place une chelle pour le degr
dacceptabilit non seulement sur le plan de la gravit mais aussi du temps. Combien de
temps lentreprise pourra tre dans cette handicape sans que cela devienne dangereux pour
a survie.
Lors de cette tape nous dfinirons en fait les valeurs de lentreprise, quels services
gnrent le plus de chiffre daffaire, ou sont vital pour le fonctionnement de la socit.
Cest ltape finale, cest lors de celle-ci que lon mettra en place dans un premier temps les
indicateurs afin de prvenir au maximum larrive dune catastrophe. que lon regroupera
toutes les informations que lon a pu rcuprer et quon les analysera de faon globale afin
de pouvoir mettre en uvre des solutions : rgles de scurit et de responsabilit. Les
solutions sapplique sur plusieurs niveaux :
Ce dcoupage permet un regroupement des mesures en six grandes familles :
Les mesures structurelles qui jouent sur la structure mme du systme d'information,
pour viter certaines agressions ou en limiter la gravit.
Les mesures dissuasives qui permettent, dans le cas d'agresseurs humains, d'viter
qu'ils mettent excution la menace potentielle en dclenchant l'agression.
Les mesures de protection qui, sans empcher les dtriorations, permettent tout au
moins d'en limiter l'ampleur.
Les mesures palliatives qui agissent une fois les dtriorations accomplies, et qui
permettent, d'une part d'en limiter les consquences au niveau de l'entreprise, d'autre
part de restaurer les ressources dtriores pour retrouver l'tat initial.
Les mesures de rcupration qui visent rcuprer une partie du prjudice subi par
transfert des pertes sur des tiers, par le biais des assurances ou de dommages et
intrts conscutifs des actions en justice, dans le cas d'agresseurs humains.
Dans cette tape il sagit fondamentalement de mettre en place des scnarii sur les impacts
et les consquences que peuvent avoir ces sinistres sur la vie et le bon fonctionnement de
lentreprise. Cette partie conclue la boucle de lapplication de la mthode Mhari par la mise
en place dun outil permettant le suivi des oprations effectuer afin damliorer la scurit
de la socit.
Pour que cette stratgie soit couronne de succs il est ncessaire de sassurer que :
9 Elle est connue et comprise par la Direction et le personnel de lentreprise
Cest ce niveau quintervient la mise en place et le suivi dun Tableau de Bord Equilibr
Scurit (TBES). En effet, la dmarche TBES mise au point par HAPSIS sinspire des
principes de gouvernance des systmes dinformation et de la mise en uvre de Balanced
Score Cards . Elle intgre lensemble des rapports de cause effet entre les paramtres
cls, les mesures de rsultats et les boucles de suivi pour la mise en uvre de la stratgie.
En outre, la dmarche TBES est pragmatique, modulaire et s'applique de prfrence
primtre par primtre.
Bnfices :
9 Les objectifs poursuivis par la stratgie scurit sont conformes ceux de l'entreprise
Valorisation accrue de l'action mene par le RSSI qui est ainsi replace au sein de la
stratgie de l'entreprise
9 Impact sur l'image vhicule par la SSI
9 Pilotage et mesure dans la dure de la stratgie scurit sur l'ensemble de ses
aspects, en privilgiant le caractre stratge du RSSI
9 Intgration des aspects stratgiques et oprationnels
Arbitrage budgtaire avec l'assurance du meilleur impact sur le niveau de scurit.
La mise en pratique dun TBES permet de disposer dun outil de pilotage de sa stratgie
scurit ainsi que de conduite du changement. Clarifiant, communiquant et explicitant la
stratgie de scurit, il provoque une adhsion du personnel et optimise l'affectation des
moyens. De ce point de vue, les probabilits de succs de la stratgie de scurit sont
amliores. Cela se traduit par une atteinte des objectifs sur les indicateurs de risques et se
matrialise par une diminution des vnements de pertes propres aux risques considrs.
La dmarche MEHARI
Objectifs Scnario
Mtriques Plan daction
Plan oprationnel de
scurit
3. Dveloppement de MEHARI
Afin dillustrer au mieux notre expos nous avons dcid de mettre en place une petite
simulation de la mthode auprs dune entreprise. Par hasard notre choix sest port sur la
socit RDI bas NIMES.
Comme vu prcdemment on constate que une bonne partie des informations de la mthode
mhari doit tre cherche au sein de lentreprise. Pour cela nous avons en trois rendez-vous
avec M. Fleury rcolter les donnes ncessaires lapplication de la mthode.
La premire tape fut de rcolter des information trs gnrales sur le fonctionnement de
lentreprise. Puis de dterminer les niveaux dacceptabilit des risques inventoris. Puis on
peut mettre en place larchitecture de la mthode mhari, de lanalyse des donnes jusqu
la simulation de scnarii catastrophe.
Entreprise :
- 1ere tage : 400 m et 2rez de chaussez 600 m
- SSII (chaque socit du Groupe est spcialiste d'un mtier)
- 3 socits qui forment le groupe RDI
- Effectif : 80 personnes
SOCIETES ACTIVITE
Personnel :
- Les quipes sont motivs et adhrent compltement aux objectifs de lentreprise
- Climat social OK
- Pas de protection contractuelle des donnes
- Dans le rglement intrieur pas de clause de confidentialit
- Lentreprise ne pense avoir des donnes secrtes protger par contrat
- Accs aux procdures est protges mais pas drastiquement
- Pas daudit externe concernant le contrle des procdures et les contrles daccs
- Une quipe pour la gestion des stocks
- Bonne situation dans lentreprise mme si le secteur reste morose
- Services de proximit
- Homognit de la clientle 50% de nouveaux clients
- Investissement important de la socit
- Rachat de quelques socits dans le sud de la France
Le groupe RDI semble assez incontournable dans son secteur dactivit sur la rgion
9 Seulement 5,6 personnes ont un accs total linformatique (salle des serveurs,
)
9 Pas de badge pour les visiteurs
En cas de plantage
systme de restauration sur disque partir du serveur de sauvegarde
Comment est gre la gestion des journaux derreurs, des logs, analyses, des performances
rseaux et systmes ?
les erreurs sont gres partir dun logiciel de supervision
Les assurances
Remarque : les assurance sont assez frileuses pour assurer les SSII, surtout celles qui
travaillent au niveau conseil / audit / scurit
Pour la partie concernant les tests techniques, M. FLEURY nous a indiqu une liste de
logiciels quon pourrait tester dans les locaux de lentreprise.
Lannetscan
Cest un logiciel permettant deffectuer un scanner de son rseaux afin de dtecter les
vulnrabilits prsentes ce dit rseau tudi. Il propose en outre quelques solutions pour
remdier ces failles.
NetworkView3
Netsniffer
Cest un logiciel intressant quand il sagit de ltude dun rseau local. Il permet par
exemple de tester si les postes de travail reoivent bien ou transmettent bien des donnes. Il
permet aussi une machine danalyser en temps rel les donnes quelle met. Ce qui
permet en outre de savoir si une machine nenvoie pas de donnes sans lautorisation de
lutilisateur. Ce logiciel est aussi capable de rcuprer des trames au plus bas niveau du
rseau. Il permet une lecture rapide les informations essentielles comme ladresse des
metteurs et rcepteurs ainsi que les protocoles utiliss.
SnifMon 3.10.103
Cest un logiciel qui sert lui aussi faire une analyse du rseau. Il effectue une capture puis
permet une analyse des trames mais cette fois ci en temps rel. Il supporte les protocoles IP,
TCP, UDP et dautres encore.
Tenable NeWT
Ce logiciel est srement le plus utile de tous dans le type de travail quil nous ait demand
dans le cadre de limplmentation de la mthode MEHARI. En effet, il sagit dune plate
forme idale pour les consultants en scurit dans la mise en place daudit.
Tenable nest autre quun scanner de vulnrabilit dun rseau donn. Cest ladaptation du
logiciel Nessus pour les plates formes WINDOWS.
Ce logiciel peut tre aussi utilis par les entreprises possdant des serveurs WINDOWS afin
deffecteur des contrle sur la solidit de leurs rseaux locales. Dailleurs on peut noter que
ce logiciel permet la mise en place dun mode distribu pour nourrir toutes les machines de
son rseau des ressources de cet outil.
Ce logiciel est trs complet, permet la mise en uvre de nombreuses sources de
vulnrabilits en proposant aussi les solutions qui lui semblent les plus appropries pour
rsoudre des dtails.
Il repre des failles aussi varies que : des problmes de configurations sur des serveurs
mails, ftp ou web, louverture des ports sur les machines, les services P2P ou autre services
suspicieux, reprage de virus etc.
Ce logiciel est aussi compatible sur les machines Linux et Unix.
Aprs avoir fait lanalyse de toutes ces donnes, nous nous sommes attachs
slectionner quelques scnarii catastrophe, les consquences, les causes, les
impacts et le plus important les donnes prendre en compte afin de solutionner ces
problmes.
RISQUES
Consquences
A partir du plan stratgique de scurit nous allons donc pouvoir mettre en place une srie de
scnarios possibles pour ces risques. Nous appliqueront un scnario a deux des trois risques
rpertoris.
Pour la messagerie :
Crash Messagerie
Rcupration
Structurelle Isolation de la salle serveur Enregistrement sur disques externes
Au vue de ce scnarios on peut se rendre compte des actions entran par le risque du
crash de la messagerie de lentreprise. On peut aussi voir de faon plus explicite les
diffrentes mesure a prendre dans le cadre de la mise en place dun plan scurit. Le mme
schma sera donc mis en place pour tous les risques rpertorier dune entreprise cliente.
SCORE
SCORE est un logiciel qui se situe par rapport lensemble des domaines de scurit
dfinis dans la mthode MEHARI dveloppe par le CLUSIF.
SCORE permet galement de mesurer les efforts restant fournir pour se mettre en
conformit avec les exigences dfinis par les diffrentes entits mtiers de lentreprise
(extrait dune analyse des enjeux).
Les modules inclus dans le logiciel SCORE version MEHARI sont les suivants :
Module 1 : Organisation de la scurit et aspects juridiques
Module 2 : Scurit des btiments, des locaux et de lenvironnement de travail de lutilisateur
Module 3 : Scurit des rseaux, des tlcoms et de leur exploitation
Module 4 : Scurit de la production informatique
Module 5 : Scurit des systmes et leur architecture
Module 6 : Scurit des applications et des dveloppements applicatifs
En fonction des points faibles identifis, des analyses avec des outils complmentaires sont
alors envisageables.
MARION tablit une notation sur la base dun questionnaire est fait une valuation par
rapport une norme, reprage des failles importantes.
La mthode MELISA qui analyse des enjeux (menaces, risques, cot), de vulnrabilit
(tude existant) et propose des parades (plan daction) et permet dtablir un suivi.
5. Actualits
Vu le travail que nous avons effectu il nous semble alors vident de mettre en place une
politique de scurit solide. Mme si Mhari est le nouveau must en matire de politique de
scurit en France il se trouve que peu dentreprises effectue ce travail sur leurs
installations. Pourtant force est de constater que les cots entrepris dans ce genre
dopration ne sont en rien comparables ce que pourraient coter des dgts sur les
infrastructures essentielles au fonctionnement dune socit.
Selon une enqute du CLUSIF, plus de 85% des entreprises franaises envisagent de
mener des actions de sensibilisation de leur personnel la scurit informatique.
Difficile nanmoins denvisager une formation classique mobilisant chaque personne
pendant deux journes pour un prix pouvant aller jusqu 2000 euros par personne. Limpact
en termes dorganisation et de cot savre en effet prohibitif.
FORTRESS :
Sappuyant sur des animations ludiques (20 animations), il permet de rapidement identifier le
niveau de sensibilisation des quipes internes de lentreprise.
En option, une base de donnes centralise permet de suivre les volutions du degr de
sensibilisation et de mettre au point un tableau de bord dtaill.
Cet outil permet au responsable scurit et/ou au directeur de la formation de dclencher des
actions complmentaires dinformation destination des utilisateurs le ncessitant.
HAPSIS : propose une offre originale et ludique de sensibilisation des utilisateurs par un
jeu de rle : SensiRisk.
Bnfices de Sensirisk :
- Pouvoir ducatif du jeu;
- Impact maximal sur l'amlioration du comportement;
- Impact sur l'image de la SSI et de ses reprsentants;
- Prise en compte des diffrents aspects de la sensibilisation;
- Possibilit de personnalisation totale.
SensiRisk vous permet de disposer dun outil de sensibilisation dont vous pouvez faire usage
selon votre organisation pour seulement quelques euros par utilisateurs.
En effet, HAPSIS commercialise son offre sous forme de formation ou de licences
dutilisation de SensiRisk. Vous pouvez ainsi disposer de votre outil danimation de votre
formation en interne.
Il est galement noter que SensiRisk est ouvert et permet une adaptation vos
particularits et lintgration de vos supports (films, slides).
Mlangeant des questions de culture gnrale, et comportementale, les participants seront
placs dans divers scnarios bass sur lexprience des consultants de Hapsis et sur le
guide des bonnes pratiques ISO-17799.
CONCLUSION
ANNEXE