Académique Documents
Professionnel Documents
Culture Documents
MEHARI MANAGER
Février 2013
Espace MEHARI
La loi du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute représentation ou reproduction intégrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alinéa 1er de l'article 40)
Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les
articles 425 et suivants du Code Pénal
Table des matières
1. Introduction .................................................................................................................................................. 4
2. Vue d’ensemble de la méthode................................................................................................................... 5
3. Recherche et analyse des dysfonctionnements ....................................................................................... 6
3.1. Identification des dysfonctionnements redoutés ..................................................................................... 6
3.2. Analyse de la gravité des dysfonctionnements identifiés ........................................................................ 7
3.3. Échelle de valeurs des dysfonctionnements ............................................................................................. 8
4. Identification des scénarios de risque ........................................................................................................ 9
4.1. Identification des incidents pouvant conduire aux dysfonctionnements ............................................. 9
4.2. Identification des causes d’incidents ......................................................................................................... 9
4.3. Identification des scénarios de risque ...................................................................................................... 10
4.4. Gravité intrinsèque du scénario de risque............................................................................................... 11
5. Analyse des risques..................................................................................................................................... 14
5.1. Les facteurs de réduction de la potentialité ............................................................................................ 14
5.2. Les facteurs de réduction de l’impact ...................................................................................................... 15
5.3. Gravité résiduelle d’un scénario de risque .............................................................................................. 17
6. Plans d’action .............................................................................................................................................. 17
7. Fiche de risque complète........................................................................................................................... 18
8. Annexe 1 : Typologie de dysfonctionnements...................................................................................... 19
9. Annexe 2 : Compléments sur l’échelle d’impact ................................................................................... 20
10. Annexe 3 : Exemple d’échelle de valeur de dysfonctionnements ...................................................... 21
11. Annexe 4 : Typologie d’éléments du système d’information .............................................................. 22
12. Annexe 5 : Types d’incident et d’événements déclencheurs ............................................................... 23
13. Annexe 6 : Exposition naturelle standard.............................................................................................. 25
14. Annexe 7 : Échelles d’évaluation des facteurs de réduction de risques............................................. 26
MEHARI–Manager s'adresse aux managers ou décideurs qui souhaitent procéder à une analyse de risques
plus particulièrement ciblée sur leur activité.
L'analyse s'effectue lors d'un entretien en face à face entre le manager et une personne habituée à l'ana-
lyse de risque, apte à comprendre les enjeux métiers ou en très petit groupe.
Les domaines d’application sont, en effet, principalement :
— L’analyse des risques induits par un nouveau projet (projet applicatif ou projet d’architecture)
— L’analyse des risques spécifiques d’une activité ou d’un domaine métier situé hors du périmètre
d'une analyse de risque ou d'un SMSI précédent.
_______________________________
1
Le Risque Informatique – Jean-Philippe Jouas, Albert Harari, Jean-Marc Lamère, Jacques Tourly
– Editions d’organisation - 1992
Étape 3
Analyse des risques :
Facteurs caractéristiques
Évaluation des risques
La démarche s’appuie sur des « fiches de risque » remplies au fur et à mesure des étapes ci-dessus.
L’engagement des managers responsables des activités de leur domaine est essentiel dans ce
processus.
Dysfonctionnement Conséquences
Retard dans l’approvisionnement des comptes de tréso- Incapacité à payer les fournisseurs se traduisant par un arrêt des livrai-
rerie sons et un arrêt de la production
3.1.2 Démarche
L’expérience montre que la mise en place de courts entretiens avec les managers au bon niveau de res-
ponsabilité permet de dégager la description des dysfonctionnements qu’ils redoutent le plus ou ce qui
représente pour eux un souci majeur.
La description des dysfonctionnements, sera donc obtenue lors d’une réunion avec les managers.
3.2.3 Démarche
La recherche du niveau d’impact des dysfonctionnements sera faite lors de la réunion avec le manager.
Les résultats consisteront ainsi en une description des dysfonctionnements redoutés, pour
chaque activité identifiée, et en une évaluation de l’impact de ces dysfonctionnements.
4.1.3 Démarche
L’expérience prouve également qu’au bon niveau de responsabilité, les incidents significatifs pouvant
conduire à un dysfonctionnement identifié sont très rapidement mis en évidence par une approche glo-
bale consistant à demander aux principaux responsables de s’exprimer. Au niveau technique, s’ils ne sa-
vent pas forcément faire une liste détaillée et exhaustive des applications ou bases de données mises en
œuvre, ils savent très bien les désigner globalement sous une dénomination générique amplement suffi-
sante (« la paye » pour l’ensemble des programmes concernés, par exemple).
4.2.3 Démarche
Les événements déclencheurs seront décrits avec plus ou moins de détail. Il est clair qu’à ce stade, l’aide
de personnel technique ou de spécialistes de la sécurité sera une aide précieuse. Notons également que les
bases de connaissance proposées dans les autres versions de Méhari peuvent être utilisées. Un tableau
général des types d’incidents et des événements déclencheurs possibles est donné en annexe 5.
Date : <Date>
? Descriptif du risque :
II - Description
?
Dysfonctionnement métier (ou conséquences "métier" de l'incident) : < Description des dysfonctionnements ou conséquences indirectes >
DD
?
Manifestation concrète de l'incident à l'origine du dysfonctionnement : < Description de l'incident à l'origine du dysfonctionnement >
DI
En pratique, MEHARI-Manager utilise un fichier Excel intégrant des formules de calcul et qui comprend
cette feuille générique de fiche de risque.
5.1.1 La dissuasion
La dissuasion est limitée aux scénarios résultant d’une action volontaire menée par une personne phy-
sique, action pouvant représenter un risque pour son auteur. Il s’agit, en particulier, de toutes les actions
volontaires, malveillantes ou non, nuisibles pour l’entreprise ou pouvant être considérées comme nui-
sibles par l’entreprise.
Le risque pris par l’auteur peut être un frein à son action. Il s’agit donc de s’interroger sur l’existence de
facteurs pouvant freiner la volonté d’agir des acteurs potentiels en les dissuadant d’agir.
Le déclenchement d'une action volontaire nuisible à l'entreprise (ou pouvant être considérée
comme nuisible par l’entreprise) peut représenter un risque personnel pour son auteur. Plus le
risque ressenti par l'auteur est grand, moins probable est sa tentative et moins le risque, pour
l'entreprise, est grand.
Le risque "ressenti" par l'auteur d'un acte volontaire dépend :
— des moyens existants pour détecter l'action et pour l'imputer à son auteur,
— de la qualité de la preuve de cette imputation,
— des sanctions alors encourues,
— de la connaissance qu’a l'auteur des moyens précédents.
Il existe donc des actions ou mesures génératrices de réduction de risque appelées, dans
MEHARI-Manager, « mesures dissuasives » ou dissuasion et qui, pour être efficaces, doivent
comprendre les 4 points cités ci-dessus (imputation, preuve de l’imputation, sanction et communica-
tion).
Il conviendra donc de s’interroger sur l’existence de telles mesures, et sur leur efficacité. Cette efficacité
sera évaluée sur une échelle allant de 1 (effet quasiment nul) à 4 (effet maximum). Une échelle descriptive
des niveaux de dissuasion est donnée en annexe 7.
On peut évaluer ainsi un premier facteur de réduction de la potentialité, qui est la dissuasion.
5.1.2 La prévention
Le deuxième facteur de réduction de la potentialité est relatif aux conditions dans lesquelles le scénario
peut se dérouler et au caractère plus ou moins trivial de ces conditions.
Le déclenchement d'un scénario de risque n'aboutira à un sinistre réel que si certaines condi-
tions sont réunies. Plus ces conditions sont triviales, plus le risque est grand.
La trivialité des conditions de survenance peut dépendre :
— du caractère normal ou exceptionnel des conditions extérieures (météo, type d'accident, etc.),
Il existe donc des actions ou mesures génératrices de réduction de potentialité appelées, dans
MEHARI-Manager, « mesures préventives » ou prévention, et qui, pour être efficaces, doivent
comprendre un ou plusieurs des points suivants pour freiner ou empêcher le déclenchement
d’un scénario de risque (mesures de sécurité physique, de contrôle d'accès, contrôles préventifs incor-
porés aux processus et applications informatiques, etc..).
Il conviendra donc de s’interroger sur l’existence de telles mesures, mais aussi sur leur efficacité. Cette ef-
ficacité sera évaluée sur une échelle allant de 1 (effet quasiment nul) à 4 (effet maximum). Une échelle
descriptive des niveaux de prévention est donnée en annexe 7.
On peut évaluer ainsi un deuxième facteur de réduction de la potentialité, qui est la prévention.
Les conséquences directes d'un risque qui se réalise peuvent être confinées. Moins ces consé-
quences sont confinées, plus le risque est grand.
Le confinement des conséquences directes d'un risque peut dépendre :
— de l'isolement des ressources les unes des autres ou de leur compartimentage,
— des mesures de détection propres au risque en question,
— des capacités de réaction de l'entreprise, face à ce type de risque,
— des limitations imposées à une variation par rapport à un état antérieur validé.
Il existe donc des actions ou mesures génératrices de réduction de risque qui sont appelées me-
sures de confinement, et qui, pour être efficaces, doivent comprendre un ou plusieurs des points
cités ci-dessus (compartimentage, détection et réaction, limitations absolues imposées à des variations
de paramètres, etc.)
Il conviendra donc de s’interroger sur l’existence de telles mesures, mais aussi sur leur efficacité. Cette ef-
ficacité sera évaluée sur une échelle allant de 1 (effet quasiment nul) à 4 (effet maximum). Une échelle
descriptive des niveaux de confinement est donnée en annexe 7.
On peut évaluer ainsi un premier facteur de réduction de l’impact, qui est le confinement.
Il existe donc des actions ou mesures génératrices de réduction des conséquences indirectes du
risque appelées, dans MEHARI-Manager, « mesures palliatives », et qui, pour être efficaces, doi-
vent comprendre un ou plusieurs des points cités ci-dessus (études préalables, solutions de secours
ou mesures palliatives, préparation et formation, etc.).
Il conviendra donc de s’interroger sur l’existence de telles mesures, mais aussi sur leur efficacité. Cette ef-
ficacité sera évaluée sur une échelle allant de 1 (effet quasiment nul) à 4 (effet maximum). Une échelle
descriptive des niveaux de mesures palliatives est donnée en annexe 7.
On peut évaluer ainsi un deuxième facteur de réduction de l’impact, que sont les mesures palliatives.
? D es mes ures s us ceptibles de réduire l’impact par une détection < D es cription des mes ures de confinement >
DC
précoce ou un confinement s ont-elles mis es en œuvre ?
É valuation de l'efficacité des mes ures de détection précoce ou de 2
EC
confinement
D es mes ures s us ceptibles de réduire l’impact par des mes ures < D es cription des mes ures de palliatives >
? Dpa
palliatives s ont-elles mis es en œuvre ?
EPa É valuation de l'efficacité des mes ures palliatives 3
?? D es mes ures s us ceptibles de réduire la potentialité par des mes ures < D es cription des mes ures dis s uas ives >
DD dis s uas ives s ont-elles mis es en œ uvre ?
ED É valuation de l'efficacité des mes ures dis s uas ives 3
D es mes ures s us ceptibles de réduire la potentialité par des mes ures < D es cription des mes ures préventives >
? DPr
préventives s ont-elles mis es en œuvre ?
EPr É valuation de l'efficacité des mes ures préventives 3
? PR É valuation de la potentialité actuelle du s cénario de ris que 3
?
D es cription du s cénario de ris que rés iduel ou d'éventuels ris ques < Des cription des ris ques rés iduels >
rés iduels
6. Plans d’action
Les plans d’action seront remplis directement par les managers, en fonction des analyses précédentes.
L’expérience montre, en effet, qu’à l’issue de cette analyse, les managers sont tout à fait en mesure de dé-
cider des actions les plus pertinentes pour réduire les risques.
Date : <Date>
? Descriptif du risque :
II - Description
?
Dysfonctionnement métier (ou conséquences "métier" de l'incident) : < Description des dysfonctionnements ou conséquences indirectes >
DD
?
Manifestation concrète de l'incident à l'origine du dysfonctionnement : < Description de l'incident à l'origine du dysfonctionnement >
DI
?
Impact intrinsèque, en l’absence de toute mesure de sécurité. (Evaluer le 3
II
niveau d'impact intrinsèque)
? TE Type de la menace: (choisir parmi bles options proposées : A, E ou V) V
? Réduction de l'impact
IV - Réduction impact
?
Des mesures susceptibles de réduire l’impact intrinsèque par une détection < Description des mesures de confinement >
DC
précoce ou un confinement sont-elles mises en œuvre ?
EC Evaluation de l'efficacité des mesures 3
Des mesures susceptibles de réduire l’impact intrinsèque par des mesures < Description des mesures de palliatives >
? Dpa
palliatives sont-elles mises en œuvre ?
EPa Evaluation de l'efficacité des mesures 3
?? Réduction de la potentialité
V - Réduction potentialité
?? Des mesures susceptibles de réduire la potentialité intrinsèque par des < Description des mesures dissuasives >
DD mesures dissuasives sont-elles mises en œuvre ?
ED Evaluation de l'efficacité des mesures 1
Des mesures susceptibles de réduire la potentialité intrinsèque par des < Description des mesures préventives >
? DPr
mesures préventives sont-elles mises en œuvre ?
EPr Evaluation de l'efficacité des mesures 3
? PR Evaluation de la potentialité actuelle du scénario de risque 3
?
Description du scénario de risque résiduel ou d'éventuels risques résiduels < Description des risques résiduels >
Non conformité :
Les tâches prévues ou les activités ne sont pas effectuées conformément à ce qui est spécifié.
Manque d’exhaustivité :
Les tâches prévues ou les activités ne sont effectuées que partiellement (mais ce qui est effectué est con-
forme à ce qui est spécifié).
Défaut de discrétion :
Des informations sont divulguées à l’occasion de l’accomplissement des tâches ou activités.
Données (fichiers Inopérabilité Accident touchant des éléments nécessaires aux opérations :
constitués, données - Destruction de licence ou de jeton
fugitives, etc.) - Destruction ou endommagement de clé
Erreur humaine touchant des éléments nécessaires aux opérations :
- Perte de licence, de jeton ou de clé
- Logiciel de lecture inadapté (non conservé ou non mis à jour)
Inexploitabilité Non fonctionnement logiciel :
- Panne logicielle
- Saturation accidentelle (incapacité système à traiter des appels
mutiples)
Blocage de comptes utilisateurs :
- Attaque en déni de service
- Blocage volontaire pour raisons de sécurité
Disparition Accident provoqué par erreur humaine
- Erreur de manipulation ou procédure entraînant l'effacement de
l'élément
Malveillance :
- Effacement volontaire direct
- Effacement indirect provoqué
Défaut Altération logique Modification par erreur de la configuration logicielle ou des données :
d'intégrité - erreur de frappe ou de saisie
- modification erronée de séquencement et d'enchaînements
- suppression/inhibition par erreur de dispositifs de sécurité
Modification volontaire de la configuration logicielle ou des données :
- falsification de données
- falsification de programmes
- suppression/inhibition volontaire de dispositifs de sécurité
Divulgation Copie de l'élément Duplication volontaire de l'élément immatériel