Académique Documents
Professionnel Documents
Culture Documents
MEHARI 2010
Manuel de référence de la base de connaissances Méhari 2010
Base Excel : DB-Mehari_2010_Exc_Ed1-1.xls
Base OpenOffice : DB-Mehari_2010_Ooo_Ed1-1.ods (nota une version 3.1 ou postérieure est requise)
Janvier 2010
Espace Méthodes
La loi du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute représentation ou reproduction intégrale, ou partielle, fai-
te sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alinéa 1er de l'article 40)
Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les
articles 425 et suivants du Code Pénal
Sommaire
1 Feuilles de calcul contenues dans le classeur ........................................................................... 4
Onglet Objectif
Intro Description et navigation entre les onglets du fichier de la base de connaissance
2.4 Feuilles T1 et T2
Les feuilles T1 et T2 sont utilisées dans le processus de classification des actifs (voir guide corres-
pondant).
— Colonne A : colonne contenant des codes de famille de scénarios utilisés également dans
la feuille Plans d’action. codes
— Colonne B (masquée) : colonne contenant des codes utilisés uniquement pour le libellé
littéral du scénario
— Colonne C type d’actif primaire concerné
— Colonnes D à G : Vulnérabilité exploitée décrite par un type d’actif secondaire, critère
(tel que D, I, C ou E, pour Efficience) et un type de dommage subi et un code significa-
tif de la vulnérabilité ou de l’exigence de conformité.
— Colonnes H à M : Menace à l’origine du risque, caractérisée par un type d’événement
(décrit par des types et sous-types d’événements, des circonstances de lieux, de temps et
de processus et un type d’acteurs, le tout sous forme de code (les codes sont explicités
dans la feuille Codes).
— Colonne N : libellé descriptif du scénario
— Colonne O : Sélection du scénario, décidée par l’auditeur. Seuls les scénarios sélection-
nés, par un 1 dans cette colonne, ont une gravité qui est évaluée et sont pris en compte
dans les feuilles de synthèse Plans d’action, Risk%actif et Risk%event. La sélection
des scénarios fait partie de l’étape d’identification des risques.
— Colonnes P et Q : codes permettant de différencier la cause du scénario (A pour acci-
dent, E pour Erreur ou M pour Malveillance, V pour acte Volontaire non malveillant)
ou sa conséquence (D pour Disponibilité, I pour Intégrité et C pour Confidentialité, L
pour Limitable). Ces indications sont utilisées par les formules de calcul de la base de
connaissances pour sélectionner les grilles de calcul de potentialité et d’impact.
— Colonnes R et S : Report de l’impact intrinsèque et de l’exposition naturelle (Potentialité
intrinsèque) du scénario. Ces indicateurs sont remplis automatiquement à partir des co-
lonnes C et D, pour l’impact intrinsèque, et G et H pour l’exposition naturelle.
— Colonne T (Grav.): évaluation de la Gravité intrinsèque, calculée sans facteur de réduc-
tion de risque, à partir de l’impact intrinsèque et de l’exposition naturelle.
— Colonnes U à X : évaluation des divers facteurs de réduction du risque (Dissuasion,
Prévention, Confinement, Palliation), en fonction de la qualité des services de sécurité.
Nota : en cas de variantes dans le schéma d’audit, c’est le minimum des évaluations des
diverses variantes qui est pris en compte pour calculer les facteurs de réduction de ris-
que
— Colonne Y : Caractère « confinable » ou non du scénario. Certains scénarios sont consi-
— La prise en compte des services de sécurité dans le calcul de la gravité n’est faite que s’il
y a un 1 dans la première ligne de la colonne AB de la feuille Scénarios. En forçant une
autre valeur, c’est la gravité intrinsèque qui est prise en compte.
— La prise en compte des niveaux objectifs des services de sécurité n’est effective que s’il y
a un 1 dans la deuxième ligne de la colonne J de la feuille Services. En forçant une autre
valeur c’est la qualité actuelle des services qui est prise en compte.
— Le masquage ou le démasquage de feuilles de calcul est possible directement sous Excel
ou OpenOffice
Calcul de l’objectif
L’objectif de qualité de service fixé dans la feuille « Plans d’action » est calculé en prenant
l’objectif le plus élevé (on n’affiche rien s’il n’y a pas d’objectif fixé).
Fonctions standard utilisées : MAX et SI
Feuille Scénarios
Calculs P, I et G
P et I sont calculés en faisant appel aux grilles IP (nommées par des tables déclarées) en fonction
des paramètres du scénario.
La gravité est calculée soit à partir des I et P calculés soit à partir des I et P décidés.
Fonctions standard utilisées : SI, ET, OU, NON et INDEX
Feuille Obj_PA
Calcul de l’objectif pour chaque catégorie de plan d’action
Pour chaque catégorie de plans d’actions, si un plan est sélectionné, on affiche, pour chaque ser-
vice contenu dans le plan, l’objectif correspondant. La formule permet de tenir compte du fait
qu’un service peut être appelé 2 fois (avec 2 objectifs différents) dans la même catégorie de plans
d’action.
Fonctions standard utilisées : INDEX et SI
Synthèse des objectifs en fonction des différents plans
Utilisation de la fonction MAX
Feuille Expo
L’exposition naturelle est sélectionnée entre la valeur par défaut et une valeur décidée (cette der-
nière prévalant)
Fonction standard utilisées : MAX et SI
3.2 Macros
Les macros utilisées couramment sont uniquement celles de masquage de feuilles et celles de sé-
lection d’option.
D’autres macros sont utilisées, en mode maintenance, pour mettre à jour les codes de fonctions
et surtout les champs de cellules auxquels les fonctions font référence.
www.clusif.asso.fr