Académique Documents
Professionnel Documents
Culture Documents
I. OBJECTIFS .................................................................................................................... 4
II. PROCESSUS.................................................................................................................. 4
III. Processus d'évaluation et de gestion des risques en sécurité .................................... 5
IV. Évaluation “MEHARI”............................................................................................... 6
V. ÉTUDE DE CAS .......................................................................................................... 7
2
Introduction
3
I. OBJECTIFS
MEHARI est utilisé́ pour aider les RSSI (Responsable de la Sécurité des Systèmes
d’Information) dans leur tâche de management de la sécurité des systèmes d’information.
MEHARI est avant tout une méthode d’analyse et de management des risques. En pratique,
MEHARI et l’ensemble de ses bases de connaissances sont bâtis pour permettre une analyse
précise des risques, quand cela sera jugé nécessaire, sans pour autant imposer l’analyse des
risques comme une politique majeure de management.
II. PROCESSUS
Pour cette partie il convient de se focaliser sur l’analyse des situations de risque qui est l’un
des processus de la méthode MEHARI.
4
a) Etape 1 : Evaluation de l’exposition naturelle
Cette étape se divise en deux parties. Tout d’abord l’exposition naturelle standard et
deuxièmement l’exposition naturelle spécifique.
Les scénarios de la base de connaissances MEHARI se réfèrent à une liste limitée d’événements
de base, qu’il s’agisse d’accidents, d’erreurs ou d’actes volontaires, pour lesquels une
évaluation a priori de l’exposition est donnée.
Il doit être clair que l’évaluation standard proposée n’est qu’une évaluation par défaut et que
l’évaluation directe de l’exposition de l’entreprise à la situation de risque analysée est de loin
préférable.
Nous évaluerons également les dispositifs de protection actuellement en vigueur, tels que les
systèmes de détection d'intrusion, les pare-feux et autres mécanismes visant à sauvegarder nos
actifs.
Évaluation de la Potentialité
La cinquième étape consiste à évaluer le potentiel de chaque risque, en prenant en compte sa
probabilité d'occurrence et l'impact éventuel sur nos opérations.
Nous examinerons l'impact intrinsèque de chaque risque, c'est-à-dire l'impact s'il se matérialise
sans aucune mesure d'atténuation.
1. Adaptabilité aux normes ISO : MEHARI offre une adaptabilité exceptionnelle aux normes ISO,
ce qui signifie que nous pouvons aligner notre évaluation des risques avec les normes
internationales de sécurité, assurant ainsi une conformité robuste.
2. Base de connaissances exhaustive : L'un des points forts de MEHARI est sa base de
connaissances exhaustive. Cette méthode intègre une riche source d'informations et de bonnes
pratiques qui peuvent être utilisées pour une évaluation approfondie des risques.
6
3. Approche Structurée et Méthodologique : MEHARI adopte une approche structurée et
méthodologique, offrant une méthodologie éprouvée pour évaluer les risques de manière
systématique et cohérente.
Inconvénients
1. Dépendance à un logiciel spécifique : L'utilisation de MEHARI peut nécessiter une dépendance
à un logiciel spécifique, ce qui peut poser des défis en termes de disponibilité, de coût et de
compatibilité avec notre infrastructure existante.
4. Coût Élevé de Mise en Place : Enfin, il est important de noter que la mise en place de MEHARI
peut entraîner des coûts initiaux élevés en raison de la formation nécessaire et des éventuelles
adaptations de l'infrastructure.
V. ÉTUDE DE CAS
7
§ Classification des actifs
8
Vous pouvez observer le schéma représentatif de l'architecture du système de
formation d'AfriTech. Cette structure se compose principalement d'un serveur
central qui agit en tant que hub, regroupant plusieurs sous-serveurs dédiés aux
bases de données, au serveur web, au serveur d'application, et d'autres
composants essentiels.
L'intégrité de ce système est renforcée par un pare-feu connecté, qui sert de
bouclier contre les requêtes provenant de divers départements, chacun étant
symbolisé par son propre VLAN. Les départements inclus dans cette
représentation sont IT VLAN, HR VLAN, VOIP VLAN, etc. Ce dispositif de pare-
feu a également pour mission de réguler le flux de données entre le serveur et
Internet.
9
4. Environnement de Développement Sécurisé
• Sécurisation de l'environnement de développement par l'instauration de
politiques strictes en matière de sécurité dès la phase de développement.
• Utilisation d'outils de développement sécurisés, formation du personnel
sur les meilleures pratiques de codage, et réalisation d'audits de code
réguliers pour minimiser les risques liés aux vulnérabilités introduites par
des erreurs de programmation.
v Contrôles
Contrôle des données : Il s'agit de mettre en place des protocoles de contrôle
rigoureux pour assurer l'intégrité, la confidentialité et la disponibilité des
données. Cela comprend la mise en œuvre de mécanismes de chiffrement, de
contrôles d'accès et de sauvegardes régulières. En garantissant la qualité et la
sécurité des données, nous réduisons considérablement le risque de blocage des
services informatiques internes.
Sécurité de la maintenance des applications : Ce contrôle vise à instaurer des
procédures de maintenance sécurisées, minimisant ainsi les risques liés aux mises
à jour logicielles. Nous recommandons l'utilisation de méthodes de déploiement
testées, la mise en place de mécanismes de sauvegarde avant toute mise à jour, et
la formation du personnel sur les bonnes pratiques de maintenance.
Accès aux programmes sources : Pour prévenir l'altération malveillante de la
configuration du système, nous proposons de restreindre l'accès aux programmes
sources uniquement aux personnes autorisées. Cela implique la mise en place de
contrôles d'accès robustes, l'audit régulier des activités d'accès, et la surveillance
continue des changements apportés aux configurations système.
Tous ces analyses c’est pour comprendre la nature des risques relationnelle au
l’implémentation de la nouvelle processus RH
Et pour proposer des Solutions liés au ses risques Comme :
10
applicatifs RH. Cela pourrait inclure des procédures pour la récupération après
sinistre, la sauvegarde régulière des données critiques, et la mise en place de
solutions de secours en cas de défaillance du système.
11
Conclution
12