Académique Documents
Professionnel Documents
Culture Documents
diffrencier les modes de mise en uvre des services de scurit ; limiter le volume de travail fournir pour l'tude.
Dcoupage en objectifs :
base unique d'apprciation de la scurit ; dlgation des dcisions ; quilibre des moyens et cohrence des contrle.
Concepts [modifier]
Sparation en cellules [modifier]
MEHARI propose 8 types de cellules :
l'entit ; le site ; les locaux ; les applicatifs ; les services offerts par les systmes et l'infrastructure ; le dveloppement ; la production informatique ; les rseaux et les tlcoms .
une seule cause : erreur, malveillance, accident ; une seule consquence : atteinte la disponibilit, intgrit, confidentialit.
Combattre les agressions. o connatre les menaces, les vulnrabilits ; o connaitre la source (interne ou externe) o imaginer les agressions ; laborer des mesures mettre en place : valuer l'efficacit, valuer la robustesse ; Recours possible : transfert sur un tiers l'assurance, le responsable de l'attaque.
Impact [modifier] L'impact est l'ampleur des consquences de la survenue d'un vnement possible.
L'impact des dteriorations peut tre rduit par des mesures de protection. L'impact des dysfonctionnements peut tre rduit par des mesures palliatives. L'impact des pertes finales peut tre rduit par des mesures de rcupration.
L'impact, fonction de ces trois critres, est valu de 1 (faible) 4 (grave). Potentialit [modifier] La potentialit est la probabilit qu'un vnement possible survienne effectivement. Elle peut tre due :
une exposition naturelle : elle peut tre diminue par des mesures structurelles ; une intention d'agression: elle peut tre diminue par des mesures dissuasives ; des possibilits de sinistre: elle peut tre diminue par des mesures prventives.
Gravit [modifier]
La gravit est fonction, et non le produit, de l'impact et de la potentialit. Sa valeur en fonction de ces deux facteurs s'obtient par une grille (table), qui doit tre personnalise par l'entreprise qui applique la mthode.
Dmarche [modifier]
Dcoupage en cellules chelles de valeurs et objectifs de scurit compris Classification exhaustive des ressources Scnarios reprsentatifs des risques Participation active des intresss
1. Crer un plan stratgique o Objectifs du plan stratgique : les dirigeants choisissent les objectifs de scurit ; budgtisation et instruments de pilotage ; mise en application ; charte de management en matire de scurit. o Contenu du plan stratgique : dfinir une mtrique des risques ; tablir une classification globale des ressources (utilisation de l'valuation gravit) ; dfinir une politique de scurit : indications gnrales, instructions spcifiques ; charte de management, rapports entreprise/employs. 2. Crer un plan oprationnel o (peu d'informations) 3. Ralisation : o acteurs : direction, experts informatiques, utilisateurs ; o outils : logiciels commerciaux, tables et grilles fournis avec la mthode ; o volution : introduire l'volution constante du systme dans la ralisation.
analyser et classifier les enjeux majeurs, tudier les vulnrabilits, rduire la gravit des scnarios de risques, piloter la scurit de linformation
une chelle de valeurs des dysfonctionnements potentiels, lment de rfrence centr sur les impacts mtiers, une classification rigoureuse des actifs (informations et des ressources) du systme dinformation, des processus dassistance pour effectuer cette classification, ltablissement de liens directs vers lanalyse dtaille des risques correspondants
corriger les points faibles inacceptables par des plans daction immdiats, valuer lefficacit des mesures mises en place et garantir leur efficience, prparer lanalyse des risques induits par les faiblesses mises en vidence, comparer la maturit de son organisation avec ltat de lart et la norme ISO 27002
probabilit de ces situations, leurs consquences possibles et leur caractre : acceptable ou non. Lanalyse des risques met galement en vidence les mesures susceptibles de ramener chaque risque un niveau acceptable. Cette analyse des risques sappuie sur un ensemble de scnarios prcis et peut servir :
dfinir les mesures de scurit les mieux adaptes au contexte et aux enjeux dans une dmarche de management de la scurit de linformation (SMSI), par exemple dans une dmarche ISO 27001 mettre en place un management des risques et garantir que toutes les situations de risques critiques ont t identifies, prises en compte et un plan daction dfini
Limites de MEHARI
Mehari est une dmarche d'analyse des risques de systmes d'informations. Elle ne rpondra pas efficacement des besoins :
De formalisation d'expression de besoins de scurit par exemple lors de la rdaction d'un cahier des charges de refonte d'une partie du systme d'information, Des TPE/PME n'ayant aucune culture scurit informatique et qui peuvent souhaiter qu'en une poigne de jours, soient dfinies les solutions de base de scurit (sauvegardes, authentification, politique de sauvegarde, politique anti virale, ...) A des analyse de conformit technique
Enfin si les concepts de MEHARI peuvent s'appliquer d'autres domaines de la gestion des risques (risques oprationnels, ...), les bases dveloppes actuellement au CLUSIF ne s'appliquent qu'aux risques lis aux systmes d'information. Mehari (MEthode Harmonise d'Analyse de RIsques) est dvelope par le CLUSIF depuis 1995, elle est drive des mthodes Melisa et Marion. Existant en langue franaise et en anglais, elle est utilise par de nombreuses entreprises publiques ainsi que par le secteur priv. Le logiciel RISICARE dvelopp par la socit BUC SA est un outil de gestion des risques bas sur la mthode Mehari. La dmarche gnrale de Mehari consiste en l'analyse des enjeux de scurit : quels sont les scnarios redouts ?, et en la classification pralable des entits du SI en fonction de trois critres de scurit de base (confidentialit, intgrit, disponibilit). Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activit de l'entreprise. Puis, des audits identifient les vulnrabilits du SI. Et enfin, l'analyse des risques proprement dite est ralise.
Schma gnral de la mthode Mehari Mehari s'articule autour de 3 types de livrables : Plans de la mthode Mehari 1. le Plan Stratgique de Scurit (PSS) 2. les Plans Oprationnels de Scurit (POS) 3. le Plan Oprationnel d'Entreprise (POE) Le Plan Stratgique de Scurit fixe les objectifs de scurit ainsi que les mtriques permettant de les mesurer. C'est ce stade que le niveau de gravit des risques encourus par l'entreprise est valu. Il dfinit la politique de scurit ainsi que la charte d'utilisation du SI pour ses utilisateurs. Les Plans Oprationnels de Scurit dfinissent pour chaque site les mesures de scurit qui doivent tre mises en oeuvre. Pour cela, ils laborent des scnarios de compromission et audite les services du SI. Sur la base de cet audit, une valuation de chaque risque (probabilit, impact) est ralise permettant par la suite d'exprimer les besoins de scurit, et par la mme les mesures de protections ncessaires. Enfin, une planification de la mise niveau de la scurit du SI est faite. Le Plan Oprationnel d'Entreprise assure le suivi de la scurit par l'laboration d'indicateurs sur les risques identifis et le choix des scnarios de catastrophe contre lesquels il faut se prmunir. Des bases de connaissances permettent d'automatiser certains calculs de gravit des scnarios de risques, proposent des liens entre menaces et parades... Mehari apporte une dmarche centre sur les besoins de continuit d'activit de l'entreprise et fournit des livrables types aids d'un guide mthodologie. Les audits qu'elle propose permettent la cration de plan d'actions concrets. Cette mthode permet donc de construire une politique de scurit destine pallier les vulnrabilits constates lors des audits du
Plans Oprationnels de Scurit et d'atteindre le niveau de scurit correspondant aux objectifs fixs dans le Plan Stratgique de Scurit.