Objectifs [modifier]

diffrencier les modes de mise en uvre des services de scurit ; limiter le volume de travail fournir pour l'tude.

Dcoupage en objectifs :

base unique d'apprciation de la scurit ; dlgation des dcisions ; quilibre des moyens et cohrence des contrle.

Concepts [modifier]
Sparation en cellules [modifier]
MEHARI propose 8 types de cellules :

l'entit ; le site ; les locaux ; les applicatifs ; les services offerts par les systmes et l'infrastructure ; le dveloppement ; la production informatique ; les rseaux et les tlcoms .

Scnarios de sinistre [modifier]

Les risques sont classs selon le type de leur cible. Chaque scnario doit avoir :

une seule cause : erreur, malveillance, accident ; une seule consquence : atteinte la disponibilit, intgrit, confidentialit.

Mthodes de rsolution [modifier]

Combattre les agressions. o connatre les menaces, les vulnrabilits ; o connaitre la source (interne ou externe) o imaginer les agressions ; laborer des mesures mettre en place : valuer l'efficacit, valuer la robustesse ; Recours possible : transfert sur un tiers l'assurance, le responsable de l'attaque.

Impact [modifier] L'impact est l'ampleur des consquences de la survenue d'un vnement possible.

L'impact des dteriorations peut tre rduit par des mesures de protection. L'impact des dysfonctionnements peut tre rduit par des mesures palliatives. L'impact des pertes finales peut tre rduit par des mesures de rcupration.

L'impact, fonction de ces trois critres, est valu de 1 (faible) 4 (grave). Potentialit [modifier] La potentialit est la probabilit qu'un vnement possible survienne effectivement. Elle peut tre due :

une exposition naturelle : elle peut tre diminue par des mesures structurelles ; une intention d'agression: elle peut tre diminue par des mesures dissuasives ; des possibilits de sinistre: elle peut tre diminue par des mesures prventives.

Elle est mesure de 0 (nulle) 4 (forte).

Gravit [modifier]
La gravit est fonction, et non le produit, de l'impact et de la potentialit. Sa valeur en fonction de ces deux facteurs s'obtient par une grille (table), qui doit tre personnalise par l'entreprise qui applique la mthode.

Dmarche [modifier]

Dcoupage en cellules chelles de valeurs et objectifs de scurit compris Classification exhaustive des ressources Scnarios reprsentatifs des risques Participation active des intresss

1. Crer un plan stratgique o Objectifs du plan stratgique : les dirigeants choisissent les objectifs de scurit ; budgtisation et instruments de pilotage ; mise en application ; charte de management en matire de scurit. o Contenu du plan stratgique : dfinir une mtrique des risques ; tablir une classification globale des ressources (utilisation de l'valuation gravit) ; dfinir une politique de scurit : indications gnrales, instructions spcifiques ; charte de management, rapports entreprise/employs. 2. Crer un plan oprationnel o (peu d'informations) 3. Ralisation : o acteurs : direction, experts informatiques, utilisateurs ; o outils : logiciels commerciaux, tables et grilles fournis avec la mthode ; o volution : introduire l'volution constante du systme dans la ralisation.

Objectifs de la mthode MEHARI

MEHARI est une dmarche danalyse et de gestion des risques, qui fournit un cadre mthodologique, des outils et des bases de connaissance pour :

analyser et classifier les enjeux majeurs, tudier les vulnrabilits, rduire la gravit des scnarios de risques, piloter la scurit de linformation

L'approche modulaire de la mthode MEHARI

1. L'analyse des enjeux
Lanalyse des enjeux de MEHARI permet dvaluer la gravit de dysfonctionnements en DIC pouvant tre causs ou favoriss par une faille ou un dfaut de scurit. Il sagit dune analyse totalement focalise sur les objectifs et attentes des mtiers de lentreprise mettant contribution les dcideurs et le management de lentreprise ou de lentit considre. Cette analyse se traduit par :

une chelle de valeurs des dysfonctionnements potentiels, lment de rfrence centr sur les impacts mtiers, une classification rigoureuse des actifs (informations et des ressources) du systme dinformation, des processus dassistance pour effectuer cette classification, ltablissement de liens directs vers lanalyse dtaille des risques correspondants

2.Lanalyse des vulnrabilits

Lanalyse des vulnrabilits fournit une valuation quantitative de la qualit de mesures de scurit. La base de connaissance des mesures de scurit de MEHARI est structure par domaines et par services ayant des finalits prcises de rduction de potentialit ou dimpact des situations de risques. Cette analyse des vulnrabilits permet de :

corriger les points faibles inacceptables par des plans daction immdiats, valuer lefficacit des mesures mises en place et garantir leur efficience, prparer lanalyse des risques induits par les faiblesses mises en vidence, comparer la maturit de son organisation avec ltat de lart et la norme ISO 27002

3. Lidentification et le traitement des risques

Avec MEHARI, lanalyse des risques permet didentifier les situations susceptibles de remettre en cause un des rsultats attendus de lentreprise ou de lentit, et dvaluer la

probabilit de ces situations, leurs consquences possibles et leur caractre : acceptable ou non. Lanalyse des risques met galement en vidence les mesures susceptibles de ramener chaque risque un niveau acceptable. Cette analyse des risques sappuie sur un ensemble de scnarios prcis et peut servir :

dfinir les mesures de scurit les mieux adaptes au contexte et aux enjeux dans une dmarche de management de la scurit de linformation (SMSI), par exemple dans une dmarche ISO 27001 mettre en place un management des risques et garantir que toutes les situations de risques critiques ont t identifies, prises en compte et un plan daction dfini

Limites de MEHARI
Mehari est une dmarche d'analyse des risques de systmes d'informations. Elle ne rpondra pas efficacement des besoins :

De formalisation d'expression de besoins de scurit par exemple lors de la rdaction d'un cahier des charges de refonte d'une partie du systme d'information, Des TPE/PME n'ayant aucune culture scurit informatique et qui peuvent souhaiter qu'en une poigne de jours, soient dfinies les solutions de base de scurit (sauvegardes, authentification, politique de sauvegarde, politique anti virale, ...) A des analyse de conformit technique

Enfin si les concepts de MEHARI peuvent s'appliquer d'autres domaines de la gestion des risques (risques oprationnels, ...), les bases dveloppes actuellement au CLUSIF ne s'appliquent qu'aux risques lis aux systmes d'information. Mehari (MEthode Harmonise d'Analyse de RIsques) est dvelope par le CLUSIF depuis 1995, elle est drive des mthodes Melisa et Marion. Existant en langue franaise et en anglais, elle est utilise par de nombreuses entreprises publiques ainsi que par le secteur priv. Le logiciel RISICARE dvelopp par la socit BUC SA est un outil de gestion des risques bas sur la mthode Mehari. La dmarche gnrale de Mehari consiste en l'analyse des enjeux de scurit : quels sont les scnarios redouts ?, et en la classification pralable des entits du SI en fonction de trois critres de scurit de base (confidentialit, intgrit, disponibilit). Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activit de l'entreprise. Puis, des audits identifient les vulnrabilits du SI. Et enfin, l'analyse des risques proprement dite est ralise.

Schma gnral de la mthode Mehari Mehari s'articule autour de 3 types de livrables : Plans de la mthode Mehari 1. le Plan Stratgique de Scurit (PSS) 2. les Plans Oprationnels de Scurit (POS) 3. le Plan Oprationnel d'Entreprise (POE) Le Plan Stratgique de Scurit fixe les objectifs de scurit ainsi que les mtriques permettant de les mesurer. C'est ce stade que le niveau de gravit des risques encourus par l'entreprise est valu. Il dfinit la politique de scurit ainsi que la charte d'utilisation du SI pour ses utilisateurs. Les Plans Oprationnels de Scurit dfinissent pour chaque site les mesures de scurit qui doivent tre mises en oeuvre. Pour cela, ils laborent des scnarios de compromission et audite les services du SI. Sur la base de cet audit, une valuation de chaque risque (probabilit, impact) est ralise permettant par la suite d'exprimer les besoins de scurit, et par la mme les mesures de protections ncessaires. Enfin, une planification de la mise niveau de la scurit du SI est faite. Le Plan Oprationnel d'Entreprise assure le suivi de la scurit par l'laboration d'indicateurs sur les risques identifis et le choix des scnarios de catastrophe contre lesquels il faut se prmunir. Des bases de connaissances permettent d'automatiser certains calculs de gravit des scnarios de risques, proposent des liens entre menaces et parades... Mehari apporte une dmarche centre sur les besoins de continuit d'activit de l'entreprise et fournit des livrables types aids d'un guide mthodologie. Les audits qu'elle propose permettent la cration de plan d'actions concrets. Cette mthode permet donc de construire une politique de scurit destine pallier les vulnrabilits constates lors des audits du

Plans Oprationnels de Scurit et d'atteindre le niveau de scurit correspondant aux objectifs fixs dans le Plan Stratgique de Scurit.