modifier]] Objectifs [modifier
différencier les modes de mise en œuvre des services de sécurité
limiter le volume de travail à fournir pour l'étude.
;
Découpage en objectifs :
base unique d'appréciation de la sécurité ; délégation des décisions ; équilibre des moyens et cohérence des contrôle.
modifier]] Concepts [modifier modifier]] Séparation en cellules [modifier
MEHARI propose 8 types de cellules :
l'entité ; le site ; les locaux ; les applicatifs ; les services offerts par les systèmes et l'infrastructure ; le développement ; la production informatique ; les réseaux et les télécoms .
modifier]] Scénarios de sinistre [modifier
Les risques sont classés selon le type de leur cible. Chaque scénario doit avoir :
une seule cause : erreur, malveillance, accident ; une seule conséquence : atteinte à la disponibilité, intégrité, confidentialité.
Méthodes de résolution [modifier modifier]]
Combattre les agressions. connaître les menaces, les vulnérabilités ; connaitre la source (interne ou externe) imaginer les agressions ; Élaborer des mesures à mettre en place : évaluer l'efficacité, évaluer la robustesse ; Recours possible : transfert sur un tiers — l'assurance, le responsable de l'attaque. o o o
Impact [modifier modifier]]
L'impact est l'ampleur des conséquences de la survenue d'un événement possible.
L'impact des déteriorations peut être réduit par des mesures de protection. L'impact des dysfonctionnements peut être réduit par des mesures palliatives . L'impact des pertes finales finales peut être réduit par des mesures de récupération .
L'impact, fonction de ces trois critères, est évalué de 1 (faible) à 4 (grave). Potentialité [modifier]
La potentialité est la probabilité qu'un événement possible survienne effectivement. Elle peut être due à :
une exposition naturelle : elle peut être diminuée par des mesures structurelles ; une intention d'agression : elle peut être diminuée par des mesures dissuasives ; des possibilités de sinistre : elle peut être diminuée par des mesures préventives .
Elle est mesurée de 0 (nulle) à 4 (forte). Gravité [modifier]
La gravité est fonction, et non le produit, de l'impact et de la potentialité. Sa valeur en fonction de ces deux facteurs s'obtient par une grille (table), qui doit être personnalisée par l'entreprise qui applique la méthode.
Démarche [modifier]
Découpage en cellules Échelles de valeurs et objectifs de sécurité compris Classification exhaustive des ressources Scénarios représentatifs des risques Participation active des intéressés
1. Créer un plan stratégique Objectifs du plan stratégique : les dirigeants choisissent les objectifs de sécurité ; budgétisation et instruments de pilotage ; mise en application ; charte de management en matière de sécurité. Contenu du plan stratégique : définir une métrique des risques ; établir une classification globale des ressources (utilisation de l'évaluation gravité ) ; définir une politique de sécurité : indications générales, instructions spécifiques ; charte de management, rapports entreprise/employés. 2. Créer un plan opérationnel (peu d'informations) 3. Réalisation : acteurs : direction, experts informatiques, utilisateurs ; outils : logiciels commerciaux, tables et grilles fournis avec la méthode ; évolution : introduire l'évolution constante du système dans la réalisation. o
o
o
o o o
Objectifs de la méthode MEHARI MEHARI est une démarche d’analyse et de gestion des risques, qui fournit un cadre
méthodologique, des outils et des bases de connaissance pour :
analyser et classifier les enjeux majeurs, étudier les vulnérabilités, réduire la gravité des scénarios de risques, piloter la sécurité de l’information
L'approche modulaire de la méthode MEHARI 1. L'analyse des enjeux L’analyse des enjeux de MEHARI permet d’évaluer la gravité de dysfonctionnements en DIC
pouvant être causés ou favorisés par une faille ou un défaut de sécurité. Il s’agit d’une analyse totalement focalisée sur les objectifs et attentes des métiers de l’entreprise mettant à contribution les décideurs et le management de l’entreprise ou de l’entité considérée.
Cette analyse se traduit par :
une échelle de valeurs des dysfonctionnements potentiels, élément de référence centré sur les impacts métiers, une classification rigoureuse des actifs (informations et des ressources) du système d’information, des processus d’assistance pour effectuer cette classification, l’établissement de liens directs vers l’analyse détaillée des risques correspondants
2.L’analyse des vulnérabilités L’analyse des vulnérabilités fournit une évaluation quantitative de la qualité de mesures de
sécurité. La base de connaissance des mesures de sécurité de MEHARI est structurée par domaines et par services ayant des finalités précises de réduction de potentialité ou d’impact des situations de risques. Cette analyse des vulnérabilités permet de :
corriger les points faibles inacceptables par des plans d’action immédiats, évaluer l’efficacité des mesures mises en place et garantir leur efficience, préparer l’analyse des risques induits par les faiblesses mises en évidence, comparer la maturité de son organisation avec l’état de l’art et la norme ISO 27002
3. L’identification et le traitement des risques Avec MEHARI, l’analyse des risques permet d’identifier les situations susceptibles de remettre en cause un des résultats attendus de l’entreprise ou de l’entité, et d’évaluer la
probabilité de ces situations, leurs conséquences possibles et leur caractère : acceptable ou non. L’analyse des risques met également en évidence les mesures susceptibles de ramener chaque
risque à un niveau acceptable. Cette analyse des risques s’appuie sur un ensemble de scénarios précis et peut servir à :
définir les mesures de sécurité les mieux adaptées au contexte et aux enjeux dans une démarche de management de la sécurité de l’information (SMSI), par exemple dans une démarche ISO 27001 mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées, prises en compte et un plan d’action défini
Limites de MEHARI Mehari est une démarche d'analyse des risques de systèmes d'informations. Elle ne répondra pas efficacement à des besoins :
De formalisation d'expression de besoins de sécurité par exemple lors de la rédaction d'un cahier des charges de refonte d'une partie du système d'information, Des TPE/PME n'ayant aucune culture sécurité informatique et qui peuvent souhaiter qu'en une poignée de jours, soient définies les solutions de base de sécurité (sauvegardes, authentification, politique de sauvegarde, politique anti virale, ...) A des analyse de conformité technique
Enfin si les concepts de MEHARI peuvent s'appliquer à d'autres domaines de la gestion des risques (risques opérationnels, ...), les bases développées actuellement au CLUSIF ne s'appliquent qu'aux risques liés aux systèmes d'information. (MEthode Harmonisée d'Analyse de RIsques) est dévelopée par le CLUSIF depuis 1995, elle est dérivée des méthodes Melisa et Marion. Existant en langue française et en anglais, elle est utilisée par de nombreuses entreprises publiques ainsi que par le secteur privé. Mehari
Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des risques basé sur la méthode Mehari. La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité : quels sont les scénarios redoutés ?, et en la classification préalable des entités du SI en fonction de trois critères de sécurité de base (confidentialité, intégrité, disponibilité). Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activité de l'entreprise. Puis, des audits identifient les vulnérabilités du SI. Et enfin, l'analyse des risques proprement dite est réalisée.
Schéma général de la méthode Mehari Mehari s'articule autour de 3 types de livrables : Plans de la méthode Mehari 1. le Plan Stratégique de Sécurité (PSS) 2. les Plans Opérationnels de Sécurité (POS) 3. le Plan Opérationnel d'Entreprise (POE) Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en oeuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite. Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Des bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios de risques, proposent des liens entre menaces et parades... Mehari apporte une démarche centrée sur les besoins de continuité d'activité de l'entreprise et fournit des livrables types aidés d'un guide méthodologie. Les audits qu'elle propose permettent la création de plan d'actions concrets. Cette méthode permet donc de construire une politique de sécurité destinée à pallier les vulnérabilités constatées lors des audits du
Plans Opérationnels de Sécurité et d'atteindre le niveau objectifs fixés dans le Plan Stratégique de Sécurité .
de sécurité correspondant aux