Upload
arharrab
View
219
Download
0
Embed Size (px)
Citation preview
7/23/2019 Mehari Doc
1/6
La mthode Mehari
Objectifs de la mthode MEHARI
MEHARI est une dmarche danalyse et de gestion des risques, qui fournit un cadre mthodologique, des
outils et des bases de connaissance pour :
analyser et classifier les enjeux majeurs, tudier les vulnrabilits, rduire la gravit des scnarios de risques, piloter la scurit de linformation
L'approche modulaire de la mthode MEHARI
1. L'analyse des enjeux
Lanalyse desenjeux de MEHARI permet dvaluer la gravit de dysfonctionnements en DIC pouvant tre
causs ou favoriss par une faille ou un dfaut de scurit.
Il sagit dune analyse totalement focalise sur les objectifs et attentes des mtiers de lentreprise mettant
contribution les dcideurs et le management de lentreprise ou de lentit considre.
Cette analyse se traduit par :
une chelle de valeurs des dysfonctionnements potentiels, lment de rfrence centr sur les impactsmtiers,
une classification rigoureuse des actifs (informations et des ressources) du Systme dinformation, des processus dassistance pour effectuer cette classification, ltablissement de liens directs vers lanalyse dtaille des risques correspondants
2.Lanalyse des vulnrabilits
Lanalyse des vulnrabilits fournit une valuation de la qualit (robustesse, efficacit, mise sous contrle)
des mesures de scurit en place.
La base de connaissance des mesures de scurit de MEHARI est structure par domaines et par services
ayant des finalits prcises de rduction de potentialit ou dimpact des situations de risques.
Cette analyse des vulnrabilits permet de :
corriger les points faibles inacceptables par des plans daction immdiats, valuer lefficacit des mesures mises en place et garantir leur efficience, prparer lanalyse des risques induits par les faiblesses mises en vidence, comparer la maturit de son organisation avec ltat de lart et la norme ISO 27002
3. Lidentification et le traitement des risques
Avec MEHARI, lanalyse des risques permet didentifier les situations susceptibles de remettre en cause un
des rsultats attendus de lentreprise ou de lentit, et dvaluer la probabilit de ces situations, leurs
consquences possibles et leur caractre : acceptable ou non.
Lanalyse des risques met galement en vidence les mesures susceptibles de ramener chaque risque un
niveau acceptable.
http://www.ysosecure.com/methode-MEHARI/methode-mehari.htmlhttp://www.ysosecure.com/methode-MEHARI/methode-mehari.html7/23/2019 Mehari Doc
2/6
Cette analyse des risques sappuie sur un ensemble de scnarios prcis et peut s ervir :
dfinir les mesures de scurit les mieux adaptes au contexte et aux enjeux dans une dmarche demanagement de la scurit de linformation (SMSI), par exemple dans une dmarche ISO 27001
mettre en place un management des risques et garantir que toutes les situations de risques critiques ont tidentifies, prises en compte et un plan daction dfini
Limites de MEHARI
Mehari est une dmarche d'analyse des risques de systmes d'informations. Elle ne rpondra pas
efficacement des besoins :
de formalisation d'expression de besoins de scurit par exemple lors de la rdaction d'un cahier des chargesde refonte d'une partie du systme d'information,
de TPE/PME n'ayant aucune culture scurit informatique et qui peuvent souhaiter qu'en une poigne dejours, soient dfinies les solutions de base de scurit (sauvegardes, authentification, politique de
sauvegarde, politique anti virale, ...)
d'analyse de conformit technique.Enfin si les concepts de MEHARI peuvent s'appliquer d'autres domaines de la gestion des risques (risques
oprationnels, risques scadas...), les bases dveloppes actuellement au CLUSIF ne s'appliquent qu'aux
risques lis aux systmes d'information.
7/23/2019 Mehari Doc
3/6
Les principes de la mthode Mehari
Mhari : principes structurants
Mehari en arrive sa 6me version et peut-on dire un stade de maturit en terme de concepts de gestion
des risques. Les principes de cette mthode restent :
une analyse des enjeux mtiers qui permet de pondrer la gravit des dysfonctionnements redouts etindirectement influe sur le choix des mesures de scurit
le choix des mesures de scurit est directement corrl aux faiblesses de scurit de l'entreprise(grce une analyse du niveau de vulnrabilit)
un calcul de pertinence des mesures de scurit par rapport aux scnarios de sinistre potentiel (avecdes critres de choix d'un service de scurit base sur sa robustesse, son efficacit et la possibilit de
mettre sous contrle)
Ce qui a volu dans la version 2007 de Mehari :
une cotation de ltat de la scurit selon les points de contrle de lISO 27002
une assistance la classification des actifs amlioration de certaines fonctions dans la justification des mesures de scurit
Ce qui a volu dans la version 2010 de Mehari :
des changements de vocabilaires et concepts pour s'aligner sur ISO 27005 des clarifications sur les dfinitions de termes telles que Menaces, une nouvelle structure des scnario de risque qui dfinit dsormais plusieurs niveaux dactifs une clarification des questionnaires en cas dambigut dinterprtation
En synthse Mehari est certainement la mthode d'analyse de risques la plus aboutie en terme de modle etd'efficacit.
La documentation a t entirement remanie et propose maintenant des documents de synthse et de dtail
par tape.
L'analyse des enjeux
" Que peut-on redouter et, si cela devait arr iver , serait -ce grave". C'est ainsi qu'est dfini l'analyse des
enjeux dans la mthode Mehari.
Il y des lments importants de reflexion concernant la rponses apporter
cette question. Les utilisateurs savent bien rpondre sur la deuxime partie de
la question, c'est dire l'impact du sinistre sur son activit (indisponibilit
d'une application, de la totalit du systme d'information, perte de
confidentialit, ... ), mais en revanche ont des difficults identifier les
origines des sinistres (sauf peut tre celles qui sont lies leur propres
collaborateurs).
Cette analyse d'enjeux a donc pour objectifs :
d'identifier les macro-processus clefs pour l'entreprise d'analyser l'impact de scnarios de sinistres et de classer ces impacts d'en dduire une classification des actifs essentiels (applications,
matriels, quipement mais galement ressources humaines).
http://www.ysosecure.com/methode-MEHARI/principe-methode-mehari.htmlhttp://www.ysosecure.com/methode-MEHARI/principe-methode-mehari.html7/23/2019 Mehari Doc
4/6
La dmarche projet de Mehari
La version 2010 de Mehari reprend une approche par tape qui avait exist dans la V3 et un peu disparu dans
la version 2007. Cette
dmarche permet de s'aligner sur les prconisations de l'ISO 27005 en terme des diffrentes activits.
La phase prparatoire
Cette phase (qui correspondant l'tablissement du contexte dans ISO 27005) permet en synthse de :
Dfinir le contexteo les objectifs de la dmarche de gestion des risqueso les contraintes (lgales, rglementaires, normatives,...)
Dfinir le cadre de la mission (primtre de l'analyse des risques, primtre d'audit, ...) et surtout dfinir les critres dfinis dans l'ISO 27005 d'acceptabilit des risques et critre d'impact
La phase oprationnelle d'analyse des risques
L'analyse des enjeux qui dbouche sur une classification des actifs (principaux et de support) Le diagnostic de la qualit des mesures de scurit en place L'apprciation des risques :
o La slection des scnarios de risques traiter (suivant les critres d'valuation des risques)o L'estimation de la gravit des risques ( partir des bases de connaissance Mehari 2010)
Phase de planification et de traitement des risques
Le traitement des risques critiques (suivant les critres d'acceptation des risques) Le traitement des risques moins critiques La mise en place du pilotage du traitement des risques La production d'indicateurs et tableau de bord des risques (communication des risques)
http://www.ysosecure.com/methode-MEHARI/demarche-projet-mehari.htmlhttp://www.ysosecure.com/methode-MEHARI/demarche-projet-mehari.html7/23/2019 Mehari Doc
5/6
Management des risques informatiques
Management des risques de lentreprise
Selon COSO II * : "Le management des risques est un processus mis en uvre par le Conseil
d'Administration, la direction gnrale, le management et l'ensemble des collaborateurs de l'organisation.
Il est pris en compte dans l'laboration de la stratgie ainsi que dans toutes les activits de l'organisation. Il
est conu pour identifier les vnements potentiels susceptibles d'affecter l'organisation et pour grer les
risques dans les limites de son apptence pour le risque. Il vise fournir une assurance raisonnable quant
l'atteinte des objectifs de l'organisation."
* Traduction du COSO II Report par l'IFACI, PriceWaterhouseCoopers et Landwell & Associs
Si on reprend cette dfinition, on retrouve les points clefs :
C'est un processus continu et transverse l'organisation Les notions de seuil d'acceptabilit du risque : dans les limites de son apptence pour le risque Le management des risques est un support pour l'atteinte des objectifs de l'organisation :
Cette volution du concept de management des risques, que l'on retrouve dansISO 31000, s'applique
galement au Management des Risques lis aux Systme d'Information.
Management des risques lis aux systmes d'information
Le risque informatique peut tre dsign comme le risque mtier associ l 'utilisation, la possession,
l'exploitation, l'implication, l'influence et l'adoption de l'informatique dans une organisation (Origine Risk IT
: ISACA)
Cartographie des Risques Informatiques
Le processus de cartographie des risques : positionnement des risques majeurs selon diffrents axes tels que
l'impact potentiel, la probabilit de survenance ou le niveau actuel de matrise des risques. Son objectif est de
permettre d'orienter le plan d'audit interne et d'aider le management prendre en compte la dimension risque
dans son pilotage interne.
Il existe en synthse 4 types de cartographies identifis autour des risques informatiques :
cartographie des risques d'entreprise : pour suivre la matrise des principaux risques de l'entreprise cartographie des risques Scurit de l'information : pour protger les actifs du SI au regard des
menaces qu'ils encourent
cartographie des risques pour construction du plan d'audit : pour identifier l'exposition au risqueet dfinir le plan d'audit
cartographie des risques lis la fonction des Systmes d'Information : pour piloter les processusDSI et la russite des projts informatiquesdes projets informatiques
Gestion des risques lis la scurit de l'informationOn imagine sans difficult des exemples de risques lis aux SI, par exemple l'interruption temporaire des
activits d'une entreprise en raison d'une indisponibilit du S
http://www.ysosecure.com/principes/management-risques-systeme-d-information.htmlhttp://www.ysosecure.com/principes/iso-31010.htmlhttp://www.ysosecure.com/principes/iso-31010.htmlhttp://www.ysosecure.com/principes/iso-31010.htmlhttp://www.ysosecure.com/principes/iso-31010.htmlhttp://www.ysosecure.com/principes/management-risques-systeme-d-information.html7/23/2019 Mehari Doc
6/6
panne d'un composant actif du rseau incendie de la salle machine intrusion d'un pirate et destruction des bases de donnes plan de secours n'ayant pas suivi les volutions rcentes des systmes
La gestion des risques lis la scurit de l'information doit permettre dassurer la Disponibilit, lIntgrit,
la Confidentialit des donnes de lorganisation v ainsi que la preuve et le contrle.
Mais en creusant ces exmple, on peut dfinir la notion du risque li la scurit de l'information suivantplusieurs axes :
dfinition du risque bases sur la notion de menace sur un actif associe des vulnrabilits : visionassez statique d'un risque (par exemple :
o panne d'un serveur li un dfaut de maintenance (et qui va engendrer un arrt des activitsmtiers qui t lis au fonctionnement de ce serveur)
dfinition du risque bases sur des scnarios d'incidents : ce sont des situations de risque dcrivant la fois le dommage subi et les circonstances dans lesquelles se produit ce dommage. On
privilgie ici sur une vision dynamique des risques dans laquelle le temps peut tre pris en compte,
permettant de prvoir des actions diffrencies en fonction des phases de scnario de risque.
o Indisponibilit temporaire accidentelle de systme hte de services applicatifs, due unmanque d'alimentation en nergie (dfaut externe)