Mehari Doc

Embed Size (px)

Citation preview

  • 7/23/2019 Mehari Doc

    1/6

    La mthode Mehari

    Objectifs de la mthode MEHARI

    MEHARI est une dmarche danalyse et de gestion des risques, qui fournit un cadre mthodologique, des

    outils et des bases de connaissance pour :

    analyser et classifier les enjeux majeurs, tudier les vulnrabilits, rduire la gravit des scnarios de risques, piloter la scurit de linformation

    L'approche modulaire de la mthode MEHARI

    1. L'analyse des enjeux

    Lanalyse desenjeux de MEHARI permet dvaluer la gravit de dysfonctionnements en DIC pouvant tre

    causs ou favoriss par une faille ou un dfaut de scurit.

    Il sagit dune analyse totalement focalise sur les objectifs et attentes des mtiers de lentreprise mettant

    contribution les dcideurs et le management de lentreprise ou de lentit considre.

    Cette analyse se traduit par :

    une chelle de valeurs des dysfonctionnements potentiels, lment de rfrence centr sur les impactsmtiers,

    une classification rigoureuse des actifs (informations et des ressources) du Systme dinformation, des processus dassistance pour effectuer cette classification, ltablissement de liens directs vers lanalyse dtaille des risques correspondants

    2.Lanalyse des vulnrabilits

    Lanalyse des vulnrabilits fournit une valuation de la qualit (robustesse, efficacit, mise sous contrle)

    des mesures de scurit en place.

    La base de connaissance des mesures de scurit de MEHARI est structure par domaines et par services

    ayant des finalits prcises de rduction de potentialit ou dimpact des situations de risques.

    Cette analyse des vulnrabilits permet de :

    corriger les points faibles inacceptables par des plans daction immdiats, valuer lefficacit des mesures mises en place et garantir leur efficience, prparer lanalyse des risques induits par les faiblesses mises en vidence, comparer la maturit de son organisation avec ltat de lart et la norme ISO 27002

    3. Lidentification et le traitement des risques

    Avec MEHARI, lanalyse des risques permet didentifier les situations susceptibles de remettre en cause un

    des rsultats attendus de lentreprise ou de lentit, et dvaluer la probabilit de ces situations, leurs

    consquences possibles et leur caractre : acceptable ou non.

    Lanalyse des risques met galement en vidence les mesures susceptibles de ramener chaque risque un

    niveau acceptable.

    http://www.ysosecure.com/methode-MEHARI/methode-mehari.htmlhttp://www.ysosecure.com/methode-MEHARI/methode-mehari.html
  • 7/23/2019 Mehari Doc

    2/6

    Cette analyse des risques sappuie sur un ensemble de scnarios prcis et peut s ervir :

    dfinir les mesures de scurit les mieux adaptes au contexte et aux enjeux dans une dmarche demanagement de la scurit de linformation (SMSI), par exemple dans une dmarche ISO 27001

    mettre en place un management des risques et garantir que toutes les situations de risques critiques ont tidentifies, prises en compte et un plan daction dfini

    Limites de MEHARI

    Mehari est une dmarche d'analyse des risques de systmes d'informations. Elle ne rpondra pas

    efficacement des besoins :

    de formalisation d'expression de besoins de scurit par exemple lors de la rdaction d'un cahier des chargesde refonte d'une partie du systme d'information,

    de TPE/PME n'ayant aucune culture scurit informatique et qui peuvent souhaiter qu'en une poigne dejours, soient dfinies les solutions de base de scurit (sauvegardes, authentification, politique de

    sauvegarde, politique anti virale, ...)

    d'analyse de conformit technique.Enfin si les concepts de MEHARI peuvent s'appliquer d'autres domaines de la gestion des risques (risques

    oprationnels, risques scadas...), les bases dveloppes actuellement au CLUSIF ne s'appliquent qu'aux

    risques lis aux systmes d'information.

  • 7/23/2019 Mehari Doc

    3/6

    Les principes de la mthode Mehari

    Mhari : principes structurants

    Mehari en arrive sa 6me version et peut-on dire un stade de maturit en terme de concepts de gestion

    des risques. Les principes de cette mthode restent :

    une analyse des enjeux mtiers qui permet de pondrer la gravit des dysfonctionnements redouts etindirectement influe sur le choix des mesures de scurit

    le choix des mesures de scurit est directement corrl aux faiblesses de scurit de l'entreprise(grce une analyse du niveau de vulnrabilit)

    un calcul de pertinence des mesures de scurit par rapport aux scnarios de sinistre potentiel (avecdes critres de choix d'un service de scurit base sur sa robustesse, son efficacit et la possibilit de

    mettre sous contrle)

    Ce qui a volu dans la version 2007 de Mehari :

    une cotation de ltat de la scurit selon les points de contrle de lISO 27002

    une assistance la classification des actifs amlioration de certaines fonctions dans la justification des mesures de scurit

    Ce qui a volu dans la version 2010 de Mehari :

    des changements de vocabilaires et concepts pour s'aligner sur ISO 27005 des clarifications sur les dfinitions de termes telles que Menaces, une nouvelle structure des scnario de risque qui dfinit dsormais plusieurs niveaux dactifs une clarification des questionnaires en cas dambigut dinterprtation

    En synthse Mehari est certainement la mthode d'analyse de risques la plus aboutie en terme de modle etd'efficacit.

    La documentation a t entirement remanie et propose maintenant des documents de synthse et de dtail

    par tape.

    L'analyse des enjeux

    " Que peut-on redouter et, si cela devait arr iver , serait -ce grave". C'est ainsi qu'est dfini l'analyse des

    enjeux dans la mthode Mehari.

    Il y des lments importants de reflexion concernant la rponses apporter

    cette question. Les utilisateurs savent bien rpondre sur la deuxime partie de

    la question, c'est dire l'impact du sinistre sur son activit (indisponibilit

    d'une application, de la totalit du systme d'information, perte de

    confidentialit, ... ), mais en revanche ont des difficults identifier les

    origines des sinistres (sauf peut tre celles qui sont lies leur propres

    collaborateurs).

    Cette analyse d'enjeux a donc pour objectifs :

    d'identifier les macro-processus clefs pour l'entreprise d'analyser l'impact de scnarios de sinistres et de classer ces impacts d'en dduire une classification des actifs essentiels (applications,

    matriels, quipement mais galement ressources humaines).

    http://www.ysosecure.com/methode-MEHARI/principe-methode-mehari.htmlhttp://www.ysosecure.com/methode-MEHARI/principe-methode-mehari.html
  • 7/23/2019 Mehari Doc

    4/6

    La dmarche projet de Mehari

    La version 2010 de Mehari reprend une approche par tape qui avait exist dans la V3 et un peu disparu dans

    la version 2007. Cette

    dmarche permet de s'aligner sur les prconisations de l'ISO 27005 en terme des diffrentes activits.

    La phase prparatoire

    Cette phase (qui correspondant l'tablissement du contexte dans ISO 27005) permet en synthse de :

    Dfinir le contexteo les objectifs de la dmarche de gestion des risqueso les contraintes (lgales, rglementaires, normatives,...)

    Dfinir le cadre de la mission (primtre de l'analyse des risques, primtre d'audit, ...) et surtout dfinir les critres dfinis dans l'ISO 27005 d'acceptabilit des risques et critre d'impact

    La phase oprationnelle d'analyse des risques

    L'analyse des enjeux qui dbouche sur une classification des actifs (principaux et de support) Le diagnostic de la qualit des mesures de scurit en place L'apprciation des risques :

    o La slection des scnarios de risques traiter (suivant les critres d'valuation des risques)o L'estimation de la gravit des risques ( partir des bases de connaissance Mehari 2010)

    Phase de planification et de traitement des risques

    Le traitement des risques critiques (suivant les critres d'acceptation des risques) Le traitement des risques moins critiques La mise en place du pilotage du traitement des risques La production d'indicateurs et tableau de bord des risques (communication des risques)

    http://www.ysosecure.com/methode-MEHARI/demarche-projet-mehari.htmlhttp://www.ysosecure.com/methode-MEHARI/demarche-projet-mehari.html
  • 7/23/2019 Mehari Doc

    5/6

    Management des risques informatiques

    Management des risques de lentreprise

    Selon COSO II * : "Le management des risques est un processus mis en uvre par le Conseil

    d'Administration, la direction gnrale, le management et l'ensemble des collaborateurs de l'organisation.

    Il est pris en compte dans l'laboration de la stratgie ainsi que dans toutes les activits de l'organisation. Il

    est conu pour identifier les vnements potentiels susceptibles d'affecter l'organisation et pour grer les

    risques dans les limites de son apptence pour le risque. Il vise fournir une assurance raisonnable quant

    l'atteinte des objectifs de l'organisation."

    * Traduction du COSO II Report par l'IFACI, PriceWaterhouseCoopers et Landwell & Associs

    Si on reprend cette dfinition, on retrouve les points clefs :

    C'est un processus continu et transverse l'organisation Les notions de seuil d'acceptabilit du risque : dans les limites de son apptence pour le risque Le management des risques est un support pour l'atteinte des objectifs de l'organisation :

    Cette volution du concept de management des risques, que l'on retrouve dansISO 31000, s'applique

    galement au Management des Risques lis aux Systme d'Information.

    Management des risques lis aux systmes d'information

    Le risque informatique peut tre dsign comme le risque mtier associ l 'utilisation, la possession,

    l'exploitation, l'implication, l'influence et l'adoption de l'informatique dans une organisation (Origine Risk IT

    : ISACA)

    Cartographie des Risques Informatiques

    Le processus de cartographie des risques : positionnement des risques majeurs selon diffrents axes tels que

    l'impact potentiel, la probabilit de survenance ou le niveau actuel de matrise des risques. Son objectif est de

    permettre d'orienter le plan d'audit interne et d'aider le management prendre en compte la dimension risque

    dans son pilotage interne.

    Il existe en synthse 4 types de cartographies identifis autour des risques informatiques :

    cartographie des risques d'entreprise : pour suivre la matrise des principaux risques de l'entreprise cartographie des risques Scurit de l'information : pour protger les actifs du SI au regard des

    menaces qu'ils encourent

    cartographie des risques pour construction du plan d'audit : pour identifier l'exposition au risqueet dfinir le plan d'audit

    cartographie des risques lis la fonction des Systmes d'Information : pour piloter les processusDSI et la russite des projts informatiquesdes projets informatiques

    Gestion des risques lis la scurit de l'informationOn imagine sans difficult des exemples de risques lis aux SI, par exemple l'interruption temporaire des

    activits d'une entreprise en raison d'une indisponibilit du S

    http://www.ysosecure.com/principes/management-risques-systeme-d-information.htmlhttp://www.ysosecure.com/principes/iso-31010.htmlhttp://www.ysosecure.com/principes/iso-31010.htmlhttp://www.ysosecure.com/principes/iso-31010.htmlhttp://www.ysosecure.com/principes/iso-31010.htmlhttp://www.ysosecure.com/principes/management-risques-systeme-d-information.html
  • 7/23/2019 Mehari Doc

    6/6

    panne d'un composant actif du rseau incendie de la salle machine intrusion d'un pirate et destruction des bases de donnes plan de secours n'ayant pas suivi les volutions rcentes des systmes

    La gestion des risques lis la scurit de l'information doit permettre dassurer la Disponibilit, lIntgrit,

    la Confidentialit des donnes de lorganisation v ainsi que la preuve et le contrle.

    Mais en creusant ces exmple, on peut dfinir la notion du risque li la scurit de l'information suivantplusieurs axes :

    dfinition du risque bases sur la notion de menace sur un actif associe des vulnrabilits : visionassez statique d'un risque (par exemple :

    o panne d'un serveur li un dfaut de maintenance (et qui va engendrer un arrt des activitsmtiers qui t lis au fonctionnement de ce serveur)

    dfinition du risque bases sur des scnarios d'incidents : ce sont des situations de risque dcrivant la fois le dommage subi et les circonstances dans lesquelles se produit ce dommage. On

    privilgie ici sur une vision dynamique des risques dans laquelle le temps peut tre pris en compte,

    permettant de prvoir des actions diffrencies en fonction des phases de scnario de risque.

    o Indisponibilit temporaire accidentelle de systme hte de services applicatifs, due unmanque d'alimentation en nergie (dfaut externe)