2.4 La méthode MEHARI «Method for Harmonized Analysis of Risk»

• Méthode intégrée et complète d’évaluation et de management des risques visant à sécuriser les Systèmes d’information d’une entreprise ou d’une organisation

• Développée, diffusée et mise à jour par le club professionnel CLUSIF depuis 1996
   

• Une méthodologie en 3 étapes

1. L’Appréciation des risques

• identifier les risques du système d’information à partir d’une base de connaissance

• estimer la potentialité et l’impact de ces risques afin d’obtenir leur gravité

• évaluer l’acceptabilité ou non de ces risques

2. Le Traitement des risques : prendre une décision pour chaque risque

• accepter

• réduire

• transférer

• éviter

3. La Gestion des risques :

• établir des plans d’action de traitement des risques

• des mises en œuvre de ces plans

mais aussi des contrôles et des pilotages de ces plans

2.5 Appréciation des Risques

1. Identifier tous les risques auxquels l’organisation est exposée

2. Pour chacun des risques :

• estimer sa gravité

• juger de son acceptabilité

 

 

• Identifier les risques

  • l’actif :

    • ce qui peut subir un dommage

    • le fait qu’un actif puisse subir un dommage crée un risque

    • la gravité associée à la survenance du risque dépend de la nature de cet actif

    • deux sortes d’actifs :

      • primaires : les besoins de l’entreprise

      • secondaires, ou «de support» : les différentes formes que peuvent prendre les actifs primaires.

  • la vulnérabilité :

    • un actif peut posséder une ou plusieurs vulnérabilités intrinsèques qui entraîne des risques.

    • Ces vulnérabilités dépendent du type d’actif secondaire (matériel, logiciel, etc.)

  • le dommage subi : exprimé suivant des critères de conséquences : disponibilité, intégrité et confidentialité.

  • la menace : cause d’exploitabilité (l’événement déclencheur) et une probabilité d’occurrence d’un risque.
     

• Processus global d’élaboration des risques

  • Actifs primaires (les besoins de l’entreprise) :

    • services : informatiques, télécommunication, généraux

    • données nécessaires au fonctionnement des services

    • processus de gestion

  • Actifs secondaires (les diverses formes et contingences des actifs primaires) : moyens nécessaires à la réalisation des besoins fonctionnels décrits par les actifs primaires
     

  • Un risque doit comprendre la description de l’actif en précisant
    l’actif primaire et secondaire.

Exemple de risques, de scenarii et de préconisations : à la maison













 

• Identifier les Composants du SI
  
  
  
  
  
  
  
  
   

  • Catégorie d'Actifs : Services
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
     

  • Catégorie d'Actifs : Données
    
    
    
    
    
    
    
    
    
    
    
    
    
    
     

  • Catégorie d'Actifs : Processus de Management

​

​

​

​

​

​

​

​

​

​

2.6 Évaluation des Risques dans MEHARI

• MEHARI propose trois types de gravité de risque :

  • les risques insupportables : ils doivent faire l’objet de mesure d’urgence

  • les risques inadmissibles : ils doivent être éliminés ou réduits à une échéance fixée

  • les risques tolérés

• Pour savoir dans quel type se range un risque, on :

  • détermine sa gravité globale

  • consulte la Grille d’acceptabilité des risques
    
    
    
    
    
     

• La Gravité globale d'un risque dépend
  de sa Probabilité et de son Impact

2.7 Traitement des Risques

Les options principales conformes à la norme IS 27005

​

​

• Accepter : l’entreprise accepte de rien faire vis-à-vis de cette situation :

  • le risque a été évalué comme acceptable dans la « grille d’acceptabilité des risques »

  • pour des raisons économiques, il a été jugé impossible d’y remédier

  • le risque est connu et sera surveillé dans le futur

• Réduire : sélectionner des services de sécurité dans une « base de connaissance » où chaque service est décrit avec :

  • sa finalité/objectif

  • les mécanismes techniques/organisationnels pour sa mise en oeuvre

  • un niveau de qualité suivant une échelle de niveau permettant de :

    • donner une valeur globale lors de la combinaison de plusieurs services

    • vérifier que le risque est ramené à un niveau de gravité acceptable

• Transférer : généralement en ayant recours à une assurance mais aussi en transférant la charge sur un tiers responsable par une action en justice

• Eviter : réduction par des mesures structurelles :

  • déménager en cas de risque d’inondation

  • limiter les encours disponibles en cas de risque de vol

2.8 Gestion des Risques

 

• intervient après les décisions de traitement de risques

• comprend l’ensemble des processus qui vont permettre de :

  • mettre en oeuvre ces décisions

  • en contrôler les effets

  • les améliorer si nécessaire
     

• Élaboration des plans d’action :

  • Mise en place de services de sécurité, avec, pour chacun, un objectif de niveau de qualité

  • Mesures structurelles visant à réduire l’exposition à certains risques

  • Mesures organisationnelles visant à éviter certains risques
     

• En raison de contraintes de budget, de personnels, toutes ces actions ne peuvent être entreprises immédiatement :

  • Choix des objectif prioritaires en terme de services de sécurité et optimisation de ce choix

  • Transformation de ces choix de services de sécurité en plans d’action concrets

  • Choix des mesures structurelles et des mesures d’évitement des risques

  • Validation des décisions précédentes

​

• Choix des objectifs prioritaires et optimisation
  Pour définir les priorités, il faut tenir compte de :

  • Les niveaux de gravité des risques que les mesures prioritaires permettront de réduire : les risques de niveau le plus élevé doivent être traités en premier

  • Le nombre de risques traités et le nombre de risques dont le traitement sera remis à plus tard

  • La rapidité avec laquelle les premiers résultats pourront être observés

  • L’incidence de ces choix sur la sensibilisation du personnel

​

• Choix des solutions : mécanismes techniques et organisationnels

  • Le choix revient au équipes et personnels spécialisés : DSI, «Direction des Systèmes d’Information», responsables réseaux, responsables de la sécurité physique, RSSI...

  • Regroupés dans un «manuel de références des services de sécurité», chaque service de sécurité :

    • L’objectif du service

    • Les résultats attendus de la mise en oeuvre du service

    • La description des mécanismes associés à chaque service techniques et organisationnels

    • Les éléments permettant d’évaluer la qualité de chaque service :

      • Efficacité

      • Robustesse

      • Mise sous contrôle
         

• SI dans l'entreprise
   

  • RSI «Responsable du Système d’Information»

    • Assure la gestion et l’exploitation du SI dont il a la responsabilité

    • Connait tous les aspects aussi bien techniques, qu’organisationnels du SI dont il sert de personne de référence
       

  • RSSI «Responsable de la Sécurité du SI»

    • Sécurise le SI afin de garantir :

      • disponibilité

      • intégrité

      • confidentialité

    • Gère la sécurité au quotidien d’une manière globale, aussi bien technique qu’organisationnelle
       

  • PRA «Plan de Retour d’Activité»

  • PCA «Plan de Continuité d’Activité» :

    • Permet d’éviter une interruption de service qui engendrerait un PRA (reprise)

    • Demande une surveillance pour fournir une continuité de service (outils de métrologie par exemple)
       

  • SMSI «Système de Management de la Sécurité de l’Information»

  • PSSI «Politique de Sécurité des Systèmes d’Information» : plan d’actions définies pour maintenir un certain niveau de sécurité

2.8 Mise en œuvre d'un PCA/PRA
 

• PCA «Plan de Continuité d’Activité»

  • But : continuer l’activité en cas d’incident ou de crise :

    • sans perte de service

    • avec une légère dégradation acceptable

  • Exemple : télétravail en cas de grève des transports en commun
     

• PRA «Plan de Reprise d’Activité»

  • But : reconstruire ou basculer sur un système de relève pour une durée déterminée en cas de crise majeure ou de sinistre :

    • fournir les besoins informatiques nécessaires à la survie de l’entreprise

    • s’appui sur :

      • RPO «Recovery Point Objective» : risque défini de perte de données

      • RTO «Recovery Time Objective» : durée acceptable d’interruption

  • Exemple : basculement vers un «DataCenter» sur un site de secours en cas d’incendie

 

Exemple d’une structure de formation

• Lancement :

  • Objectif : déterminer et préciser les risques à couvrir :

    • objets à risque : matériels informatiques et téléphoniques,
      fournisseurs extérieurs, personnels,locaux.

    • nature des risques

  • Périmètre et risques :

    • Limiter l’analyse au système informatique : serveurs et postes de travail

    • Exclure la situation de perte totale de données
      (productions et sauvegardes)
       

• Étude fonctionnelle

  • Objectif : activités qui exigent une continuité :

    • enjeux

    • activités essentielles

    • conséquences d’une interruption, dégradation : arrêt temporaire ou définitif, perte de données, dégradation de service...

  • Activités et exigences : Étude du fonctionnement de la structure de formation
     

• Activités qui exigent une continuité

  • Activités

    • A. un logiciel pour la gestion des personnes inscrites dans les différentes formations dispensées :

      • inscription

      • gestion des évaluations

      • délivrance d’une attestion de suivi ou de réussite si la formation est diplômante ou fournie un certificat.

    • B. un logiciel de gestion comptable disposant d’une passerelle vers le logiciel de gestion des inscrits
       

  • Exigences

​