Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

La méthode Mehari Objectifs de la méthode MEHARI MEHARI est une démarche d’anal

La méthode Mehari Objectifs de la méthode MEHARI MEHARI est une démarche d’analyse et de gestion des risques, qui fournit un cadre méthodologique, des outils et des bases de connaissance pour :  analyser et classifier les enjeux majeurs,  étudier les vulnérabilités,  réduire la gravité des scénarios de risques,  piloter la sécurité de l’information L'approche modulaire de la méthode MEHARI 1. L'analyse des enjeux L’analyse des enjeux de MEHARI permet d’évaluer la gravité de dysfonctionnements en DIC pouvant être causés ou favorisés par une faille ou un défaut de sécurité. Il s’agit d’une analyse totalement focalisée sur les objectifs et attentes des métiers de l’entreprise mettant à contribution les décideurs et le management de l’entreprise ou de l’entité considérée. Cette analyse se traduit par :  une échelle de valeurs des dysfonctionnements potentiels, élément de référence centré sur les impacts métiers,  une classification rigoureuse des actifs (informations et des ressources) du Système d’information,  des processus d’assistance pour effectuer cette classification,  l’établissement de liens directs vers l’analyse détaillée des risques correspondants 2.L’analyse des vulnérabilités L’analyse des vulnérabilités fournit une évaluation de la qualité (robustesse, efficacité, mise sous contrôle) des mesures de sécurité en place. La base de connaissance des mesures de sécurité de MEHARI est structurée par domaines et par services ayant des finalités précises de réduction de potentialité ou d’impact des situations de risques. Cette analyse des vulnérabilités permet de :  corriger les points faibles inacceptables par des plans d’action immédiats,  évaluer l’efficacité des mesures mises en place et garantir leur efficience,  préparer l’analyse des risques induits par les faiblesses mises en évidence,  comparer la maturité de son organisation avec l’état de l’art et la norme ISO 27002 3. L’identification et le traitement des risques Avec MEHARI, l’analyse des risques permet d’identifier les situations susceptibles de remettre en cause un des résultats attendus de l’entreprise ou de l’entité, et d’évaluer la probabilité de ces situations, leurs conséquences possibles et leur caractère : acceptable ou non. L’analyse des risques met également en évidence les mesures susceptibles de ramener chaque risque à un niveau acceptable. Cette analyse des risques s’appuie sur un ensemble de scénarios précis et peut servir à :  définir les mesures de sécurité les mieux adaptées au contexte et aux enjeux dans une démarche de management de la sécurité de l’information (SMSI), par exemple dans une démarche ISO 27001  mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées, prises en compte et un plan d’action défini Limites de MEHARI Mehari est une démarche d'analyse des risques de systèmes d'informations. Elle ne répondra pas efficacement à des besoins :  de formalisation d'expression de besoins de sécurité par exemple lors de la rédaction d'un cahier des charges de refonte d'une partie du système d'information,  de TPE/PME n'ayant aucune culture sécurité informatique et qui peuvent souhaiter qu'en une poignée de jours, soient définies les solutions de base de sécurité (sauvegardes, authentification, politique de sauvegarde, politique anti virale, ...)  d'analyse de conformité technique. Enfin si les concepts de MEHARI peuvent s'appliquer à d'autres domaines de la gestion des risques (risques opérationnels, risques scadas...), les bases développées actuellement au CLUSIF ne s'appliquent qu'aux risques liés aux systèmes d'information. Les principes de la méthode Mehari Méhari : principes structurants Mehari en arrive à sa 6ème version et peut-on dire à un stade de maturité en terme de concepts de gestion des risques. Les principes de cette méthode restent :  une analyse des enjeux métiers qui permet de pondérer la gravité des dysfonctionnements redoutés et indirectement influe sur le choix des mesures de sécurité  le choix des mesures de sécurité est directement corrélé aux faiblesses de sécurité de l'entreprise (grâce à une analyse du niveau de vulnérabilité)  un calcul de pertinence des mesures de sécurité par rapport aux scénarios de sinistre potentiel (avec des critères de choix d'un service de sécurité basée sur sa robustesse, son efficacité et la possibilité de mettre sous contrôle) Ce qui a évolué dans la version 2007 de Mehari :  une cotation de l’état de la sécurité selon les points de contrôle de l’ISO 27002  une assistance à la classification des actifs  amélioration de certaines fonctions dans la justification des mesures de sécurité Ce qui a évolué dans la version 2010 de Mehari :  des changements de vocabilaires et concepts pour s'aligner sur ISO 27005  des clarifications sur les définitions de termes telles que Menaces,  une nouvelle structure des scénario de risque qui définit désormais plusieurs niveaux d’actifs  une clarification des questionnaires en cas d’ambiguïté d’interprétation En synthèse Mehari est certainement la méthode d'analyse de risques la plus aboutie en terme de modèle et d'efficacité. La documentation a été entièrement remaniée et propose maintenant des documents de synthèse et de détail par étape. L'analyse des enjeux "Que peut-on redouter et, si cela devait arriver, serait-ce grave". C'est ainsi qu'est défini l'analyse des enjeux dans la méthode Mehari. Il y des éléments importants de reflexion concernant la réponses à apporter à cette question. Les utilisateurs savent bien répondre sur la deuxième partie de la question, c'est à dire l'impact du sinistre sur son activité (indisponibilité d'une application, de la totalité du système d'information, perte de confidentialité, ... ), mais en revanche ont des difficultés à identifier les origines des sinistres (sauf peut être celles qui sont liées à leur propres collaborateurs). Cette analyse d'enjeux a donc pour objectifs :  d'identifier les macro-processus clefs pour l'entreprise  d'analyser l'impact de scénarios de sinistres et de classer ces impacts  d'en déduire une classification des actifs essentiels (applications, matériels, équipement mais également ressources humaines). La démarche projet de Mehari La version 2010 de Mehari reprend une approche par étape qui avait existé dans la V3 et un peu disparu dans la version 2007. Cette démarche permet de s'aligner sur les préconisations de l'ISO 27005 en terme des différentes activités. La phase préparatoire Cette phase (qui correspondant à l'établissement du contexte dans ISO 27005) permet en synthèse de :  Définir le contexte o les objectifs de la démarche de gestion des risques o les contraintes (légales, réglementaires, normatives,...)  Définir le cadre de la mission (périmètre de l'analyse des risques, périmètre d'audit, ...)  et surtout définir les critères définis dans l'ISO 27005 d'acceptabilité des risques et critère d'impact La phase opérationnelle d'analyse des risques  L'analyse des enjeux qui débouche sur une classification des actifs (principaux et de support)  Le diagnostic de la qualité des mesures de sécurité en place  L'appréciation des risques : o La sélection des scénarios de risques à traiter (suivant les critères d'évaluation des risques) o L'estimation de la gravité des risques (à partir des bases de connaissance Mehari 2010) Phase de planification et de traitement des risques  Le traitement des risques critiques (suivant les critères d'acceptation des risques)  Le traitement des risques moins critiques  La mise en place du pilotage du traitement des risques  La production d'indicateurs et tableau de bord des risques (communication des risques) Management des risques informatiques Management des risques de l’entreprise Selon COSO II * : "Le management des risques est un processus mis en œuvre par le Conseil d'Administration, la direction générale, le management et l'ensemble des collaborateurs de l'organisation. Il est pris en compte dans l'élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d'affecter l'organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation." * Traduction du COSO II Report par l'IFACI, PriceWaterhouseCoopers et Landwell & Associés Si on reprend cette définition, on retrouve les points clefs :  C'est un processus continu et transverse à l'organisation  Les notions de seuil d'acceptabilité du risque : dans les limites de son appétence pour le risque  Le management des risques est un support pour l'atteinte des objectifs de l'organisation : Cette évolution du concept de management des risques, que l'on retrouve dans ISO 31000, s'applique également au Management des Risques liés aux Système d'Information. Management des risques liés aux systèmes d'information Le risque informatique peut être désigné comme le risque « métier » associé à l'utilisation, la possession, l'exploitation, l'implication, l'influence et l'adoption de l'informatique dans une organisation (Origine Risk IT : ISACA) Cartographie des Risques Informatiques Le processus de cartographie des risques : positionnement des risques majeurs selon différents axes tels que l'impact potentiel, la probabilité de survenance ou le niveau actuel de maîtrise des risques. Son objectif est de permettre d'orienter le plan d'audit interne et d'aider le management à prendre en compte la dimension risque dans son pilotage interne. Il existe en synthèse 4 types de cartographies identifiés autour des risques informatiques :  cartographie des risques d'entreprise : pour suivre la maîtrise des principaux uploads/Management/ mehari.pdf