La mthode Mehari

Objectifs de la mthode MEHARI

MEHARI est une dmarche danalyse et de gestion des risques, qui fournit un cadre mthodologique, des outils et des bases de connaissance pour :

analyser et classifier les enjeux majeurs, tudier les vulnrabilits, rduire la gravit des scnarios de risques, piloter la scurit de linformation

L'approche modulaire de la mthode MEHARI

1. L'analyse des enjeux

Lanalyse des enjeux de MEHARI permet dvaluer la gravit de dysfonctionnements en DIC pouvant tre causs ou favoriss par une faille ou un dfaut de scurit. Il sagit dune analyse totalement focalise sur les objectifs et attentes des mtiers de lentreprise mettant contribution les dcideurs et le management de lentreprise ou de lentit considre. Cette analyse se traduit par :

une chelle de valeurs des dysfonctionnements potentiels, lment de rfrence centr sur les impacts mtiers, une classification rigoureuse des actifs (informations et des ressources) du Systme dinformation, des processus dassistance pour effectuer cette classification, ltablissement de liens directs vers lanalyse dtaille des risques correspondants

2.Lanalyse des vulnrabilits

Lanalyse des vulnrabilits fournit une valuation de la qualit (robustesse, efficacit, mise sous contrle) des mesures de scurit en place. La base de connaissance des mesures de scurit de MEHARI est structure par domaines et par services ayant des finalits prcises de rduction de potentialit ou dimpact des situations de risques. Cette analyse des vulnrabilits permet de :

corriger les points faibles inacceptables par des plans daction immdiats, valuer lefficacit des mesures mises en place et garantir leur efficience, prparer lanalyse des risques induits par les faiblesses mises en vidence, comparer la maturit de son organisation avec ltat de lart et la norme ISO 27002

3. Lidentification et le traitement des risques

Avec MEHARI, lanalyse des risques permet didentifier les situations susceptibles de remettre en cause un des rsultats attendus de lentreprise ou de lentit, et dvaluer la probabilit de ces situations, leurs consquences possibles et leur caractre : acceptable ou non. Lanalyse des risques met galement en vidence les mesures susceptibles de ramener chaque risque un niveau acceptable.

Cette analyse des risques sappuie sur un ensemble de scnarios prcis et peut servir :

dfinir les mesures de scurit les mieux adaptes au contexte et aux enjeux dans une dmarche de management de la scurit de linformation (SMSI), par exemple dans une dmarche ISO 27001 mettre en place un management des risques et garantir que toutes les situations de risques critiques ont t identifies, prises en compte et un plan daction dfini

Limites de MEHARI
Mehari est une dmarche d'analyse des risques de systmes d'informations. Elle ne rpondra pas efficacement des besoins :

de formalisation d'expression de besoins de scurit par exemple lors de la rdaction d'un cahier des charges de refonte d'une partie du systme d'information, de TPE/PME n'ayant aucune culture scurit informatique et qui peuvent souhaiter qu'en une poigne de jours, soient dfinies les solutions de base de scurit (sauvegardes, authentification, politique de sauvegarde, politique anti virale, ...) d'analyse de conformit technique.

Enfin si les concepts de MEHARI peuvent s'appliquer d'autres domaines de la gestion des risques (risques oprationnels, risques scadas...), les bases dveloppes actuellement au CLUSIF ne s'appliquent qu'aux risques lis aux systmes d'information.

Les principes de la mthode Mehari

Mhari : principes structurants
Mehari en arrive sa 6me version et peut-on dire un stade de maturit en terme de concepts de gestion des risques. Les principes de cette mthode restent :

une analyse des enjeux mtiers qui permet de pondrer la gravit des dysfonctionnements redouts et indirectement influe sur le choix des mesures de scurit le choix des mesures de scurit est directement corrl aux faiblesses de scurit de l'entreprise (grce une analyse du niveau de vulnrabilit) un calcul de pertinence des mesures de scurit par rapport aux scnarios de sinistre potentiel (avec des critres de choix d'un service de scurit base sur sa robustesse, son efficacit et la possibilit de mettre sous contrle)

Ce qui a volu dans la version 2007 de Mehari :

une cotation de ltat de la scurit selon les points de contrle de lISO 27002 une assistance la classification des actifs amlioration de certaines fonctions dans la justification des mesures de scurit

Ce qui a volu dans la version 2010 de Mehari :

des changements de vocabilaires et concepts pour s'aligner sur ISO 27005 des clarifications sur les dfinitions de termes telles que Menaces, une nouvelle structure des scnario de risque qui dfinit dsormais plusieurs niveaux dactifs une clarification des questionnaires en cas dambigut dinterprtation

En synthse Mehari est certainement la mthode d'analyse de risques la plus aboutie en terme de modle et d'efficacit. La documentation a t entirement remanie et propose maintenant des documents de synthse et de dtail par tape.

L'analyse des enjeux

"Que peut-on redouter et, si cela devait arriver, serait-ce grave". C'est ainsi qu'est dfini l'analyse des enjeux dans la mthode Mehari. Il y des lments importants de reflexion concernant la rponses apporter cette question. Les utilisateurs savent bien rpondre sur la deuxime partie de la question, c'est dire l'impact du sinistre sur son activit (indisponibilit d'une application, de la totalit du systme d'information, perte de confidentialit, ... ), mais en revanche ont des difficults identifier les origines des sinistres (sauf peut tre celles qui sont lies leur propres collaborateurs). Cette analyse d'enjeux a donc pour objectifs :

d'identifier les macro-processus clefs pour l'entreprise d'analyser l'impact de scnarios de sinistres et de classer ces impacts d'en dduire une classification des actifs essentiels (applications, matriels, quipement mais galement ressources humaines).

La dmarche projet de Mehari

La version 2010 de Mehari reprend une approche par tape qui avait exist dans la V3 et un peu disparu dans la version 2007. Cette dmarche permet de s'aligner sur les prconisations de l'ISO 27005 en terme des diffrentes activits.

La phase prparatoire
Cette phase (qui correspondant l'tablissement du contexte dans ISO 27005) permet en synthse de :

Dfinir le contexte o les objectifs de la dmarche de gestion des risques o les contraintes (lgales, rglementaires, normatives,...) Dfinir le cadre de la mission (primtre de l'analyse des risques, primtre d'audit, ...) et surtout dfinir les critres dfinis dans l'ISO 27005 d'acceptabilit des risques et critre d'impact

La phase oprationnelle d'analyse des risques

L'analyse des enjeux qui dbouche sur une classification des actifs (principaux et de support) Le diagnostic de la qualit des mesures de scurit en place L'apprciation des risques : o La slection des scnarios de risques traiter (suivant les critres d'valuation des risques) o L'estimation de la gravit des risques ( partir des bases de connaissance Mehari 2010)

Phase de planification et de traitement des risques

Le traitement des risques critiques (suivant les critres d'acceptation des risques) Le traitement des risques moins critiques La mise en place du pilotage du traitement des risques La production d'indicateurs et tableau de bord des risques (communication des risques)

Management des risques informatiques

Management des risques de lentreprise
Selon COSO II * : "Le management des risques est un processus mis en uvre par le Conseil d'Administration, la direction gnrale, le management et l'ensemble des collaborateurs de l'organisation. Il est pris en compte dans l'laboration de la stratgie ainsi que dans toutes les activits de l'organisation. Il est conu pour identifier les vnements potentiels susceptibles d'affecter l'organisation et pour grer les risques dans les limites de son apptence pour le risque. Il vise fournir une assurance raisonnable quant l'atteinte des objectifs de l'organisation."
* Traduction du COSO II Report par l'IFACI, PriceWaterhouseCoopers et Landwell & Associs

Si on reprend cette dfinition, on retrouve les points clefs :

C'est un processus continu et transverse l'organisation Les notions de seuil d'acceptabilit du risque : dans les limites de son apptence pour le risque Le management des risques est un support pour l'atteinte des objectifs de l'organisation :

Cette volution du concept de management des risques, que l'on retrouve dans ISO 31000, s'applique galement au Management des Risques lis aux Systme d'Information.

Management des risques lis aux systmes d'information

Le risque informatique peut tre dsign comme le risque mtier associ l'utilisation, la possession, l'exploitation, l'implication, l'influence et l'adoption de l'informatique dans une organisation (Origine Risk IT : ISACA)

Cartographie des Risques Informatiques

Le processus de cartographie des risques : positionnement des risques majeurs selon diffrents axes tels que l'impact potentiel, la probabilit de survenance ou le niveau actuel de matrise des risques. Son objectif est de permettre d'orienter le plan d'audit interne et d'aider le management prendre en compte la dimension risque dans son pilotage interne. Il existe en synthse 4 types de cartographies identifis autour des risques informatiques :

cartographie des risques d'entreprise : pour suivre la matrise des principaux risques de l'entreprise cartographie des risques Scurit de l'information : pour protger les actifs du SI au regard des menaces qu'ils encourent cartographie des risques pour construction du plan d'audit : pour identifier l'exposition au risque et dfinir le plan d'audit cartographie des risques lis la fonction des Systmes d'Information : pour piloter les processus DSI et la russite des projts informatiquesdes projets informatiques

Gestion des risques lis la scurit de l'information

On imagine sans difficult des exemples de risques lis aux SI, par exemple l'interruption temporaire des activits d'une entreprise en raison d'une indisponibilit du S

panne d'un composant actif du rseau incendie de la salle machine intrusion d'un pirate et destruction des bases de donnes plan de secours n'ayant pas suivi les volutions rcentes des systmes

La gestion des risques lis la scurit de l'information doit permettre dassurer la Disponibilit, lIntgrit, la Confidentialit des donnes de lorganisation v ainsi que la preuve et le contrle. Mais en creusant ces exmple, on peut dfinir la notion du risque li la scurit de l'information suivant plusieurs axes :

dfinition du risque bases sur la notion de menace sur un actif associe des vulnrabilits : vision assez statique d'un risque (par exemple : o panne d'un serveur li un dfaut de maintenance (et qui va engendrer un arrt des activits mtiers qui t lis au fonctionnement de ce serveur) dfinition du risque bases sur des scnarios d'incidents : ce sont des situations de risque dcrivant la fois le dommage subi et les circonstances dans lesquelles se produit ce dommage. On privilgie ici sur une vision dynamique des risques dans laquelle le temps peut tre pris en compte, permettant de prvoir des actions diffrencies en fonction des phases de scnario de risque. o Indisponibilit temporaire accidentelle de systme hte de services applicatifs, due un manque d'alimentation en nergie (dfaut externe)