Академический Документы
Профессиональный Документы
Культура Документы
MEHARI 2010
Guide de dveloppement
dune base de connaissances
danalyse de risque MEHARI
Mars 2012
Espace Mthodes
Remerciements
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :
Le responsable du groupe de travail :
Jean-Philippe JOUAS
Les contributeurs
Dominique
BUC
BUC SA
Olivier
CORBIER
Docapost
Martine
GAGNE
HydroQubec
Chantale
PINEAULT
AGRM
Jean-Louis
ROULE
Claude
TAILLON
Marc
TOUBOUL
BULL SA
Annabelle
TRAVERSVIAUD
BULL SA
3/32
CLUSIF 2012
Sommaire
Introduction .................................................................................................................................................. 5
1.
Plan du document................................................................................................................................... 6
2.
Principes fondamentaux ................................................................................................................... 7
Principe de prcaution............................................................................................................................ 7
Principe de justification.......................................................................................................................... 8
3.
Dfinir la typologie des actifs .......................................................................................................... 9
Introduction............................................................................................................................................. 9
Paramtres cls pour la dfinition des typologies dactifs...............................................................10
Typologies dactifs primaires.............................................................................................................10
Typologie dactifs secondaires ..........................................................................................................12
4.
5.
4/32
CLUSIF 2012
Introduction
Les principes fondamentaux dune mthode danalyse et de traitement des risques et ses
spcifications fonctionnelles ont t dvelopps dans un document du Clusif relatif la mthode
MEHARI ( MEHARI 2010 - Principes fondamentaux et spcifications fonctionnelles ) et ce
document met en avant la ncessit dune base de connaissances en support de la mthode.
Le schma gnral qui ressort des principes de traitement est repris ci-dessous.
Processus danalyse et
de traitement des risques
Processus dlaboration
dune base de connaissances
Analyse
des besoins
Actifs
Dommages
Analyse des
enjeux :
classification
Analyse des
menaces
Risques
Exposition
aux menaces
Facteurs de
rduction des risques
Base
de scnarios
Audit
des services
de scurit
Base
daudit
Audit des
Services
de scurit
Apprciation
des risques
Plan de traitement
des risques
5/32
CLUSIF 2012
1. Objectif de ce document
Ce document est tabli lusage des organisations qui souhaitent dvelopper de nouvelles bases
de connaissances ou adapter les bases du Clusif des contextes ou environnements particuliers.
Les raisons dun tel dveloppement ou dune telle adaptation peuvent tre nombreuses. Citons,
par exemple, lutilisation de la mthode pour lanalyse et la gestion dautres risques que ceux lis
au systme dinformation, son utilisation pour des systmes informatiques spcifiques tels que la
conduite de processus industriels, lexistence de menaces particulires, etc.
Plan du document
Le plan densemble et les diffrents aspects abords sont reprsents schmatiquement cidessous.
Base de connaissances
Processus dlaboration
dune base de connaissances
Analyse des besoins :
services
donnes
processus de gestion
Quels
actifs
primaires ?
Quels dommages
potentiels ?
Quelles menaces ?
Typologies de menaces
Liste de scnarios de risques
Quels services
de scurit pour
rduire les risques ?
Quelles mesures
conditionnent
lefficacit des
services ?
6/32
CLUSIF 2012
2. Principes fondamentaux
Deux principes fondamentaux doivent tre rappels en priorit avant tout dveloppement dune
base de connaissance.
Principe de prcaution
Mehari est essentiellement une mthode de gestion de la scurit par lanalyse des risques, mme
si, au sein de MEHARI, certains modules peuvent tre utiliss dans dautres buts que lanalyse de
risque. Il sensuit que lobjectif fondamental de lensemble des modules ou versions de MEHARI
est de grer les risques les plus importants.
Le principe de prcaution qui en dcoule est le suivant :
Principe n 1
Les automatismes ou aides contenus dans les bases de connaissance de la mthode ne
doivent jamais conduire sous-valuer un risque. Il est toujours prfrable quun risque
soit survalu au dpart quitte tre revu la baisse lors dune analyse dtaille plutt que
sous-valu et non slectionn pour une analyse plus fine.
Cest un principe de prcaution qui consiste prendre les mesures ncessaires pour viter que des
automatismes de calcul ne considrent un scnario de risque comme peu grave et lliminent
dune slection, alors quil est dun niveau de gravit lev. Il peut y avoir plusieurs raisons qui
fassent que les automatismes sous-valuent la gravit dun scnario :
Lappel abusif, dans les formules des scnarios, des services de scurit qui, en fait,
ne jouent quun rle marginal pour le scnario.
7/32
CLUSIF 2012
Principe de justification
A contrario, une mthode qui survaluerait systmatiquement le niveau de gravit des scnarios
de risque et dont le rsultat ne saurait tre expliqu, voire justifi, serait d'une utilit bien faible.
Il dcoule de cette ncessit que les automatismes de la mthode doivent produire, dans la
majorit des cas, une valuation explicable et justifiable du niveau de risque.
En ce qui concerne limpact, la base de lvaluation est la classification des ressources touches
par le scnario et cest donc un lment raisonn et valu trs rigoureusement et en connaissance
de cause, par les utilisateurs eux-mmes. Partant de l, il faut et il suffit que tous les lments de
rduction dimpact soient pris en compte, sous rserve que lon puisse garantir leur efficacit dans
la situation considre (principe de prcaution).
En ce qui concerne la potentialit, il y a un risque de la survaluer, en particulier en labsence de
services efficaces, et de dcrter un scnario de risque comme trs probable alors que chacun sait,
en particulier les utilisateurs, que ce risque ne sest jamais ou que trs rarement concrtis.
Le principe de justification qui dcoule de ce constat est le suivant :
Principe n 2
Les automatismes de la mthode doivent, dans tous les cas, permettre dexpliquer et de
justifier les rsultats obtenus
Ces deux principes servent de fil directeur dans les chapitres suivants.
8/32
CLUSIF 2012
Les donnes,
De la technologie employe,
9/32
CLUSIF 2012
Pour rechercher ces vulnrabilits, il est essentiel de distinguer, pour chaque actif
primaire :
Distinguer des actifs pouvant avoir des sensibilits notablement diffrentes (et donc
conduire des scnarios de risque de gravits diffrentes).
Distinguer des actifs primaires ayant des actifs secondaires diffrents (en fonction de
formes possibles de ces actifs ou de contingences possibles), donc des vulnrabilits
diffrentes et conduisant des scnarios diffrents.
10/32
CLUSIF 2012
choix conomiques valables en choisissant de ne dployer les mesures dcides que pour les
actifs les plus sensibles ou, au contraire, de gnraliser ces mesures.
Distinguer des actifs en fonction de leur sensibilit est ainsi, peut-tre, un choix de
communication, mais nest pas une ncessit pour lanalyse des risques. Dans loptique
dune simplification des tches danalyse de risques, cette option ne devrait pas tre
retenue.
Distinguer des actifs primaires protgs par des services de scurit diffrents
Si les services de scurit sont dj dfinis, parce que la base de connaissance des services existe
et que lon ne souhaite pas en changer, pour des raisons de cohrence des diagnostics ou pour
toute autre raison, la question se pose de savoir si la dfinition et la typologie des actifs doivent
tre alignes sur la typologie des services de scurit (si on a dfini des services de scurit
spcifiques pour le rseau tendu intersites et pour le rseau local, faut-il distinguer le service du
rseau tendu de celui du rseau local ?).
Cela est certainement plus cohrent, mais ce nest pas obligatoire.
En effet, les formules qui serviront apprcier les scnarios de risque sont telles quil est toujours
possible dvaluer simultanment plusieurs alternatives ou variantes en ne retenant au final, pour
le calcul, que le rsultat le plus pessimiste. Par exemple pour un scnario dindisponibilit de
rseau, si on spare en tant quactifs le rseau tendu et le rseau local, on valuera distinctement
les scnarios dindisponibilit pour chaque type de rseau, chacun avec ses services spcifiques,
mais dans le cas o ces actifs sont confondus il faudra prendre soin dvaluer chaque facteur de
rduction de risque pour chaque type de rseau et on prendra systmatiquement le minimum de
chaque facteur.
Si on considre un scnario dindisponibilit de rseau d un incendie :
Par exemple, le fait de distinguer les fichiers courants des fichiers darchive conduira
dfinir des services de scurit diffrents pour la protection des documents courants et la
protection des archives. De mme le fait de distinguer les rseaux locaux des rseaux
tendus conduit diffrencier les services de scurit correspondants.
11/32
CLUSIF 2012
dans le cas o les types dactifs sont distincts on valuera 2 scnarios : un scnario
dindisponibilit du rseau tendu d un incendie et un scnario dindisponibilit du
rseau local d un incendie et, pour les mesures palliatives, on considrera, pour le
premier, le PRA du rseau tendu et pour le second le PRA du rseau local.
Dans le cas ou les deux types de rseau sont considrs comme un seul type dactif, on
nvaluera quun scnario : indisponibilit du rseau d un incendie et on
considrera, au titre des mesures palliatives, le minimum entre le PRA du rseau
tendu et celui du rseau local.
Les calculs seront donc possibles que lon ait distingu les types de rseau ou non.
Par contre, il peut y avoir une difficult ou un jugement trop pessimiste si les types dactifs se
rvlent avoir des sensibilits diffrentes. Si le type dactif le moins sensible a des services de
scurit dun niveau de qualit moindre que le type dactif le plus sensible, cela peut conduire, en
regroupant les types dactifs, un jugement plus svre que la stricte ralit, parce que lon
retiendra le niveau le plus bas de service avec le niveau le plus haut de sensibilit.
Distinguer des actifs protgs par des services de scurit diffrents produira un
jugement sur la gravit des scnarios plus prcis et, dans certains cas, moins pessimiste,
mais cette distinction nest pas indispensable une valuation des risques.
En rsum, plus la typologie des actifs primaires sera fine, plus on pourra tre prcis et
exhaustif dans lidentification et lapprciation des risques, avec comme corollaire quil
faudra distinguer davantage de services de scurit, en cohrence avec la typologie des
actifs.
Plus les services de scurit seront dtaills, plus il sera souhaitable, pour une
apprciation des risques, de dtailler les actifs en consquence, mais sans que cela soit
indispensable2.
La distinction dactifs diffrencis apportera une plus grande prcision dans lanalyse de
risques (en particulier dans lvaluation des impacts, au prix dun surcrot de travail lors
de lanalyse des risques.
12/32
CLUSIF 2012
Les lments immatriels ayant une influence directe sur le droulement des processus
supports du service (logiciel, automatisme, paramtrage de processus, procdures,
etc.).
Les services extrieurs ncessaires et non distingus au niveau des actifs primaires.
Les entits logiques rassemblant les donnes (fichiers, bases de donnes, rpertoire,
etc.).
Les supports matriels des entits ci-dessus (media magntiques ou optiques, supports
papiers, etc.).
Pour ces actifs, il ny a pas, proprement parler, dactifs secondaires distinguer. Par
contre ils seront prciss en fonction des domaines de proccupation possibles
(protection de la vie prive, normes comptables, exigences contractuelles, etc.).
13/32
CLUSIF 2012
Vulnrabilits intrinsques
Ainsi, on doit rechercher, pour les trois critres de base, Disponibilit, Intgrit et Confidentialit,
quels sont les types de dommages possibles, ce qui permettra in fine de dfinir la typologie des
vulnrabilits intrinsques.
Cette recherche peut se faire avec un degr de dtails plus ou moins grand et dpend de la finesse
de description des actifs secondaires.
Il faut noter, en effet, quil y a souvent des possibilits de transfert entre types dactifs secondaires
et types de vulnrabilits. On peut, par exemple, pour une configuration logicielle dfinie comme
actif secondaire, mettre en vidence, comme vulnrabilit, linoprabilit due une absence de
licence, mais on peut aussi dtailler davantage en dfinissant comme actif secondaire la licence
ncessaire au fonctionnement de la configuration logicielle et comme vulnrabilit de cette
licence son effacement, sa disparition, etc. Dans un autre domaine, on peut considrer, comme
vulnrabilit dun serveur, quil dpend de la mise disposition dnergie par des organes de
servitude ou, au contraire, dfinir les moyens de servitude comme actifs secondaires et rechercher
les vulnrabilits dtailles de ces moyens.
Il faut noter que le degr de finesse avec lequel le tableau des vulnrabilits types est
dcrit est un facteur cl, au mme titre que la finesse de description des actifs, facteur qui
influe directement sur la prcision, et corrlativement sur la charge, de lanalyse de
risques.
Pour tablir ce tableau, il est recommand de commencer par tablir un tableau danalyse
prliminaire dcrivant par grand type dactif secondaire (sans dtail ce niveau danalyse) et par
type de consquence (DIC) les types de dommages possibles avant de remplir le tableau des
vulnrabilits intrinsques.
Nous donnons ci-dessous, deux tableaux ainsi labors, titre dexemple :
14/32
CLUSIF 2012
Type de
consquence
Type de dommage
Commentaire
lment matriel :
Indisponibilit
Endommagement
physique
Inoprabilit
Inexploitabilit
quipement fonctionnel,
cblage, dispositifs de
scurit, etc.
Media matriel support de
logiciel, d'automatisme, de
paramtres de processus
ou de donnes
Disparition
lment immatriel :
Dfaut d'intgrit
Divulgation
Duplication de
l'lment
Acquisition par un
tiers de l'lment
L'lment a t dupliqu
Endommagement
logique
Inoprabilit
Inexploitabilit
Disparition
L'lment a t effac
Indisponibilit
Logiciel, automatisme,
paramtrage de
processus, procdure, etc.
Donnes (fichiers
constitus, donnes
fugitives, etc.)
Dfaut d'intgrit
Divulgation
Service extrieur
Indisponibilit
ncessaire au
fonctionnement des
services internes ou
l'exploitation des donnes
Inoprabilit
Inexploitabilit
Disparition
15/32
CLUSIF 2012
Type de
consq.
DIC
Type de
dommage
Type de vulnrabilit
Endommagement
Inoprabilit
Inexploitabilit
Disparition
Altration
change
Endommagement
Inoprabilit
Endommagement
Inoprabilit
Endommagement
logique
Inoprabilit
Inexploitabilit
Disparition
Altration
Divulgation
Blocage
Disparition
Endommagement
physique
Inoprtabilit
Disparition
Catgorie : Service
lment matriel :
quipement fonctionnel, cblage,
dispositifs de scurit, etc.
Media matriel support de
logiciel, d'automatisme ou de
paramtres de processus
Locaux
Moyens de servitude :
Alimentation en nergie, fluides et
climatisation, etc.
D et C
Echange
Duplication
Inoprabilit
Inexploitabilit
Disparition
Endommagement
physique
Inoprtabilit
Catgorie : donnes
D et C
Disparition
Echange
Possibilit d'change de media support de donnes avec un media contenant des donnes
modifies
Duplication
Endommagement
logique
Inexploitabilit
Disparition
Altration
Divulgation
Disparition
Possibilit de disparition d'un moyen ncessaire pour l'accs aux donnes (cls logiques ou
physiques)
Altration
Divulgation
Perte
D et C
Inefficience
Possibilit que les procdures appliques soient inefficientes (vis--vis des obligations
lgales, rglementaires ou contractuelles)
16/32
CLUSIF 2012
Lacteur dclenchant cet vnement, et en particulier les acteurs ayant des droits
particuliers qui pourront plus (ou moins) facilement agir.
Nous allons revenir ci-dessous sur chacun des lments constituant les menaces.
17/32
CLUSIF 2012
Type de dommage
lment matriel :
Endommagement
physique
Indisponibilit
quipement fonctionnel,
cblage, dispositifs de
scurit, etc.
Media matriel support
de logiciel,
d'automatisme, de
paramtres de processus
ou de donnes
Malveillance :
- Dgradation volontaire physique directe
- Dgradation indirecte (accident provoqu)
Inoprabilit
Inexploitabilit
Disparition
Dfaut
d'intgrit
Altration
change
Divulgation
Duplication de
l'lment matriel
Acquisition par un
tiers de l'lment
matriel
18/32
CLUSIF 2012
Type de dommage
lment immatriel :
Endommagement
logique
Inoprabilit
Indisponibilit
Logiciel, automatisme,
paramtrage de
processus, procdure,
etc.
Donnes (fichiers
constitus, donnes
fugitives, etc.)
Disparition
Dfaut
d'intgrit
Altration logique
Divulgation
Copie de l'lment
Acquisition par un
tiers
Services extrieurs ou
tiers
Indisponibilit
Inoprabilit
Acquisition accidentelle :
- Non effacement avant rebut, transfert, etc.
- Envoi par erreur ou accident un mauvais destinataire
Accident touchant le personnel d'exploitation :
- Intoxication alimentaire
- Epidmie ou pandmie
Accident touchant des lments ncessaires aux oprations :
- Indisponibilit des moyens de communication avec le prestataire
- Indisponibiilit des conditions administratives (contrat, financement)
Action volontaire du personnel d'exploitation :
- Dmission collective massive
- Mouvement social avec arrt de travail
Inexploitabilit
Disparition
Il convient de noter que les types dvnements dclencheurs signals ci-dessus peuvent tre
dvelopps ou au contraire synthtiss, en fonction du degr de dtail souhait et jug optimal.
Il convient galement de noter que seule la nature de lvnement dclencheur a une
influence sur la potentialit intrinsque du risque, les conditions de survenance et le type
Guide de dveloppement dune
base de connaissance
19/32
CLUSIF 2012
dacteur nintervenant que sur la potentialit rsiduelle, par lintermdiaire des mesures
dissuasives et prventives qui peuvent dpendre de ces circonstances ou du type
dacteur.
Les actions volontaires menes, sur des lments matriels ou immatriels, distance
ou non, depuis lintrieur de lentreprise ou non, pendant les heures de prsence du
personnel ou non, selon certaines phases dun processus, etc.
Le tableau prcdemment utilis danalyse des menaces peut alors tre complt pour dcrire les
conditions de survenance quil conviendrait de distinguer pour une meilleure valuation des
menaces et des risques, et, en particulier :
Typologie dacteurs
Les types dacteurs ont une influence sur la potentialit rsiduelle dun risque pour la simple
raison que certaines mesures sont spcifiques certains types dacteurs (les contrles daccs
nont pas deffet contre des utilisateurs lgitimement autoriss)
Le tableau danalyse des menaces prcdemment utilis peut alors galement tre complt pour
dcrire les types dacteurs quil conviendrait de distinguer pour une meilleure valuation des
menaces et des risques, et, en particulier :
Les acteurs internes ayant des droits privilgis de par leur fonction,
Etc..
20/32
CLUSIF 2012
Le type de dommage,
Le type dacteur.
21/32
CLUSIF 2012
Le type dactif
Type dactif primaire
Type dactif secondaire
Le type de vulnrabilit
Type de dommage
Type de vulnrabilit intrinsque
Le type de menace
Type dvnement dclencheur
Type de conditions de survenance
Type dacteur
Il est fortement recommand de complter cette description dune expression littrale dcrivant
le risque en termes simples et parlant pour tout utilisateur de la base de connaissance.
22/32
CLUSIF 2012
la finalit du service,
les scnarios de risque sur lesquels il agit, cest--dire les rsultats attendus de la mise
en uvre du service,
Ceci tant, il faut tre conscient quun service peut toujours tre dcompos en sous-services ,
linfini, chaque question pose aujourdhui ayant sa propre finalit et pouvant, la limite, tre
leve au rang de service et dcompose en sous-questions et ainsi de suite.
La question du niveau de dtail des services de scurit est donc une question cl, ayant une
influence dcisive sur la charge dvaluation et de diagnostic de la qualit desdits services.
Pour dfinir au mieux ce niveau de dtail, il faut tenir compte de plusieurs paramtres :
Dfinir des services de scurit cohrents avec la typologie dactifs (voir chapitre 3).
Faire un choix entre dfinir des services diffrents ou utiliser des variantes du mme
service (par le schma daudit)
Nous allons aborder, ci-dessous, ces diffrents aspects.
23/32
CLUSIF 2012
faire un diagnostic pessimiste. En effet, le mme service tant valu pour plusieurs types dactifs
diffrents, on sera amen poser des questions relatives chaque type dactif et faire une
valuation globale fonction de la plus mauvaise rponse.
Un tel diagnostic pessimiste nest pas dangereux en terme danalyse de risque mais peut conduire
des plans daction inutiles et donc des dpenses inutiles.
Autrement dit, si les actifs sont distincts, ils peuvent avoir des classifications diffrentes, c'est-dire des besoins diffrents, et le regroupement de services peut conduire surprotger des actifs
qui ne ncessitaient pas un tel niveau de protection.
Sans tre obligatoire, il est donc conseill de dfinir des services de scurit distincts
pour des actifs distincts.
A linverse, si des actifs ont t confondus et regroups, un niveau de dtail plus fin au niveau des
services de scurit quau niveau des actifs ne prsente pas dinconvnient au plan de lanalyse des
risques. Le seul inconvnient est laccroissement de la charge de travail, mais il nest mme pas
sr que le surcrot de travail ne puisse pas savrer utile par la suite pour le choix des mesures de
scurit.
Prenons un exemple pour clairer ce dernier point :
Supposons que lon ait dfini comme type dactif linfrastructure informatique (sans faire de dtail
entre le rseau tendu, le rseau local, les systmes informatiques et les systmes bureautiques),
alors que des services de scurit distincts sont valus lors du diagnostic, il sera ais de prendre
en compte la varit des services dans les formules de calcul des facteurs de rduction de risque,
par lemploi des fonctions min et max .
24/32
CLUSIF 2012
25/32
CLUSIF 2012
La qualit de service doit tre juge dans labsolu par rapport aux critres standards
de qualit (efficacit, robustesse, mise sous contrle), indpendamment des pratiques
courantes.
Des dfinitions de niveau de qualit de service ont t donnes, et se trouvent dans la
documentation standard de MEHARI.
Toute question pose doit tre pertinente et justifie eu gard la finalit du service.
Ceci impose un certain nombre de contraintes ceux qui tablissent les questionnaires ou qui les
valident :
26/32
CLUSIF 2012
Vrifier que chaque service abord lest bien en profondeur et que les questions
essentielles sont bien poses. Sinon, choisir entre rajouter des questions ou supprimer
le service.
Vrifier que lon traite bien tous les aspects de la qualit de service, savoir son
efficacit, sa robustesse et sa mise sous contrle.
Vrifier que si lon rpond oui (ou 1) toutes les questions du service (et que, par
dfinition, on obtient alors la note maximale de 4) la qualit du service correspond
bien la dfinition de qualit retenue, cest--dire que le service accomplit totalement
sa fonctionnalit, quil est bien sous contrle avec un excellent niveau de robustesse.
27/32
CLUSIF 2012
Il est ncessaire enfin que le service sapplique avec efficacit, dans toute la gnralit
de sa dfinition et que les questions qui auront t poses pour valuer le service
soient pertinentes dans le contexte du scnario tudi. Exemple : Si on fait appel au
PCU (Plan de Continuit des activits Utilisateurs), c'est dans la gnralit de sa
fonction, c'est--dire en appui d'un PRA (Plan de Reprise d'Activits informatiques) Si
le scnario est tel que le PRA ne s'appliquera pas, c'est un PCU particulier qu'il
faudrait faire appel et on ne doit pas faire appel au service gnral PCU (mais
ventuellement crer un service spcifique de Plan de secours entirement manuel ).
En toute rigueur, le principe qui dcoule des deux points ci-dessus, pourrait sexprimer ainsi :
Les services appels dans des formules de calcul de STATUS sont tels que toute question
pose pour valuer le service est pertinente pour les scnarios qui l'appellent.
On prendra garde, nanmoins, quune application trop stricte de ce principe ne conduise un
trop grand miettement des services et on retiendra plutt un nonc moins radical :
Un scnario ne doit faire appel un service que si son valuation est pertinente pour le
scnario, quelles que soient les questions auxquelles il est rpondu affirmativement.
28/32
CLUSIF 2012
atteints, un service de dtection dincendie aura bien une influence sur limpact
rsiduel. Si, par contre, pour le mme niveau dimpact maximal, le critre tait la
destruction ou lindisponibilit de certains lments prcis de linfrastructure (impact
maximal d, par exemple, une classification de niveau 4 pour tel serveur, de niveau 2
pour tel autre), alors il nest pas sr que la dtection dincendie soit pertinente car si
lincendie nait proximit immdiate de llment le plus critique, sa dtection pourrait
ne pas changer le niveau dimpact rsiduel (dtection trop tardive).
Si un critre dimpact est la fraude, avec des seuils fonction du montant de la fraude,
un service de contrle permanent applicatif peut tre pertinent pour rduire limpact
dun scnario de fraude. Si, par contre, pour le mme critre dimpact, les seuils sont
uniquement fonction des domaines concerns (RH, gestion de clientle, etc.), les
contrles permanent ne seront peut-tre pas pertinents et ne devraient pas tre
retenus.
Ceci conduit exprimer le principe suivant :
Lappel un service pour rduire limpact doit tre pertinent, quels que soient les critres et seuils dimpact qui ont
t lorigine de lvaluation de limpact intrinsque du scnario.
Lapplication stricte de ce principe serait nanmoins pnalisante pour les scnarios pour lesquels
on ne peut dcider lavance, dans la base de connaissance, si tel service sera pertinent ou non
car on ignore les critres utiliss et la nature des seuils dimpact correspondants, comme dans les
exemples ci-dessus.
Il est ncessaire de prvoir alors une variable permettant au responsable de lanalyse de risque de
dcider, au cas par cas, si on peut faire appel ces services ou non.
Cest ainsi qua t cre, dans la base de connaissance de MEHARI, une variable permettant de
dclarer un scnario confinable ou non.
Le principe devient alors :
Lappel effectif un service pour rduire limpact dun scnario, appel ventuellement
fonction dune variable de commande spcifique, doit tre pertinent compte tenu des
critres et seuils dimpact utiliss pour valuer limpact intrinsque.
Sagissant ici de construire une base de connaissance, lapplication de ce principe doit tre
comprise ainsi :
Dans les cas o il y doute sur le caractre gnral de la pertinence du service de scurit
pour un scnario donn, il convient, par application des deux principes de prcaution et
de justification, de mettre en place les formules faisant appel au service mais de
positionner la variable de commande sur la position o lappel au service est inhib, de
sorte quil faille une action volontaire de validation (ou de suppression de linhibition)
pour que lappel au service devienne effectif.
29/32
CLUSIF 2012
Cest le parallle de ce qui a t dit ci-dessus. Il est, cependant, beaucoup plus simple mettre en
uvre car la potentialit intrinsque des vnements dclencheurs ne dpend pas (gnralement)
dlments externes non dfinis.
On peut nanmoins exprimer le principe de base suivant :
Lappel effectif un service pour rduire la potentialit dun scnario doit tre pertinent
quelles que soient les raisonnements utiliss pour valuer la potentialit intrinsque.
Lapplication de ce principe revient en pratique recommander une parfaite adquation entre le
niveau de dtail des vnements dclencheurs et le niveau de dtail des services de scurit, ainsi
que nous lavons dj expliqu.
Par contre, pour les scnarios datteinte lintgrit de type fraude ou quivalent
(deuxime et troisime type cit ci-dessus), on doit considrer que le dfaut dintgrit
nest pas connu.
Ds lors, il ne devrait pas exister de service pertinent en mesures palliatives susceptibles de
rduire limpact. Par contre des mesures de confinement restent possibles.
Les scnarios datteinte lintgrit sont considrs comme confinables mais ne devraient pas faire appel, en
standard, des mesures palliatives.
30/32
CLUSIF 2012
31/32
CLUSIF 2012
LESPRIT DE LCHANGE
www.clusif.asso.fr