Beruflich Dokumente
Kultur Dokumente
Version 1,3
Novembre 2013
Club de la Scurit de lInformation du Qubec Tlphone : + 1 (418) 564-9244 Tlcopieur : + 1 (418) 614-0842 Courriel : administration@clusiq.org
Remerciements
LASIQ1 tient mettre ici lhonneur les personnes qui ont rendu possible la ralisation de ce document, tout particulirement : Sylvain Simon Dominique Olivier Colette Martine Christophe Jean-Philippe Chantale Jean-Louis Claude Bertrand Borduas Buc Corbier Fournier Gagn Jolivet Jouas Pineault Roule Taillon Hydro Qubec Conseiller en gestion de risque BUC S.A. Docapost Responsable de lEspace Mthodes du Clusif Hydro Qubec Conseillre en gestion de risque Pr4gm4 Fondateur de la mthode et membre honoraire de lASIQ AGRM Protection de linformation Responsable du Groupe de Travail Documentation de MEHARI, au sein du Clusif Conseiller en scurit de linformation
MEHARI est une marque dpose par le CLUSIF. MEHARI-Pro a t dvelopp par lASIQ, en collaboration avec le Clusif
_______________________________
1
MHARI-Pro
Sommaire
Introduction ................................................................................................................................................ 1 Principes directeurs ........................................................................................................................................... 1 Vue densemble de MEHARI-Pro ..................................................................................................................... 2 1.1. Lanalyse des enjeux .......................................................................................................................... 4 1.2. Les diagnostics des services de scurit ......................................................................................... 5
1.2.1 Le diagnostic de scurit, lment cl dune analyse des risques ................................... 5
1.4. Le plan daction en scurit de linformation ................................................................................ 6 1.5. Contrle et pilotage de la gestion directe des risques................................................................... 7
1.5.1 1.5.2 1.5.3 Contrle du niveau de qualit des services retenus ........................................................... 7 Contrle de la mise en uvre des services de scurit ...................................................... 8 Pilotage global associ la gestion des risques ................................................................. 8
Annexe A1 : Typologie dactifs (T1) de la base de connaissances de MEHARI-Pro ................................ 9 Annexe A2 : Liste des 43 services de scurit appels par MEHARI-Pro ............................................... 11
MEHARI-Pro
ii
Introduction
MEHARI-Pro fait partie de lensemble des mthodes danalyse de risques dveloppes partir du modle danalyse de risques cr par Jean-Philippe Jouas et Albert Harari en 1992, modle utilis par le CLUSIF, pour MEHARI, depuis 1996. MEHARI-Pro est une mthode rigoureuse de gestion de risque destine aux professionnels de la scurit. Elle vise principalement les petites ou moyennes organisations, prives ou publiques, ou encore les organisations plus importantes qui souhaitent, au moins dans un premier temps, avoir une vision et une analyse globale de leurs risques sans entrer dans le dtail de linfrastructure et du fonctionnement des systmes dinformation et de communication. MEHARI-Pro est une mthodologie base sur les mmes processus danalyse et dvaluation des risques que lensemble des variantes de MEHARI en utilisant une base de connaissances spcifiques adapte la cible vise. Ses domaines dapplication, sont principalement :
La gestion permanente des risques auxquels lorganisation est confronte Lanalyse ponctuelle des risques induits par une nouvelle application, de nouvelles fonctionnalits dun systme dinformation ou la mise en place dun nouveau systme dinformation;
Le premier objectif de MEHARI-Pro est de fournir une mthode danalyse et de gestion des risques et, plus particulirement pour le domaine de la scurit de linformation, une mthode conforme aux exigences de la norme ISO/IEC 27005:2008, avec lensemble des outils et moyens requis pour :
Identifier de manire prcise et exhaustive les situations de risque auxquelles lorganisation doit faire face. Permettre une analyse directe et individualise des situations de risque dcrites par des scnarios de risque. Proposer des mesures de scurit permettant de rduire les risques jugs inacceptables et permettre den valuer leffet sur les niveaux de risques rsiduels.
cet objectif premier sajoute lobjectif complmentaire de fournir une gamme doutils adapte la gestion de la scurit de linformation, et ce, quels que soient les types dactions envisags. Compte-tenu de ces objectifs, MEHARI-Pro propose un ensemble mthodologique cohrent, faisant appel des bases de connaissances adaptes et capables daccompagner les responsables de la scurit dans leurs diffrentes dmarches et actions, incluant des acteurs impliqus dans la gestion des risques.
Principes directeurs
Cette dclinaison de MEHARI, comme toutes les autres, respecte les principes directeurs suivants :
Identifier les situations de risque par une dmarche structure et arborescente partant des activits de lorganisation et en recherchant les dysfonctionnements possibles et leurs causes.
MHARI-Pro
1/13
valuer les consquences dun risque potentiel partir dune classification des actifs, ellemme base sur les impacts maximum des risques sur les processus daffaires de lorganisation. valuer la probabilit de survenance dun risque partir de la potentialit initiale doccurrence de lvnement. Tenir compte, dans lvaluation dun risque, non seulement des mesures de scurit existantes mais aussi de leur niveau de qualit et defficacit. Appuyer lvaluation de la qualit des mesures de scurit en place (ou prvues) sur une base de connaissance apportant lexpertise requise.
procder lanalyse des enjeux et la classification des actifs de lorganisation (DIC); procder un diagnostic de la qualit des services de scurit en place (vulnrabilit); identifier les scnarios de risques plausibles pouvant altrer la qualit (DIC) ou le fonctionnement des actifs impliqus; identifier les mesures de scurit mettre en place pour rduire la gravit des risques non acceptables et dcider des actions entreprendre sur les autres risques; laborer un plan daction priorisant les mesures ayant le plus grand effet sur lattnuation des risques.
MHARI-Pro
2/13
Richesse et cohrence de sa base de connaissances qui est une extraction de celle de MEHARI-EXPERT; Prise en compte des niveaux de qualit des mesures de scurit pour valuer les risques rsiduels (en effet, lefficacit des mesures de scurit pour rduire les risques dpend des mcanismes adopts et de leur robustesse) Prise en compte des niveaux defficacit dune mesure de scurit pour diminuer les risques (en effet, certaines mesures de scurit apportent plus de valeur ajoute); Facilit, pour un non-spcialiste, de bien analyser les situations et de proposer des mesures tenant compte de la maturit et de la capacit de lorganisation mettre en uvre les solutions proposes; Simplicit dillustration de la progression en matire de gestion de risques de lorganisation.
MEHARI-Pro se caractrise comme suit : Pour les actifs (voir annexe A1)
6 actifs de type donnes et informations soit : Fichiers informatiques (applicatifs) Donnes informatiques isoles quelles soient stockes, temporaires ou en transit Fichiers bureautiques Courrier lectronique Documents non informatiques, imprims ou manuscrits Informations publies ou services accessibles sur un serveur Internet
4 actifs de type services soit : Services informatiques et de tlcommunication quipements mis la disposition des utilisateurs (ordinateurs, imprimantes locales, priphriques, interfaces spcifiques, etc.) Services offerts sur sites Internet Environnement de travail des utilisateurs
Pour les services de scurit 43 services de scurit caractriss par 377 questions 74 scnarios de risques rpartis comme suit : 38 scnarios en disponibilit 15 scnarios en intgrit 21 scnarios en confidentialit
MHARI-Pro
3/13
La liste des services de scurit est donne lannexe A2 alors que les scnarios de risques sont dcrits dans le fichier Excel de MEHARI-Pro.
1.1.
Quelles que soient les orientations ou la politique, en matire de scurit de linformation, il y a un principe sur lequel tous les gestionnaires saccordent, cest celui de la juste proportion entre les moyens investis dans la scurit et la hauteur des enjeux de cette mme scurit. Lobjectif de lanalyse des enjeux est de rpondre cette double question :
Que peut-on redouter et, si cela devait arriver, serait-ce grave? (lorganisation serait-elle en mesure dy faire face?)
Tout comme pour MEHARI-Expert, MEHARI-Pro intgre un module danalyse des enjeux, qui aboutit deux types de rsultats : 1. Une chelle de valeurs des dysfonctionnements. 2. Une classification des informations et des actifs du systme dinformation. chelle de valeurs des dysfonctionnements La recherche des dysfonctionnements gnraux dans les processus oprationnels ou des vnements que lon peut redouter est une dmarche qui sexerce partir des activits de lorganisation. Une telle dmarche mne :
Une description des types de dysfonctionnements redouts pouvant affecter la disponibilit, lintgrit ou la confidentialit. Une dfinition des paramtres qui influencent la gravit de chaque dysfonctionnement.
Lvaluation des seuils dimpact ou de criticit de ces paramtres qui font passer la gravit des dysfonctionnements dun niveau un autre, cet ensemble de rsultats constitue une chelle de valeurs des dysfonctionnements. Classification des informations et des actifs Il est dusage, dans le domaine de la scurit de linformation, de parler de la classification des informations et des actifs du systme dinformation. Cette classification consiste dfinir pour chaque type de processus daffaires, linformation indispensable (actif primaire) et, pour chaque information, les systmes dinformation les supportant (actif de soutien) et, pour chacun des critres de classification (soit la Disponibilit, lIntgrit et la Confidentialit), des indicateurs reprsentatifs de la gravit dune atteinte ce critre pour cette information ou cet actif. La classification des informations et actifs est la traduction, pour les systmes dinformation, de lchelle de valeurs des dysfonctionnements, dfinie prcdemment, en indicateurs de sensibilit associs aux actifs du systme dinformation (aussi appel Sensibilit DIC ). Expression des enjeux de la scurit
MHARI-Pro
4/13
Lchelle de valeurs des dysfonctionnements et la classification des actifs sont deux manires distinctes dexprimer les enjeux de la scurit. La premire est plus dtaille et fournit plus de renseignements pour des responsables de scurit alors que la seconde est plus globale et facilite la communication sur le degr de sensibilit DIC des actifs, avec moins de prcision.
1.2.
MEHARI-Pro intgre des questionnaires de diagnostic extraits de MEHARI-Expert et tient compte de plusieurs mesures de scurit qui sont inspires dISO 270022. Les questionnaires permettent de mesurer la qualit des services effectivement en place de mme que le niveau de qualit des mcanismes et solutions mis en place pour rduire les risques.
1.3.
Lanalyse de risques est cite dans beaucoup douvrages sur la scurit de linformation, et notamment dans les normes ISO/IEC de la srie 27000, comme devant tre la base de lexpression des besoins de scurit. MEHARI propose, depuis plus de 15 ans, une approche structure du risque3 qui repose sur quelques lments simples. Pour lessentiel, une situation risque peut tre caractrise par divers facteurs :
Des facteurs structurels qui ne dpendent pas des mesures de scurit, mais du domaine daffaires de lentreprise, de son environnement et de son contexte. Des facteurs de rduction de risques qui sont, eux, directement fonction des mesures de scurit mises en place.
Prcisons simplement quune analyse des enjeux est ncessaire pour dterminer la gravit maximale des consquences dune situation risque, ce qui est typiquement un facteur structurel,
_______________________________ 2 Les mesures de scurit sont groupes par sous-services, qui sont regroups par services de scurit puis par domaines de scurit. 3 Le dtail du modle de risques est disponible dans le document Principes fondamentaux et spcifications fonctionnelles de MEHARI .
MHARI-Pro
5/13
alors que des diagnostics de scurit sont ncessaires pour valuer les facteurs de rduction de risques. MEHARI-Pro permet dvaluer ces facteurs et de porter un jugement sur le niveau de risques. MEHARI sappuie, pour cela, sur des outils (critres dapprciation, mthodes de calcul, etc.) et des bases de connaissances (en particulier pour les diagnostics de scurit) qui savrent indispensables en complment du cadre minimum propos par la norme ISO 27005.
1.4.
lissue de la phase danalyse des risques et des prises de dcision concernant le traitement des risques, lorganisation doit statuer sur un certain nombre dactions mener qui relve, selon le type de traitement retenu : De la mise en place de services de scurit, avec pour chacun, un objectif de niveau de qualit. De mesures structurelles visant rduire certaines expositions aux risques. De mesures organisationnelles visant viter certains risques.
Ceci tant dit, il doit tre clair que toutes ces actions ne seront sans doute pas menes simultanment ni toutes engages immdiatement, pour diverses raisons telles que la limitation des ressources budgtaires, lindisponibilit des ressources humaines, etc. Dans ces conditions, la phase dlaboration des plans daction doit inclure les tapes suivantes : le choix des objectifs prioritaires, en termes de services de scurit mettre en uvre (ou amliorer) et loptimisation de ce choix reposant sur les risques les plus levs attnuer et sur la capacit de lorganisation les mettre en uvre; la transformation des choix de services de scurit ( implanter ou amliorer) en plans
MHARI-Pro
6/13
daction concrets; le choix des mesures structurelles ventuelles et des mesures dvitement des risques; la validation des dcisions prcdentes par la haute direction. Contrle et pilotage de la gestion directe des risques
1.5.
Les contrles effectuer pour piloter la gestion directe des risques sont multiples et sont reprsents par le schma suivant :
Le premier niveau de contrle effectuer vise sassurer que les mcanismes et solutions de scurit planifis et dcids correspondent bien au niveau de qualit des services retenus et en phase de traitement des risques. Le deuxime contrle est un contrle de mise en uvre.
MHARI-Pro
7/13
Pour pouvoir vrifier chacun de ces aspects, des questions spcifiques devront tre poses. Il est alors ncessaire quil y ait une ligne directrice et un rpertoire des questions poser et qu ces questions soit associ un systme de cotation des rponses pour pouvoir qualifier de manire fiable et reproductive la qualit de chaque service de scurit. MEHARI-Pro comprend une base de questionnaires (qui est un extrait adapt de la base de MEHARIExpert 2010) ainsi quun systme de pondration dcrit dans le Guide du diagnostic de ltat des services de scurit et reposant sur les mmes prmisses.
Des indicateurs et un tableau de bord; Un systme de rapport; Un systme de revue priodique et de prise de dcision relative aux actions correctives ncessaires.
MHARI-Pro
8/13
MHARI-Pro
9/13
Tableau T1 Processus mtier, domaine applicatif ou domaine d'activit Services communs particulariser
Donnes Fichiers informatiques informatiques isoles, en transit
Types d'actifs D01 D01 D01 D02 D02 D02 D03 D03 D03 D04 D04 D04 Processus mtiers Domaine 1 : Domaine 2 : Domaine 3 : Domaine 4 : Domaine 5 : Domaine 6 : Domaine 7 : / Domaine N Processus transverses
D05
D05
D06
S01
S01
S02
S03
G01
MHARI-Pro
10/13
Annexe A2 Liste des 43 services de scurit appels par MEHARI-Pro (377 questions et descriptions)
MHARI-Pro
11/13
B - Gestion des supports informatiques de donnes et programmes 4B01 4C01 4C02 4C03 4C04 4C05 4C06 4C07 4C08 4D01 C - Continuit de fonctionnement
MHARI-Pro
12/13
MHARI-Pro
13/13