MEHARI-Pro Vue densemble et principes directeurs

Version 1,3

Novembre 2013

Club de la Scurit de lInformation du Qubec Tlphone : + 1 (418) 564-9244 Tlcopieur : + 1 (418) 614-0842 Courriel : administration@clusiq.org

Remerciements
LASIQ1 tient mettre ici lhonneur les personnes qui ont rendu possible la ralisation de ce document, tout particulirement : Sylvain Simon Dominique Olivier Colette Martine Christophe Jean-Philippe Chantale Jean-Louis Claude Bertrand Borduas Buc Corbier Fournier Gagn Jolivet Jouas Pineault Roule Taillon Hydro Qubec Conseiller en gestion de risque BUC S.A. Docapost Responsable de lEspace Mthodes du Clusif Hydro Qubec Conseillre en gestion de risque Pr4gm4 Fondateur de la mthode et membre honoraire de lASIQ AGRM Protection de linformation Responsable du Groupe de Travail Documentation de MEHARI, au sein du Clusif Conseiller en scurit de linformation

MEHARI est une marque dpose par le CLUSIF. MEHARI-Pro a t dvelopp par lASIQ, en collaboration avec le Clusif

_______________________________
1

ASIQ : Association de scurit de linformation du Qubec

MHARI-Pro

Sommaire
Introduction ................................................................................................................................................ 1 Principes directeurs ........................................................................................................................................... 1 Vue densemble de MEHARI-Pro ..................................................................................................................... 2 1.1. Lanalyse des enjeux .......................................................................................................................... 4 1.2. Les diagnostics des services de scurit ......................................................................................... 5
1.2.1 Le diagnostic de scurit, lment cl dune analyse des risques ................................... 5

1.3. Lanalyse (ou apprciation) des risques .......................................................................................... 5

1.3.1 Lanalyse systmatique des situations de risques .............................................................. 6

1.4. Le plan daction en scurit de linformation ................................................................................ 6 1.5. Contrle et pilotage de la gestion directe des risques................................................................... 7
1.5.1 1.5.2 1.5.3 Contrle du niveau de qualit des services retenus ........................................................... 7 Contrle de la mise en uvre des services de scurit ...................................................... 8 Pilotage global associ la gestion des risques ................................................................. 8

Annexe A1 : Typologie dactifs (T1) de la base de connaissances de MEHARI-Pro ................................ 9 Annexe A2 : Liste des 43 services de scurit appels par MEHARI-Pro ............................................... 11

MEHARI-Pro

ii

Introduction
MEHARI-Pro fait partie de lensemble des mthodes danalyse de risques dveloppes partir du modle danalyse de risques cr par Jean-Philippe Jouas et Albert Harari en 1992, modle utilis par le CLUSIF, pour MEHARI, depuis 1996. MEHARI-Pro est une mthode rigoureuse de gestion de risque destine aux professionnels de la scurit. Elle vise principalement les petites ou moyennes organisations, prives ou publiques, ou encore les organisations plus importantes qui souhaitent, au moins dans un premier temps, avoir une vision et une analyse globale de leurs risques sans entrer dans le dtail de linfrastructure et du fonctionnement des systmes dinformation et de communication. MEHARI-Pro est une mthodologie base sur les mmes processus danalyse et dvaluation des risques que lensemble des variantes de MEHARI en utilisant une base de connaissances spcifiques adapte la cible vise. Ses domaines dapplication, sont principalement :

La gestion permanente des risques auxquels lorganisation est confronte Lanalyse ponctuelle des risques induits par une nouvelle application, de nouvelles fonctionnalits dun systme dinformation ou la mise en place dun nouveau systme dinformation;

Le premier objectif de MEHARI-Pro est de fournir une mthode danalyse et de gestion des risques et, plus particulirement pour le domaine de la scurit de linformation, une mthode conforme aux exigences de la norme ISO/IEC 27005:2008, avec lensemble des outils et moyens requis pour :

Identifier de manire prcise et exhaustive les situations de risque auxquelles lorganisation doit faire face. Permettre une analyse directe et individualise des situations de risque dcrites par des scnarios de risque. Proposer des mesures de scurit permettant de rduire les risques jugs inacceptables et permettre den valuer leffet sur les niveaux de risques rsiduels.

cet objectif premier sajoute lobjectif complmentaire de fournir une gamme doutils adapte la gestion de la scurit de linformation, et ce, quels que soient les types dactions envisags. Compte-tenu de ces objectifs, MEHARI-Pro propose un ensemble mthodologique cohrent, faisant appel des bases de connaissances adaptes et capables daccompagner les responsables de la scurit dans leurs diffrentes dmarches et actions, incluant des acteurs impliqus dans la gestion des risques.

Principes directeurs
Cette dclinaison de MEHARI, comme toutes les autres, respecte les principes directeurs suivants :

Identifier les situations de risque par une dmarche structure et arborescente partant des activits de lorganisation et en recherchant les dysfonctionnements possibles et leurs causes.

MHARI-Pro

1/13

valuer les consquences dun risque potentiel partir dune classification des actifs, ellemme base sur les impacts maximum des risques sur les processus daffaires de lorganisation. valuer la probabilit de survenance dun risque partir de la potentialit initiale doccurrence de lvnement. Tenir compte, dans lvaluation dun risque, non seulement des mesures de scurit existantes mais aussi de leur niveau de qualit et defficacit. Appuyer lvaluation de la qualit des mesures de scurit en place (ou prvues) sur une base de connaissance apportant lexpertise requise.

Vue densemble de MEHARI-Pro

MEHARI-Pro consiste :

procder lanalyse des enjeux et la classification des actifs de lorganisation (DIC); procder un diagnostic de la qualit des services de scurit en place (vulnrabilit); identifier les scnarios de risques plausibles pouvant altrer la qualit (DIC) ou le fonctionnement des actifs impliqus; identifier les mesures de scurit mettre en place pour rduire la gravit des risques non acceptables et dcider des actions entreprendre sur les autres risques; laborer un plan daction priorisant les mesures ayant le plus grand effet sur lattnuation des risques.

Le schma ci-dessous rsume la dmarche.

Phase 1 Phase 4

Analyse des enjeux et classification

Phase 2

Diagnostic des services de scurit

Phase 3

laboration des plans de scurit

Analyse des risques

Les forces de lapproche actuelle de MEHARI-Pro :

Simplicit de lapplication de la mthode; Rigueur de lapproche mthodologique;

MHARI-Pro

2/13

Richesse et cohrence de sa base de connaissances qui est une extraction de celle de MEHARI-EXPERT; Prise en compte des niveaux de qualit des mesures de scurit pour valuer les risques rsiduels (en effet, lefficacit des mesures de scurit pour rduire les risques dpend des mcanismes adopts et de leur robustesse) Prise en compte des niveaux defficacit dune mesure de scurit pour diminuer les risques (en effet, certaines mesures de scurit apportent plus de valeur ajoute); Facilit, pour un non-spcialiste, de bien analyser les situations et de proposer des mesures tenant compte de la maturit et de la capacit de lorganisation mettre en uvre les solutions proposes; Simplicit dillustration de la progression en matire de gestion de risques de lorganisation.

MEHARI-Pro se caractrise comme suit : Pour les actifs (voir annexe A1)

6 actifs de type donnes et informations soit : Fichiers informatiques (applicatifs) Donnes informatiques isoles quelles soient stockes, temporaires ou en transit Fichiers bureautiques Courrier lectronique Documents non informatiques, imprims ou manuscrits Informations publies ou services accessibles sur un serveur Internet

4 actifs de type services soit : Services informatiques et de tlcommunication quipements mis la disposition des utilisateurs (ordinateurs, imprimantes locales, priphriques, interfaces spcifiques, etc.) Services offerts sur sites Internet Environnement de travail des utilisateurs

Pour les services de scurit 43 services de scurit caractriss par 377 questions 74 scnarios de risques rpartis comme suit : 38 scnarios en disponibilit 15 scnarios en intgrit 21 scnarios en confidentialit

MHARI-Pro

3/13

La liste des services de scurit est donne lannexe A2 alors que les scnarios de risques sont dcrits dans le fichier Excel de MEHARI-Pro.

1.1.

Lanalyse des enjeux

Quelles que soient les orientations ou la politique, en matire de scurit de linformation, il y a un principe sur lequel tous les gestionnaires saccordent, cest celui de la juste proportion entre les moyens investis dans la scurit et la hauteur des enjeux de cette mme scurit. Lobjectif de lanalyse des enjeux est de rpondre cette double question :

Que peut-on redouter et, si cela devait arriver, serait-ce grave? (lorganisation serait-elle en mesure dy faire face?)
Tout comme pour MEHARI-Expert, MEHARI-Pro intgre un module danalyse des enjeux, qui aboutit deux types de rsultats : 1. Une chelle de valeurs des dysfonctionnements. 2. Une classification des informations et des actifs du systme dinformation. chelle de valeurs des dysfonctionnements La recherche des dysfonctionnements gnraux dans les processus oprationnels ou des vnements que lon peut redouter est une dmarche qui sexerce partir des activits de lorganisation. Une telle dmarche mne :

Une description des types de dysfonctionnements redouts pouvant affecter la disponibilit, lintgrit ou la confidentialit. Une dfinition des paramtres qui influencent la gravit de chaque dysfonctionnement.

Lvaluation des seuils dimpact ou de criticit de ces paramtres qui font passer la gravit des dysfonctionnements dun niveau un autre, cet ensemble de rsultats constitue une chelle de valeurs des dysfonctionnements. Classification des informations et des actifs Il est dusage, dans le domaine de la scurit de linformation, de parler de la classification des informations et des actifs du systme dinformation. Cette classification consiste dfinir pour chaque type de processus daffaires, linformation indispensable (actif primaire) et, pour chaque information, les systmes dinformation les supportant (actif de soutien) et, pour chacun des critres de classification (soit la Disponibilit, lIntgrit et la Confidentialit), des indicateurs reprsentatifs de la gravit dune atteinte ce critre pour cette information ou cet actif. La classification des informations et actifs est la traduction, pour les systmes dinformation, de lchelle de valeurs des dysfonctionnements, dfinie prcdemment, en indicateurs de sensibilit associs aux actifs du systme dinformation (aussi appel Sensibilit DIC ). Expression des enjeux de la scurit

MHARI-Pro

4/13

Lchelle de valeurs des dysfonctionnements et la classification des actifs sont deux manires distinctes dexprimer les enjeux de la scurit. La premire est plus dtaille et fournit plus de renseignements pour des responsables de scurit alors que la seconde est plus globale et facilite la communication sur le degr de sensibilit DIC des actifs, avec moins de prcision.

1.2.

Les diagnostics des services de scurit

MEHARI-Pro intgre des questionnaires de diagnostic extraits de MEHARI-Expert et tient compte de plusieurs mesures de scurit qui sont inspires dISO 270022. Les questionnaires permettent de mesurer la qualit des services effectivement en place de mme que le niveau de qualit des mcanismes et solutions mis en place pour rduire les risques.

1.2.1 Le diagnostic de scurit, lment cl dune analyse des risques

Disons simplement, ce niveau, que le modle de risque prend en compte des facteurs de rduction de risque qui sont concrtiss par lexistence des services de scurit en place. Le diagnostic de ces services sera donc, lors de lanalyse des risques, un lment important dassurance que les services en place remplissent bien leur rle, ce qui est essentiel pour quune analyse de risque soit crdible et fiable. MEHARI-Pro sappuie sur une base de diagnostic reconnue dvaluation de la qualit des mesures de scurit en place ou planifies, ce qui en fait une mthode crdible lors de lvaluation des risques et de la planification des plans daction.

1.3.

Lanalyse (ou apprciation) des risques

Lanalyse de risques est cite dans beaucoup douvrages sur la scurit de linformation, et notamment dans les normes ISO/IEC de la srie 27000, comme devant tre la base de lexpression des besoins de scurit. MEHARI propose, depuis plus de 15 ans, une approche structure du risque3 qui repose sur quelques lments simples. Pour lessentiel, une situation risque peut tre caractrise par divers facteurs :

Des facteurs structurels qui ne dpendent pas des mesures de scurit, mais du domaine daffaires de lentreprise, de son environnement et de son contexte. Des facteurs de rduction de risques qui sont, eux, directement fonction des mesures de scurit mises en place.

Prcisons simplement quune analyse des enjeux est ncessaire pour dterminer la gravit maximale des consquences dune situation risque, ce qui est typiquement un facteur structurel,
_______________________________ 2 Les mesures de scurit sont groupes par sous-services, qui sont regroups par services de scurit puis par domaines de scurit. 3 Le dtail du modle de risques est disponible dans le document Principes fondamentaux et spcifications fonctionnelles de MEHARI .

MHARI-Pro

5/13

alors que des diagnostics de scurit sont ncessaires pour valuer les facteurs de rduction de risques. MEHARI-Pro permet dvaluer ces facteurs et de porter un jugement sur le niveau de risques. MEHARI sappuie, pour cela, sur des outils (critres dapprciation, mthodes de calcul, etc.) et des bases de connaissances (en particulier pour les diagnostics de scurit) qui savrent indispensables en complment du cadre minimum propos par la norme ISO 27005.

1.3.1 Lanalyse systmatique des situations de risque s

Pour rpondre la question quels risques lorganisation est-elle expose et ces risques sont-ils acceptables? , une mthode structure consiste valuer toutes les situations de risque potentielles, identifier individuellement les plus critiques, puis dcider des actions mener afin de les ramener un niveau acceptable. MEHARI-Pro permet de raliser cette analyse et les bases de connaissance ont t dveloppes afin datteindre cet objectif. Dans cette utilisation de MEHARI, laccent est mis sur lassurance que les situations critiques les plus souvent rencontres ont t prises en compte et sont bien couvertes par un plan daction. Cette mthode sappuie sur une base de connaissances de situations de risques et sur des mcanismes dvaluation des facteurs caractrisant chaque risque et permettant den apprcier le niveau. La mthode fournit, en outre, des aides pour dfinir les plans de traitement adapts. Actuellement, avec la base de connaissance, le processus dapprciation des risques est soutenu par un ensemble de fonctions de la base de connaissances (Microsoft Excel) permettant dintgrer les rsultats des divers modules de MEHARI (classification des actifs rsultant de lanalyse des enjeux et diagnostics de scurit des diffrents services de scurit). Ces fonctions permettent dvaluer les niveaux de risques actuels et de proposer des mesures additionnelles pour rduire la gravit des scnarios de risques. Ultrieurement, il sera possible dutiliser un outil logiciel offrant une assistance volue et permettant de faire des simulations, des visualisations et des optimisations.

1.4.

Le plan daction en scurit de linformation

lissue de la phase danalyse des risques et des prises de dcision concernant le traitement des risques, lorganisation doit statuer sur un certain nombre dactions mener qui relve, selon le type de traitement retenu : De la mise en place de services de scurit, avec pour chacun, un objectif de niveau de qualit. De mesures structurelles visant rduire certaines expositions aux risques. De mesures organisationnelles visant viter certains risques.

Ceci tant dit, il doit tre clair que toutes ces actions ne seront sans doute pas menes simultanment ni toutes engages immdiatement, pour diverses raisons telles que la limitation des ressources budgtaires, lindisponibilit des ressources humaines, etc. Dans ces conditions, la phase dlaboration des plans daction doit inclure les tapes suivantes : le choix des objectifs prioritaires, en termes de services de scurit mettre en uvre (ou amliorer) et loptimisation de ce choix reposant sur les risques les plus levs attnuer et sur la capacit de lorganisation les mettre en uvre; la transformation des choix de services de scurit ( implanter ou amliorer) en plans

MHARI-Pro

6/13

daction concrets; le choix des mesures structurelles ventuelles et des mesures dvitement des risques; la validation des dcisions prcdentes par la haute direction. Contrle et pilotage de la gestion directe des risques

1.5.

Les contrles effectuer pour piloter la gestion directe des risques sont multiples et sont reprsents par le schma suivant :

Traitement des risques

Services de scurit dployer et niveaux objectifs

Choix des mcanismes et solutions

Contrle de niveau : solutions vs objectif

Dploiement des solutions

Contrle de mise en uvre

Le premier niveau de contrle effectuer vise sassurer que les mcanismes et solutions de scurit planifis et dcids correspondent bien au niveau de qualit des services retenus et en phase de traitement des risques. Le deuxime contrle est un contrle de mise en uvre.

1.5.1 Contrle du niveau de qualit des services retenus

Ce contrle cherche savoir comment le personnel technique en charge de dfinir les mcanismes et solutions mettre en uvre va pouvoir le faire avec une connaissance suffisante de limpact de leurs dcisions sur le niveau de qualit du service qui sera obtenu une fois implant. Par ailleurs, un contrle a posteriori sera ncessaire et ce contrle devra tre effectu par du personnel qui ne sera pas obligatoirement un technicien confirm et dexprience. Cela conduit la ncessit dune base dexpertise ou base daudit des services de scurit qui permettra des choix appropris lors de la phase de dfinition des mcanismes et des solutions mettre en uvre, dune part, et un contrle a posteriori, dautre part. Justification de la ncessit dune base daudit des services de scurit Dans les principes de MEHARI, et bien entendu dans ses bases de connaissances, la qualit des services de scurit comprend trois aspects que sont leur efficacit, leur robustesse et leur mise sous contrle.

MHARI-Pro

7/13

Pour pouvoir vrifier chacun de ces aspects, des questions spcifiques devront tre poses. Il est alors ncessaire quil y ait une ligne directrice et un rpertoire des questions poser et qu ces questions soit associ un systme de cotation des rponses pour pouvoir qualifier de manire fiable et reproductive la qualit de chaque service de scurit. MEHARI-Pro comprend une base de questionnaires (qui est un extrait adapt de la base de MEHARIExpert 2010) ainsi quun systme de pondration dcrit dans le Guide du diagnostic de ltat des services de scurit et reposant sur les mmes prmisses.

1.5.2 Contrle de la mise en uvre des services de scurit

Il est bien clair que la mise en uvre effective des services de scurit dfinis prcdemment devra tre contrle. On sera souvent amen constater des situations dans lesquelles des services de scurit ont t partiellement dploys et o leur mise en uvre nest pas totalement conforme aux dcisions prises au pralable. Du point de vue de la gestion des risques la conduite tenir dans de tels cas est explicite dans la documentation daccompagnement de la mthode.

1.5.3 Pilotage global associ la gestion des risques

Le pilotage global de la gestion directe des risques ressemble tout pilotage de projet et comprend :

Des indicateurs et un tableau de bord; Un systme de rapport; Un systme de revue priodique et de prise de dcision relative aux actions correctives ncessaires.

MHARI-Pro

8/13

Annexe A1 Typologie dactifs (T1) de la base de connaissances de MEHARI-Pro

MHARI-Pro

9/13

Tableau T1 Processus mtier, domaine applicatif ou domaine d'activit Services communs particulariser
Donnes Fichiers informatiques informatiques isoles, en transit

Actifs de type donnes

Documents Fichiers bureautiques Courrier lectronique non informatiques, imprims ou manuscrits Informations ou services offerts sur Internet Services informatiques et de tlcommunication

Actifs de type service

Equipements mis la disposition des utilisateurs Services offerts sur sites Internet Services gnraux environnement de travail

Types d'actifs D01 D01 D01 D02 D02 D02 D03 D03 D03 D04 D04 D04 Processus mtiers Domaine 1 : Domaine 2 : Domaine 3 : Domaine 4 : Domaine 5 : Domaine 6 : Domaine 7 : / Domaine N Processus transverses

D05

D05

D06

S01

S01

S02

S03

G01

Classification pour l'ensemble Classification pour le primtre choisi

MHARI-Pro

10/13

Annexe A2 Liste des 43 services de scurit appels par MEHARI-Pro (377 questions et descriptions)

MHARI-Pro

11/13

SERVICES ET SOUS-SERVICES DE SCURIT

01 Organisation de la scurit (01 Org)

A - Rles et structures de la scurit 1A01 1A02 1A03 1B01 Organisation et pilotage de la scurit des systmes d'information Systme gnral de dclaration et de gestion des incidents Gestion des prestataires ou fournisseurs de services externes Prise en compte de la scurit dans les relations avec le personnel informatique (salaris et prestataires)

B - Gestion des ressources humaines et des prestataires

02 Scurit physique (02 Phy)

A - Protection contre les risques environnementaux divers 2A01 2A02 2A03 2B01 2B02 2B03 2C01 2C02 Analyse et traitement des risques environnementaux divers Continuit de la fourniture d'nergie Scurit des quipements de servitude Contrle des accs aux locaux sensibles Dtection des intrusions dans les locaux sensibles Surveillance des locaux sensibles Conservation et protection des documents et supports amovibles importants Scurisation du circuit de cration, de diffusion et de destruction des documents

B - Contrle des accs physiques

C - Protection de l'information crite

03 Scurit des systmes et de leur architecture (03 Sys)

A - Contrle d'accs aux systmes, applications et donnes informatiques 3A01 3A02 Contrle des accs internes aux systmes, aux applications et donnes (gestion des droits, authentification et filtrage) Contrle des accs externes au rseau interne Sret de fonctionnement des lments d'architecture Scurit des serveurs de site Internet

B - Scurit de l'architecture 3B01 3B02

04 Exploitation des systmes d'information et de communication (04 Exp)

A - Scurit des procdures d'exploitation des systmes d'information et de communication 4A01 4A02 Contrle de la mise en production de nouveaux systmes ou d'volutions de systmes existants Prise en compte de la confidentialit lors des oprations de maintenance sur les systmes et les postes utilisateurs Scurit physique des supports Organisation de la maintenance des systmes (matriel et logiciel) Procdures et plans de reprise des applications sur incidents d'exploitation Sauvegarde des configurations logicielles (logiciels de base et applicatifs et paramtres de configuration, configurations des postes utilisateurs) Sauvegarde des donnes (des serveurs applicatifs et bureautiques) Plans de Reprise d'Activit des services informatiques Protection antivirale des serveurs et des postes de travail Maintien des comptes d'accs Gestion des personnels critiques (vis--vis de la continuit des oprations) Surveillance des actions sensibles

B - Gestion des supports informatiques de donnes et programmes 4B01 4C01 4C02 4C03 4C04 4C05 4C06 4C07 4C08 4D01 C - Continuit de fonctionnement

D - Surveillance des actions sensibles

MHARI-Pro

12/13

05 Scurit applicative et continuit de l'activit (05 App)

A - Contrle de l'intgrit des donnes 5A01 5A02 5A03 5A04 5B01 5B02 5C01 5D01 5D02 Scellement des donnes sensibles Protection de l'intgrit des donnes changes Contrles permanents (vraisemblance...) sur les donnes et traitements Contrle des fonctions de calcul ou des programmes utilisateurs Chiffrement des changes Chiffrement des donnes stockes Gestion des contrles d'accs aux donnes Plans de continuit de l'activit Plans de Reprise de l'Environnement de Travail (PRET)

B - Contrle de la confidentialit des donnes

C - Disponibilit des donnes D - Continuit de fonctionnement

06 Protection des postes de travail utilisateurs (06 Mic)

A - Protection des postes de travail 6A01 6A02 6B01 6B02 6B03 6B04 Contrle d'accs au poste de travail Travail en dehors des locaux de l'entreprise Protection de la confidentialit des donnes contenues sur le poste de travail ou sur un serveur de donnes (disque logique pour le poste de travail) Protection de l'intgrit des fichiers contenus sur le poste de travail ou sur un serveur de donnes (disque logique pour le poste de travail) Scurit de la messagerie lectronique (courriels) et des changes lectroniques d'information Sauvegarde des donnes utilisateurs stockes sur les postes de travail

B - Protection des donnes du poste de travail

MHARI-Pro

13/13