Mehari 2010 Anarisk

METHODES
MEHARI 2010
Guide de lanalyse et du traitement des risques

Janvier 2010

Espace Mthodes

CLUB DE LA SECURITE DE LINFORMATION FRANAIS
30, rue Pierre Smard, 75009 PARIS
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr
MEHARI est une marque dpose par le CLUSIF.

La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal

MEHARI 2010 : Guide de lanalyse 3/28 CLUSIF 2010
et du traitement des risques
Remerciements
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :

Jean-Philippe Jouas Responsable de lEspace Mthodes
Responsable du Groupe de Travail Principes, Mcanismes et Ba-
ses de connaissances de MEHARI
Jean-Louis Roule Responsable du Groupe de Travail Documentation de MEHARI
Dominique Buc BUC S.A.
Olivier Corbier Docapost
Louise Doucet Ministre des Services gouvernementaux du Qubec
Martine Gagn HydroQubec
Mose Hazzan Ministre des Services gouvernementaux du Qubec
Grard Molines Molines Consultants
Chantale Pineault AGRM
Luc Poulin CRIM
Pierre Sasseville Ministre des Services gouvernementaux du Qubec
Claude Taillon Ministre de l'ducation, du Loisir et du Sport du Qubec
Marc Touboul BULL SA

Sommaire
1 Introduction............................................................................................................................. 5
1.1 Gestion directe et individuelle des risques ou gestion globale......................................... 5
1.2 Rappel des principes gnraux de MEHARI......................................................................... 6
1.3 Schma gnral de planification du traitement des risques............................................... 7
2 Lapprciation des risques .................................................................................................... 8
2.1 Lidentification des risques .................................................................................................... 8
2.1.1 Les scnarios de risque de la base de connaissances....................................................................8
2.1.2 Slection des scnarios de risque ......................................................................................................9
2.2 Lestimation des risques identifis........................................................................................ 9
2.2.1 valuation de la potentialit intrinsque.......................................................................................10
2.2.2 valuation de limpact intrinsque.................................................................................................11
2.2.3 valuation des facteurs de rduction de risque partir dun audit de scurit MEHARI...13
2.2.4 valuation de la potentialit et de limpact rsiduels..................................................................15
2.3 valuation de la gravit du scnario................................................................................... 17
3 Le traitement des risques ..................................................................................................... 18
3.1 Slection de plans daction par famille de scnarios ........................................................ 18
3.2 Dfinition et slection de projets........................................................................................ 19
3.3 Besoin de service................................................................................................................... 19
3.4 Autres dmarches.................................................................................................................. 19
4 Conseils pratiques ................................................................................................................. 20
4.1 Esprit de la dmarche danalyse de risque......................................................................... 20
4.2 Composition du groupe dvaluation des risques ............................................................ 20
4.3 Contrle des automatismes ................................................................................................. 20
Annexe 1 : Grille dexposition naturelle standard ................................................................................. 21
Annexe 2 : Dfinition des niveaux dexposition naturelle.................................................................... 22
Annexe 3 : Tableau dimpact intrinsque................................................................................................ 23
Annexe 4 : Dfinition des niveaux de facteurs de rduction de risque .............................................. 24
Annexe 5 : Grilles dvaluation standards............................................................................................... 26

1 Introduction
Ce guide est destin aider les responsables souhaitant engager, avec laide de MEHARI, une
dmarche de gestion de risques dans leur entreprise ou organisme.
MEHARI se distingue par le fait quelle permet une gestion directe et individuelle des risques,
par opposition aux mthodes de gestion globale et moins diffrencie (des risques).
1.1 Gestion directe et individuelle des risques ou gestion
globale
En effet, on peut distinguer deux grands types de gestion des risques :
Un premier type de gestion consiste identifier toutes les situations de risque, analyser
chaque situation de risque identifie et prendre des dcisions spcifiques et adaptes
chacune delles, avec une forte implication de la Direction dans la gestion des risques
Un deuxime type de gestion qui, au contraire, sappuie sur une analyse plus gnrale
afin de dfinir des objectifs et des directives de scurit propres rduire globalement
les risques, sans gestion directe et individualise des risques, et sans doute avec une
moindre intervention de la Direction.
Une analyse dtaille de ces types de gestion est donne dans le document: La gestion des
risques Concepts et mthodes publi en 2009 et disponible sur le site du Clusif.
Un tableau comparatif de ces deux types de gestion est donn ci-dessous.

Gestion directe et individuelle des
risques
Gestion globale et indirecte des ris-
ques
Avantages Identification et analyse de toutes
les situations de risques
valuation prcise du niveau de
risque de chaque situation
Evaluation prcise de leffet des
mesures de scurit sur les ni-
veaux de chaque situation de ris-
que
Reprsentation simple des risques
Facilit dassimilation des concepts
Facilit de communication sur les ris-
ques
Passage ais des risques aux mesures
mettre en uvre
Inconvnients Ncessit dun modle complet de
reprsentation du risque
Ncessit de reprsenter chaque si-
tuation de risque dans sa com-
plexit
Possibilit dignorer des situations de
risques ventuellement graves
Absence de jugement prcis sur les
niveaux de gravit des risques
Possibles surcots dans les traite-
ments des risques

MEHARI est clairement positionn comme un cadre mthodologique adapt la gestion directe
des risques des entreprises ou des organismes et les dmarches que nous introduisons plus
loin sont strictement dans ce cadre.

1.2 Rappel des principes gnraux de MEHARI
Le choix de loption de gestion directe des risques conduit dfinir un certain nombre de
principes et de spcifications, dcrits dans le document MEHARI 2010 Principes fonda-
mentaux et spcifications fonctionnelles .
Lessentiel peut se rsumer ceci :
Les risques doivent tre identifis et dcrits par des scnarios contenant un certain nombre
dlments prcis
Chaque scnario de risque peut tre valu quantitativement et cette valuation prend en
compte :
Limpact intrinsque du scnario de risque qui reflte le niveau de consquence du
scnario, sil se ralise, en labsence de toute mesure de scurit
La potentialit intrinsque du scnario (ou exposition naturelle au scnario), qui
reflte le niveau de probabilit de survenance du scnario, en labsence de toute
mesure de scurit
Des facteurs de rduction de risque, diffrencis par leur type deffet sur limpact
ou la potentialit, facteurs qui dpendent des mesures de scurit et de la qualit de
ces mesures
Le processus dvaluation de chaque scnario de risque permet de slectionner des mesures
de scurit, et des objectifs qualitatifs pour ces mesures, tels que le risque puisse tre
maintenu un niveau acceptable.

Nous nous alignerons, pour prsenter la dmarche MEHARI, sur lorganisation dcrite dans la
norme ISO/IEC 27005 et reprsente schmatiquement ci-dessous.
Identification
Quels risques ?
Estimation
Quelle gravit ?
valuation
Acceptabilit ?
Apprciation du risque
Acceptation Rduction Transfert vitement
Traitement du risque
Plans
daction
Mise en
uvre
Contrle et
pilotage
Gestion des risques

Figure 1 Etapes dans la gestion des risques
Ce schma fait apparatre trois grandes phases, les deux premires constitues de
lapprciation des risques et de llaboration des plans de traitement des risques correspondant
la partie planification (plan) de la norme ISO/IEC 27001 et une phase de mise en uvre qui
comprend elle-mme, au sens de cette mme norme, les aspects de dploiement ( do ), de
contrle ( check ), et enfin damlioration et de correction ventuelle ( act ).
Les diffrences principales entre les diverses dmarches adaptes la gestion directe et indi-
vidualise des risques rsident essentiellement dans la phase de planification, par la manire
dapprcier chaque risque et de dfinir le plan de traitement adapt chacun.

1.3 Schma gnral de planification du traitement des
risques
La figure 2 dcrit lensemble des tapes constituant les phases dapprciation des risques et
dlaboration des plans de traitement correspondants.
Chacune de ces tapes est dcrite, justifie et commente dans le document dj cit
MEHARI 2010 Principes fondamentaux et spcifications fonctionnelles .
Etapes et exigences bases et actions Application particulire rsultat
Analyse des besoins :
services
donnes
processus de gestion
Typologie et liste
dactifs
primaires
Analyse des actifs :
actifs secondaires
vulnrabilits intrinsques
Analyse des menaces :
vnements dclencheurs
acteurs
conditions de survenance
Liste de scnarios
de risque valuer
Dommages
potentiels
Analyse des enjeux :
chelle de valeur des
dysfonctionnements
classification des actifs
Analyse de la potentialit
Intrinsque :
exposition naturelle
Analyse des facteurs de
rduction des risques possibles :
services de scurit pertinents
effets des services de scurit
Base de
connaissance
des scnarios
Audit des
Services de scurit
Analyse des services de scurit
facteurs de qualit
Base daudit
des services
de scurit
Analyse des facteurs de
Rduction de risque pour
Chaque scnario de risque
Plan de traitement
(individualis)
des risques
Processus dlaboration
dune base de connaissances
Processus danalyse et
de traitement des risques
Apprciation individuelle
de chaque scnario
de risque

Figure 2 :Schma gnral de planification du traitement des risques
Cette figure montre que les exigences et les tapes danalyse sont communes nombre
dentits et permettent de btir des dmarches, des bases et des outils dutilisation gnrale fa-
cilitant une application ultrieure chaque environnement particulier. Ceci nous amne
considrer que les deux premires colonnes correspondent en fait ltablissement dune base
de connaissances et quil convient ds lors de considrer sparment deux types dactivits :
La construction dune base de connaissances de scnarios de risque
Lanalyse et le traitement des risques avec laide de cette base de connaissances
Le prsent document traite de la gestion des risques (analyse et laboration des plans de trai-
tement) en sappuyant sur la base de connaissances de MEHARI, le guide relatif la construc-
tion dune base de connaissance tant report dans un autre document ( paratre).

2 Lapprciation des risques
Lapprciation des risques comprend :
Lidentification des risques
Lestimation des risques
Lvaluation des risques
2.1 Lidentification des risques
Lidentification des risques est un processus qui, pour lessentiel, peut tre ralis partir
dune base de connaissances. En effet, outre que peu de risques sont rellement spcifiques
dune entreprise ou dune organisation, les situations de risque auxquelles lentreprise ou
lorganisme sont confrontes sont relativement peu volutives.
MEHARI propose une base de connaissances de scnarios de risque utilisable par la trs grande
majorit des organismes. Il est nanmoins possible de dvelopper des variantes, de complter
cette base, ou den dvelopper de nouvelles, en sappuyant sur un guide spcifique.
Pour la suite de ce document, nous considrerons que la base de connaissances MEHARI 2010
est utilise.
2.1.1 Les scnarios de risque de la base de connaissances
Les situations de risque standards sont donc dcrites par des scnarios de risque qui contien-
nent les lments suivants :
Un indicateur de classement des scnarios en familles de scnarios
Le type dactif (primaire)
Le type de vulnrabilit intrinsque, ceci incluant :
Le type dactif secondaire
Le type de dommage subi
Le critre concern (DIC)
Le type de menace, ceci incluant :
Le type dvnement dclencheur
Les circonstances de dclenchement (ventuellement)
Le type dacteur (ventuellement)
Un descriptif du scnario, sous forme de texte
La justification de ces divers lments est fournie dans le document MEHARI 2010, Principes
fondamentaux et spcifications fonctionnelles .
La base de connaissances de MEHARI 2010 contient prs de 800 scnarios de risque standards.
Parmi tous ces scnarios, certains peuvent tre rellement critiques et mritent un examen d-
taill, dautres, au contraire, peuvent ne pas tre pertinents pour lentit ou ne pas mriter que
lon sy attarde.
Une slection peut donc savrer souhaitable.

2.1.2 Slection des scnarios de risque
Il peut tre jug souhaitable deffectuer une slection de scnarios avant daborder une esti-
mation approfondie de leur gravit et un plan de traitement des risques.
Les critres de slection des scnarios pertinents peuvent tre :
La gravit intrinsque des scnarios
Certaines formes dactifs
Certains types dvnement
Certains types de circonstances ou dacteurs
La base de connaissances permet deffectuer cette slection.

Mise en pratique avec la base de connaissance MEHARI sous Excel
En pratique, la feuille de calcul Scnarios de la base comprend une colonne Slection
et des possibilits de filtrage (standard Excel).
Le processus est alors le suivant :
Slectionner le paramtre sur lequel on veut effectuer un filtrage et la valeur de ce pa-
ramtre liminer
Forcer 0 dans la colonne Slection une fois le filtrage effectu
Supprimer le filtrage (slectionner tous pour le paramtre)
2.2 Lestimation des risques identifis
Rappelons, en introduction, le schma global de lestimation dun risque, tel que cela a t
prsent et justifi dans le document MEHARI 2010 - Principes fondamentaux et spcifica-
tions fonctionnelles :

Figure 3 : Le processus destimation dun risque

Analyse des consquences du
type de dommage sur lactif
concern (primaire et secondaire)
Impact
intrinsque
Analyse des paramtres
de la menace
Potentialit
intrinsque
Analyse des effets dissuasifs et
prventifs induits par les mesures
de scurit existantes
Facteurs de
rduction de
potentialit
Potentialit
rsiduelle
Analyse des effets de confinement
et palliatifs induits par les mesures
de scurit existantes
Facteurs de
rduction de
limpact
Impact
rsiduel
Risque
apprci
Gravit
du risque

MEHARI propose, par ses bases de connaissances, plusieurs types dassistance lestimation
dun risque :
Une assistance lvaluation de la potentialit intrinsque
Un tableau gnrique dimpact intrinsque pouvant tre labor la suite dune classifica-
tion ou directement partir dune chelle de valeurs de dysfonctionnements.
Des automatismes dvaluation des facteurs de rduction des risques (dissuasion, pr-
vention, protection et palliation) en fonction de la qualit des services de scurit, si
celle-ci a t value par un audit MEHARI.
Des automatismes de calcul de la potentialit et de limpact rsiduels, en fonction de la
potentialit intrinsque, de limpact intrinsque et des facteurs dattnuation des risques.
Une assistance lvaluation de la gravit rsultante du risque.
2.2.1 valuation de la potentialit intrinsque
La potentialit intrinsque est une valuation de la probabilit de survenance de la menace, en
dehors de toute mesure de scurit.
Nous appelons galement ce facteur Exposition naturelle , ce qui dit bien le sens donn
cette expression.
La potentialit intrinsque dune menace nest pas une constante absolue et peut varier dune
entreprise une autre et, pour une mme entreprise, en fonction de phnomnes conjonctu-
rels.
Il sagit bien de lexposition naturelle de lentreprise ou de lorganisme la menace consi-
dre.
Il reste, nanmoins, que pour beaucoup dentreprises, lexposition normale ou standard
un type de menace, cest--dire en labsence de phnomnes conjoncturels particuliers, est
conforme ce qui peut tre constat gnralement et quune valuation a priori peut donc
tre fournie.
2.2.1.1 Exposition naturelle (ou potentialit intrinsque) standard
Les scnarios de la base de connaissances MEHARI se rfrent ainsi une liste limite de me-
naces. Ces menaces sont elles-mmes dcrites par des vnements types, et par des descrip-
tions complmentaires de circonstances et dacteurs (voir la justification de ces divers para-
mtres dans le document MEHARI 2010 Principes fondamentaux et spcifications fonction-
nelles ).
La potentialit intrinsque ou exposition naturelle (de valeur 1 4) dpend essentiellement du
type dvnement, quil sagisse daccidents, derreurs ou dactes volontaires (malveillants ou
non), pour lesquels une valuation a priori de lexposition est donne.
Ainsi, par exemple, il est estim que lexposition naturelle standard dune entreprise un
incendie est de niveau 2 (plutt improbable), une panne dquipement informatique de ni-
veau 3 (plutt probable) et une erreur pendant un processus de saisie de niveau 4 (trs pro-
bable).
La liste de ces vnements et de lexposition naturelle standard est donne en annexe 1.
Chaque scnario fait ainsi rfrence un type dvnement, pour lequel une valeur standard
de potentialit intrinsque est fournie.

2.2.1.2 Exposition naturelle spcifique de lentreprise pour un risque donn
Il doit tre clair que lvaluation standard propose nest quune valuation par dfaut et que
lvaluation directe de lexposition de lentreprise la situation de risque analyse est de loin
prfrable. Pour cette valuation, il convient de se rfrer aux dfinitions des niveaux
dexposition qui ont t donnes dans le document MEHARI 2010 Principes fondamentaux
et spcifications fonctionnelles et qui sont rappeles en annexe 2.
Remarque :
Sil est dcid de procder une analyse systmatique de situations de risque ou si plusieurs
situations doivent tre examines, il est largement prfrable de passer dabord en revue
lensemble des types dvnements et de porter un jugement densemble sur lexposition de
lentreprise chacun deux.

En pratique, le responsable de la gestion des risques devra valider ces valeurs ou les corriger
en dcidant au cas par cas des valeurs retenir pour son entit.
Le processus est alors le suivant :
Ouvrir la base de connaissance
Aller dans la feuille Mask et vrifier que la feuille de paramtrages vnements
types nest pas masque
Slectionner la feuille Evnements types
Remplir les nouvelles valeurs dans la colonne Exposition naturelle dcide (il est
inutile de remplir ces valeurs si les valeurs standards sont acceptes)
2.2.2 valuation de limpact intrinsque
Limpact intrinsque dun scnario est lvaluation des consquences de loccurrence du ris-
que, indpendamment de toute mesure de scurit, ainsi que cela a t dcrit dans les princi-
pes de MEHARI.
Pour chaque scnario dfini dans la base de connaissances de MEHARI, il existe un actif cible
de ce scnario. Chaque scnario indique clairement le type dactif primaire et le type dactif
secondaire (voir MEHARI 2010 Principes fondamentaux et spcifications fonctionnelles
pour la dfinition des actifs primaires et secondaires).
Limpact intrinsque dpend, fondamentalement du type dactif primaire..
Le scnario indique galement le type de dommage subi.
Il peut sagir dun type de donnes drobes, dun type de service rendu indisponible ou dun
type de donnes altres, selon quil sagit dun scnario mettant en cause la confidentialit, la
disponibilit ou lintgrit dun actif, qui sont les trois critres de base pris en compte par
MEHARI en standard. Un dernier critre, d efficience , est considr pour les actifs de type
processus de gestion .
Dans ces conditions valuer limpact intrinsque dun scnario revient valuer le niveau de
criticit ou de gravit rsultant de la perte de disponibilit, dintgrit, de confidentialit, ou
de non-conformit selon le type de scnario, du type dactif mis en cause par le scnario.
La dmarche de classification utilise par MEHARI permet dtablir un tableau gnrique de
classification faisant apparatre les types dactifs identifis de manire spcifique par les sc-

narios de la base de connaissances. La dmarche de classification est dcrite dans le document
MEHARI 2010 - Principes fondamentaux et Spcifications fonctionnelles et dans le Guide
de lanalyse des enjeux et de la classification .
2.2.2.1 Le tableau dimpact intrinsque
La dmarche dvaluation des impacts intrinsques peut donc tre organise et permet de
remplir un tableau dimpact intrinsque, bas sur celui fourni en Annexe 3, dont un extrait est
donn ci-dessous.

Tableau dimpact intrinsque
Actifs de type donnes et informations D I C
D01 Fichiers de donnes ou bases de donnes applicatives
D07 Courrier lectronique
/
Actifs de type services
S01 Services applicatifs,

Le remplissage de ce tableau seffectue en transcrivant (par une valeur de 1 4) le niveau de
consquence dune atteinte la disponibilit, lintgrit ou la confidentialit de chaque type
dactif identifi (cependant certaines cases nont pas tre remplies : par exemple la confi-
dentialit de certains services).
La dmarche de base consiste partir de tableaux de classification, tels que dcrits dans le do-
cument Guide de lanalyse des enjeux et de la classification .
A dfaut, il est possible de le faire directement, mais la dmarche de classification dcrite
dans le guide cit ci-dessus est incontestablement conseiller.
Le principe gnral de remplissage du tableau dimpact intrinsque est de retenir, pour chaque
type dinformation et pour chaque critre, la classification la plus leve trouve lors du pro-
cessus de classification. Le dtail de la dmarche de remplissage du tableau dimpact intrins-
que partir de tableaux de classification est fourni dans le Guide de lanalyse des enjeux et
de la classification .
Il sagit donc dune synthse servant dfinir le niveau dimpact intrinsque de chaque scna-
rio de la base de connaissances de MEHARI.
2.2.2.2 Extension du tableau dimpact intrinsque
Le tableau standard de MEHARI ne fait rfrence quaux trois critres standards de Disponibi-
lit, Intgrit et Confidentialit, pour les donnes et les services et quau critre d efficience
pour les processus de gestion. Dautres critres peuvent, bien entendu, tre utiliss. Il est ainsi
possible dtendre le tableau avec, par exemple, des critres de Preuve, de Traabilit,
dAuditabilit, etc.
Il faudra alors crer des scnarios faisant appel de tels critres (ou modifier des scnarios
existants) et crer, en outre, les grilles dvaluation correspondantes.

2.2.2.3 Lvaluation de limpact intrinsque des scnarios
Lvaluation de limpact intrinsque de chaque scnario de la base de connaissances sera faite
trs simplement, chaque scnario faisant rfrence un type dactif du tableau dimpact in-
trinsque et au critre utiliser (D, I ou C ou autre ventuellement).
2.2.2.4 Dcomposition cartographique
Le tableau dimpact intrinsque standard, fourni en annexe 3, ne comprend quune ligne pour
lensemble des services applicatifs, quune ligne pour les bases de donnes applicatives, et,
plus gnralement, quune seule rfrence par type dactif.
Cette dmarche globale permet danalyser des situations de risques en tenant compte de la
sensibilit maximale des actifs concerns, sans quil soit requis de diffrencier ces actifs ni de
les prciser. Cest une simplification qui limite les situations analyser, sans consquence au
plan pratique car il sera toujours temps, lors de ltablissement des plans daction, de limiter
les actions correctrices aux actifs rellement sensibles.
Il est possible, cependant, de distinguer des variantes dactifs, un peu de la mme manire que
lon peut distinguer des variantes de services de scurit lors dun audit MEHARI (voir le
schma daudit, dans le Guide du diagnostic de ltat des service de scurit ).
La cration de variantes dactifs dans le tableau dimpact intrinsque sappelle la dcomposi-
tion cartographique.
Cette dcomposition permet de diffrencier, par exemple, les services applicatifs en plusieurs
domaines de serveurs, les bases de donnes en domaines applicatifs, etc. Lutilisation de la
dcomposition cartographique permet de traiter spcifiquement un ou plusieurs domaines
dactivit.
Cette possibilit nest pas directement exploitable par les outils standards Excel fournis par le
CLUSIF mais peut tre ralise avec RISICARE.
Attention, lexploitation de cette possibilit peut cependant savrer lourde de consquences
quant au nombre de scnarios analyser.
2.2.3 valuation des facteurs de rduction de risque partir dun au-
dit de scurit MEHARI
Lvaluation de la potentialit et de limpact rsiduels dun scnario de risque repose sur une
analyse de lexistence de facteurs de rduction du risque et sur une valuation de leur niveau.
Ces facteurs sont la dissuasion et la prvention pour la potentialit, le confinement et la pal-
liation pour limpact.
MEHARI propose, dans sa base de connaissance des scnarios, des valuations du niveau de
ces facteurs en fonction de la qualit des services de scurit pertinents pour le scnario ana-
lys.
Cette valuation automatise est faite en deux temps :
Le calcul dindicateurs defficacit des services de scurit, pour chaque type de mesure
Le calcul des facteurs de rduction de risque proprement dits
2.2.3.1 Indicateurs defficacit des services de scurit par scnario et type de
mesure
MEHARI dfinit, pour chaque scnario et pour chaque type de mesure, un indicateur

defficacit.
Lefficacit des mesures dun type donn est not :
EFF-DISS pour lefficacit des mesures dissuasives
EFF-PREV pour lefficacit des mesures de prvention
EFF-CONF pour lefficacit des mesures de confinement
EFF-PALL pour lefficacit des mesures palliatives

Ces indicateurs sont calculs par le biais de formules faisant rfrence des services de scu-
rit.
Les formules donnes dans la base de connaissances de MEHARI font appel :
Soit directement un service de scurit, par son identifiant
1
, quand ce service est le seul
avoir un effet de ce type pour ce scnario
Soit par le biais de formules comprenant des fonctions MIN(arg1 ; arg2 ; ) ou
MAX(arg1 ; arg2 ; ), les arguments (arg1 ; arg2, ) tant les identifiants des services
de scurit de la base MEHARI.
Les formules peuvent tre, par exemple, de la forme :
EFF-PALL = 06B01
EFF-PREV = MAX(04B04;MIN(04B01;04B02;04B03))
La premire formule signifie que lefficacit (propose) des mesures palliatives est directe-
ment fonction du service 06B01 et a pour valeur le niveau (compris entre 1 et 4) de qualit de
ce service.
La deuxime formule signifie que lefficacit (propose) des mesures prventives est gale
la plus grande valeur de la qualit du service 04B04 et de la fonction reprsentant le minimum
des services 04B01, 04B02, 04B03
Il peut se trouver quil ny ait pas de service de scurit pouvant avoir un effet de type donn
pour un scnario donn.
Remarque :
La fonction MIN signifie que les services appels en arguments sont complmentaires et que
si lun deux est faible, lensemble sera faible. Ce peut tre le cas, par exemple de la gestion
des autorisations daccs et de lauthentification ; si lun deux est faible, le contrle daccs
dans son ensemble est faible.
La fonction MAX signifie que les services appels sont alternatifs : si lun deux est de bonne
qualit, lensemble le sera. Ce peut tre le cas, par exemple et selon certains scnarios, du
contrle daccs aux donnes et du chiffrement de ces donnes.
Les formules littrales sont donnes dans la base de connaissances de MEHARI
2.2.3.2 Facteurs de rduction de risque calculs
Il est clair que les coefficients defficacit valus ci-dessus, de la forme EFF-XXXX, tant
calculs partir de valeurs de qualit de service qui nont aucune raison dtre des nombres
entiers, ne sont pas eux-mmes des nombres entiers. Afin de faciliter lvaluation finale de la
potentialit et de limpact, MEHARI choisit de les transformer pour obtenir des valuations de

1
lidentifiant dun sous-service est constitu dun numro de domaine, dune lettre indiquant le service au-
quel il est attach et dun numro de sous-service (ex. 06B01)

facteurs de rduction de risque exprims par des valeurs entires. Dans ce but la qualit de
service prise en compte dans les formules sera arrondie lentier le plus proche.
La base de connaissances de MEHARI fournit une valeur calcule (de 0 4) de ces facteurs de
rduction de risque en se basant sur une valeur de qualit de service qui est indique dans la
feuille Services .
En cas de domaine de services possdant plusieurs variantes dans le schma daudit (voir
ce sujet le Guide de diagnostic des services de scurit ), les formules fournies dans la
base sous Excel retiennent, pour le calcul des facteurs de rduction de risque, le minimum
des valeurs obtenues pour chaque variante de service de scurit (RISICARE permettant de
traiter fidlement le schma daudit).
En pratique, les valeurs des divers facteurs de rduction de risque calculs sont donnes, pour
chaque scnario, dans les colonnes Dissuasion , Prvention , Confinement et Pal-
liation de la feuille Scnarios .
Ces facteurs de rduction de risque sont ainsi des facteurs calculs , ce qui veut dire que la
valeur obtenue sera gnralement pertinente mais quil se pourrait quelle ne le soit pas dans
le contexte spcifique de lentreprise ou de lorganisme. Il peut se trouver, par exemple, des
situations dans lesquelles le personnel a un statut tel quil est peu sensible la dissuasion ou
dans lesquelles le personnel est particulirement expert, ceci rendant fragiles les mesures de
prvention, ou pour lesquelles les mesures de protection ou les mesures palliatives seraient
sans effet rel sur le niveau dimpact rel.
MEHARI propose une assistance en fournissant des valeurs calcules laide de formules
standards pour les facteurs de rduction de risque ; il peut savrer pertinent de contrler ces
valeurs avant utilisation.
En cas de dsaccord avec les valeurs calcules, il est conseill de ne pas modifier ces valeurs
directement dans la feuille scnarios, car cela supprimerait dfinitivement le calcul de base,
mais de corriger les valeurs dcides de limpact ou de la Potentialit.
Un cas particulier frquent est celui de scnarios pour lesquels il peut tre considr que les
mesures de confinement ne rduiront pas significativement limpact intrinsque du scnario
(parce que la dtection de la fraude ou de la divulgation, par exemple, ne rduiront pas la gra-
vit du risque, quelles que soient les mesures prises alors). Il est alors possible de considrer
le scnario comme non volutif (ou non confinable) et de le dclarer comme tel.
2.2.4 valuation de la potentialit et de limpact rsiduels
2.2.4.1 valuation automatise de la Potentialit : STATUS-P
MEHARI propose une valuation automatise de la potentialit en partant de lvaluation de
lexposition naturelle, dune part, et du niveau des mesures dissuasives et prventives, mesur
par les STATUS-DISS et STATUS-PREV, dautre part.
MEHARI propose dvaluer la potentialit rsiduelle, sous la forme dun indicateur appel
STATUS-P, qui est dduit directement de lexposition naturelle et des STATUS-DISS et
STATUS-PREV par des grilles dvaluation.
Trois grilles standards dvaluation sont prvues par MEHARI, en fonction du type de cause
conduisant au scnario :
vnement naturel ou accident

Erreur humaine
Acte volontaire (malveillant ou non)
Ces grilles standards peuvent tre modifies si besoin est.
Remarque :
La logique de ces grilles dvaluation est de considrer que pour un type de cause donn (ac-
cident, erreur ou acte volontaire), le mme raisonnement devrait tre suivi, indpendamment
de la description prcise du scnario : exposition naturelle gale, dissuasion gale et prven-
tion gale, il devrait tre jug que la potentialit de deux scnarios est la mme.
2.2.4.2 valuation automatise de limpact : STATUS-I
MEHARI propose galement une valuation automatise de limpact en partant de limpact in-
trinsque du scnario dune part et du niveau des mesures de confinement et palliatives, mesu-
r par les STATUS-CONF et STATUS-PALL, dautre part.
MEHARI propose dvaluer limpact rsiduel par un indicateur STATUS-I, dduit direc-
tement de limpact intrinsque et des STATUS-CONF et STATUS-PALL par des grilles
dvaluation.
Quatre grilles standards dvaluation permettant dvaluer le STATUS-I sont prvues par
MEHARI, en fonction du type de consquence du scnario :
Scnarios de type Disponibilit
Scnarios de type Intgrit
Scnarios de type Confidentialit
Scnarios de type Limitable
2

Les grilles tiennent compte galement du caractre volutif ou non du scnario, ce caractre
tant explicit dans la base de connaissances (et pouvant tre forc dans ltat non volutif,
pour les scnarios initialement dclars comme volutifs dans la base).
Ces grilles standards peuvent galement tre modifies, si besoin est, par un expert de la m-
thodologie.
Remarque :
La logique de ces grilles dvaluation est de considrer que pour un type de consquence don-
n (atteinte la disponibilit, lintgrit ou la confidentialit), le mme raisonnement de-
vrait tre suivi, indpendamment de la description prcise du scnario : impact intrinsque
gal, mesures de confinement gales et mesures palliatives gales, il devrait tre jug que
limpact rsiduel de deux scnarios est le mme.
2.2.4.3 Principes de construction des grilles dvaluation
En pratique, les grilles standards, aussi bien pour la potentialit que pour limpact, ont t b-
ties en sappuyant sur un certain nombre de principes dcrits dans le guide de construction des
bases de connaissances. Il est possible de modifier ces grilles, en partant dun nouvel ensem-
ble de principes.
Les grilles dvaluation standards sont donnes en annexe 5.

2
Cette typologie de scnarios correspond le plus souvent des scnarios datteinte lintgrit pour les-
quels il nexiste pas de mesure palliative mais dont limpact peut tre limit par des mesures de confi-
nement spcifiques.

2.2.4.4 valuation de la potentialit et de limpact
Comme pour les facteurs de rduction de risque, les automatismes fournis par les grilles de
dcision sont une assistance au jugement qui fournissent des indicateurs appels, dans
MEHARI, STATUS.
Les automatismes fournissent ainsi des valuations de la potentialit et de limpact rsiduels
sous la forme de STATUS-P et STATUS-I
Un jugement final sur la pertinence des niveaux de potentialit P et dimpact I, dans le cas de
lentit tudie, devrait tre la rgle.
En pratique, les valeurs calcules de la Potentialit et de lImpact rsiduels (aprs prise en
compte des services de scurit) sont indiqus dans les colonnes I calcul et P calcul
de la feuille Scnarios .
Il est possible dindiquer des valeurs diffrentes de ces valeurs calcules dans les colonnes I
dcid et P dcide . Ce sont alors ces valeurs dcides qui seront prises en compte pour
le calcul de la gravit rsiduelle.
2.3 valuation de la gravit du scnario
La gravit du scnario sera dduite des valuations de Potentialit et dImpact rsiduels,
STATUS-P et STATUS-I.
Il sagit dun jugement port sur le caractre acceptable ou non de chaque situation de risque,
ainsi que cela a t prsent dans le document MEHARI 2010 Principes fondamentaux et
spcifications fonctionnelles .
Ce processus repose sur une grille dacceptabilit des risques, ainsi que cela est indiqu dans
le document cit ci-dessus.
Cette grille est un document stratgique essentiel et doit tre dfinie pour chaque organisme.
A dfaut de rflexion spcifique, la base MEHARI contient une grille standard quil convient, a
minima, de valider.

3 Le traitement des risques
Le traitement des risques consiste thoriquement analyser chaque scnario de risque et
prendre des dcisions spcifiques qui peuvent tre de :
Accepter le risque tel quel
Rduire le risque cest--dire prendre des mesures pour que limpact ou la potentialit ou
les deux soient rduits et diminuent la gravit rsiduelle en consquence
Dcider dviter le risque en supprimant la situation de risque par des mesures structu-
relles ou organisationnelles
Transfrer le risque, essentiellement par lassurance

En pratique, il est rationnel dorganiser le travail de manire structure et, pour cela, plusieurs
approches peuvent tre envisages, et, en particulier :
Travailler par familles de scnarios ayant le mme type dactif et donc le mme impact
intrinsque et slectionner des plans daction par famille
Travailler par projets fdrateurs, chaque projet regroupant des services de finalits pro-
ches (contrle daccs physique, gestion des droits et des habilitations, etc.)
Travailler par services en fonction dune notion de besoin de service .
3.1 Slection de plans daction par famille de scnarios
Pour faciliter cette approche, les scnarios de la base de connaissances de MEHARI ont t re-
groups en familles correspondant au mme type dactif et au mme type de dommage.
Pour chaque famille, des plans daction sont proposs (feuille Plans_daction) et ce pour cha-
que type deffet (dissuasion, prvention, confinement, palliation), chaque plan regroupant dif-
frents services pertinents pour la famille de scnarios considre et fixant, pour chaque ser-
vice, un niveau cible lissue du plan daction.
Si loption de prise en compte des objectifs pour lapprciation des risques a t choisie, la s-
lection de plans daction permet de simuler les niveaux de gravit des scnarios de risque
lissue de ces plans.
Ds lors le processus conseill consiste
slectionner pour chaque famille les plans les plus efficaces ( cet effet, la base de
connaissance donne, pour chaque plan, un indicateur defficacit refltant le pourcen-
tage de scnarios de la famille influenc par la mise en uvre de ce plan)
ventuellement modifier, pour le ou les plans slectionns, les cibles fixes aux services
cits dans les plans slectionns,
valider cette slection de plans daction (en visualisant les niveaux de risques terme),
puis dcider au cas par cas, pour les scnarios non rduits par cette premire ou ces
premires slections, de :
slectionner des mesures complmentaires
accepter le risque, au moins provisoirement
viter le risque

le transfrer
Pour aider drouler ce processus, la base de connaissances de MEHARI propose diffrentes
aides :
Un panorama de lensemble des scnarios de risque par types dactifs, faisant apparatre
pour chaque classe dactifs primaires et pour chaque critre de classification, le nombre
de scnarios par niveaux de gravit. Des liens hypertexte permettent de passer facile-
ment de ce panorama telle ou telle classe dactifs dans la feuille Plans daction
Un panorama des mmes scnarios classs par types de menaces
3.2 Dfinition et slection de projets
Il est galement possible de dfinir des projets regroupant divers services, chaque projet indi-
quant :
Les services dont lamlioration fait partie du projet,
Le niveau de qualit cible de ces services lissue du projet,
La date dachvement du projet.
Ces projets sont pris en compte, pour valuer le niveau des scnarios de risque, si loption est
choisie et si la date dachvement des projets est antrieure une date de rfrence.
Ceci permet de faire des simulations diffrentes poques et de dfinir ainsi un tableau de
bord des risques.
La slection des services et de leur cible dans chaque projet est libre et peut sappuyer sur les
plans daction voqus au paragraphe prcdent ou sur toute autre notion telle que le besoin
de service voqu ci-dessous.
3.3 Besoin de service
On peut dfinir un indicateur de besoin de service tenant compte du nombre de scnarios
faisant appel un service donn, de la gravit de ces scnarios et de lefficacit des plans dans
lesquels ces services interviennent.
Il ne sagit que dun indicateur mais il est raisonnable denvisager damliorer en priorit les
services faisant apparatre le plus fort besoin.
3.4 Autres dmarches
Bien dautres dmarches sont possibles, en particulier en slectionnant des ensembles res-
treints de scnarios selon divers critres et en sattaquant slectivement chaque sous-
ensemble.

4 Conseils pratiques
4.1 Esprit de la dmarche danalyse de risque
Nous avons, volontairement, fait apparatre les automatismes de MEHARI comme des aides
lvaluation du niveau de risque.
Il est fondamental de garder lesprit quil sagit dun processus dvaluation et quun
consensus obtenu par un groupe dvaluation sera toujours plus fiable quun automatisme.
4.2 Composition du groupe dvaluation des risques
La dmarche telle que nous lavons dcrite, fonctionne dautant mieux que lvaluation des
risques est faite par un groupe dvaluation reprsentatif. La composition du groupe
dvaluation des risques a une certaine importance. Il devrait comprendre :
Des utilisateurs du domaine concern, et ceci un niveau tel quils puissent juger de
lattnuation relle des consquences pouvant tre apporte par des mesures de scurit.
Des informaticiens capables dclairer le groupe dvaluation sur lefficacit relle des
diverses mesures de scurit et sur les possibilits de contournement (robustesse et mise
sous contrle).
Un animateur connaissant bien la mthode et comptent en scurit des systmes
dinformation.
4.3 Contrle des automatismes
Nous avons dit que les automatismes ne devaient tre considrs que comme des aides au pro-
cessus dvaluation. Ceci signifie quun contrle a posteriori des calculs effectus devrait tou-
jours tre effectu afin que le groupe dvaluation valide chaque rsultat intermdiaire.
Ceci sapplique :
A la cotation de la qualit des services de scurit
Aux facteurs de rduction des risques
Aux valuations dimpact rsiduel calcul et de potentialit rsiduelle calcule
A la gravit rsiduelle calcule des scnarios de risque
Pour ces contrles, la confrontation des rsultats calculs aux dfinitions donnes pour chaque
niveau de chaque paramtre est la pratique conseiller.

Annexe 1 :
Grille dexposition naturelle
standard
Type
Code
type
vnement Code
Exposition
naturelle
standard
CLUSIF
Exposition
naturelle
dcide
Exposition
naturelle
rsultante
Absence de personnel de partenaire AB.P.Pep 3 3
Absence de personnel interne AB.P.Per 2 2
Absence de service : nergie AB.S.Ene 3 3
Absence de service : Climatisation AB.S.Cli 2 2
Absence de service : Impossibilit d'accs aux locaux AB.S.Loc 2 2
Absence de maintenance applicative ou maintenance applicative impossible AB.S.Maa 3 3
Absence de maintenance systme ou maintenance systme impossible AB.S.Mas 2 2
Foudroiement AC.E.Fou 2 2
Incendie AC.E.Inc 2 2
Inondation AC.E.Ino 3 3
Panne d'quipement AC.M.Equ 3 3
Panne d'quipement de servitude AC.M.Ser 3 3
Absence volontaire de personnel AV.P Conflit social avec grve AV.P.Gre 2 2
Erreur de conception ER.L
Bug bloquant d une erreur de conception ou d'criture de programme
(interne)
ER.L.Lin 3 3
Perte ou oubli de document ou de media ER.P.Peo 3 3
Erreur de manipulation ou dans le suivi d'une procdure ER.P.Pro 3 3
Erreur de saisie ou de frappe ER.P.Prs 3 3
Dgt d au vieillissement IC.E.Age 2 2
Dgt des eaux IC.E.De 3 3
Surcharge lectrique IC.E.Se 2 2
Dgt d la pollution IC.E.Pol 2 2
Incident d'exploitation IF.L.Exp 3 3
Bug bloquant dans un logiciel systme ou un progiciel IF.L.Lsp 2 2
Saturation bloquante pour cause externe (ver) IF.L.Ver 3 3
Virus IF.L.Vir 4 4
Attaque en blocage de comptes MA.L.Blo 2 2
Effacement volontaire ou polllution massive de configurations systmes MA.L.Cfg 2 2
Effacement volontaire direct de supports logiques ou physiques MA.L.Del 2 2
Captation lectromagntique MA.L.Ele 3 3
Falsification logique (donnes ou fonctions) MA.L.Fal 3 3
Cration de faux (messages ou donnes) MA.L.Fau 3 3
Rejeu de transaction MA.L.Rej 2 2
Saturation malveillante d'quipements informatiques ou rseaux MA.L.Sam 3 3
Destruction logique totale (fichiers et leurs sauvegardes) MA.L.Tot 2 2
Dtournement logique de fichiers ou donnes (tlchargement ou copie) MA.L.Vol 3 3
Manipulation ou falsification matrielle d'quipement MA.P.Fal 2 2
Terrorisme MA.P.Ter 2 2
Vandalisme MA.P.Van 2 2
Vol physique MA.P.Vol 2 2
Procdures inadquates PR.N.Api 2 2
Procdures inappliques par manque de moyens PR.N.Naa 2 2
Procdures inappliques par mconnaissance PR.N.Nam 2 2
Procdures inappliques volontairement PR.N.Nav 2 2
Procdures non conformes
Accident grave d'environnement
Absence ou indisponibilit
accidentelle de service
Incident logique ou fonctionnel
Accident matriel
Malveillance mene par voie physique
Malveillance mene par voie logique
ou fonctionnelle
IF.L
AC.M
AB.P
Incident d l'environnement
Erreur matrielle ou de comportement
du personnel
MA.L
MA.P
Tableau des vnements : types et exposition naturelle
PR.N
AB.S
IC.E
AC.E
ER.P
Absence accidentelle de personnel

Annexe 2 :
Dfinition des niveaux dexposition
naturelle

Exposition naturelle au risque

Niveau 1 : Lexposition est trs faible
Indpendamment de toute mesure de scurit, la probabilit doccurrence dun tel sc-
nario est extrmement faible et pratiquement ngligeable.

Niveau 2 : Lexposition est faible : lunit est peu expose.
Mme en labsence de toute mesure de scurit, lenvironnement (culturel, humain, go-
graphique, ...) et le contexte (stratgique, concurrentiel, social, ) font que la probabilit
doccurrence dun tel scnario, court ou moyen terme, est faible.

Niveau 3 : Lexposition est moyenne : lunit nest pas particulirement expose
Lenvironnement et le contexte de lentreprise font que, si rien nest fait pour
lempcher, un tel scnario devrait se produire, plus ou moins court terme.

Niveau 4 : Lexposition est forte : lunit est particulirement expose.
Lenvironnement ou le contexte font que si rien nest fait, un tel scnario se ralisera s-
rement, vraisemblablement court terme.

Annexe 3 :
Tableau dimpact intrinsque
Actifs de type Donnes et informations D I C
D01 Fichiers de donnes ou bases de donnes applicatives 3 3 4
D02 Fichiers bureautiques partags 3 3 3
D03 Fichiers bureautiques personnels (grs dans environnement personnel) 3 3 3
D04 Informations crites ou imprimes dtenues par les utilisateurs, archives personnelles 3 3
D05 Listings ou tats imprims des applications informatiques 3
D06 Donnes changes, crans applicatifs, donnes individuellement sensibles 3 3 4
D07 Courrier lectronique 3 3 4
D08 Courrier postal et tlcopies 3 3 4
D09 Archives patrimoniales ou documentaires 3 3
D10 Archives informatiques 3 3 3
D11 Donnes et informations publies sur des sites publics ou internes 3 3 4
Actifs de type Services D I C
G01 Environnement de travail des utilisateurs 3
G02 Services de tlcommunication (voix, tlcopies, visioconfrence, etc.) 3 2
R01 Service du rseau tendu 3 3
R02 Service du rseau local 3 3
S01 Services applicatifs 3 3 4
S02 Services bureautiques communs (serveurs de donnes, gestionnaires de documents,
imprimantes partages, etc.)
3 3
S03 Equipements mis la disposition des utilisateurs (PC, imprimantes locales, priphriques,
interfaces spcifiques, etc.)
Nota : Considrer ici la perte massive de ces services et non celle d'un seul utilisateur
3
S04 Services systmes communs : messagerie, archivage, impression, dition, etc. 3 2
S05 Services de publication d'informations sur un site web interne ou public 3 2
Actifs de type Processus de gestion E
C01 Conformit la loi ou aux rglementations relatives la protection des renseignements
personnels
3
C02 Conformit la loi ou aux rglementations relatives la communication financire 3
C03 Conformit la loi ou aux rglementations relatives la vrification de la comptabilit
informatise
3
C04 Conformit la loi ou aux rglementations relatives la proprit intellectuelle 3
C05 Conformit la loi relative la protection des systmes informatiss 3
C06 Conformit aux rglementations relatives la scurit des personnes et la protection de
l'environnement
3
Lgende :
D Disponibilit
I Intgrit
C Confidentialit
E Efficience (des processus de gestion, vis--vis de la conformit aux lgislations ou aux
rglements). Pour ce critre, la grille de dcision L pour l'impact sera utilise.
Nota : Les cases grises correspondent des cas dans lesquels il n'y a gnralements pas de classification
effectuer et pour lesquels il n'y a pas de scnario de risque dans la base Mhari.
Tableau d'Impact Intrinsque
Donnes et informations
Processus de gestion de la conformit la loi ou la rglementation
Services informatiques et rseaux
Services gnraux communs

Annexe 4 :
Dfinition des niveaux de facteurs
de rduction de risque
Dissuasion
Niveau 1 : Leffet dissuasif est trs faible ou nul.
Lauteur peut logiquement penser quil nencourrait aucun risque personnel : il peut penser
quil ne serait pas identifi ou quil aurait de trs srieux arguments pour rfuter toute imputa-
tion de laction ou que les sanctions seraient trs faibles.
Niveau 2 : Leffet dissuasif est moyen.
Lauteur peut logiquement penser quil encourrait un risque faible et quen tout tat de cause
les prjudices personnels quil aurait subir resteraient supportables.
Niveau 3 : Leffet dissuasif est important.
Un auteur rationnel devrait logiquement penser quil encourt un risque important : il devrait
savoir quil serait sans doute identifi et que les prjudices quil aurait subir seraient graves.
Niveau 4 : Leffet dissuasif est trs important.
Un auteur rationnel devrait logiquement abandonner toute ide daction. Il devrait savoir quil
sera presque certainement dmasqu et que les sanctions encourues sont hors de proportion
avec le gain espr.

Prvention
Niveau 1 : Leffet prventif est trs faible ou nul.
Toute personne proche ou appartenant lentreprise ou tout initi la connaissant un minimum
est capable de dclencher un tel scnario, avec des moyens quil est facile dacqurir.
Des circonstances tout fait courantes (maladresse, erreur, conditions dfavorables non ex-
ceptionnelles) peuvent tre lorigine dun tel scnario.
Niveau 2 : Leffet prventif est moyen.
Le scnario peut tre mis en uvre par un professionnel sans autres moyens que ceux dont
disposent les personnels de la profession.
Des circonstances naturelles rares peuvent aboutir ce rsultat.
Niveau 3 : Leffet prventif est important.
Seul un spcialiste, un professionnel dot de moyens trs importants, ou une collusion entre
plusieurs professionnels ayant des domaines diffrents peuvent aboutir.
Concours de circonstances rares ou circonstances exceptionnelles exiges.
Niveau 4 : Leffet prventif est trs important.
Seuls quelques experts, dots de moyens trs importants, peuvent aboutir.
Seuls des concours exceptionnels de circonstances exceptionnelles peuvent conduire ce scna-
rio.

Confinement
Niveau 1 : Leffet de confinement et de limitation des consquences directes est trs fai-
ble ou nul.
Soit le sinistre ne peut tre limit dans ses consquences directes, soit il ne sera dtect quau
bout dun dlai important.
Les mesures qui peuvent alors tre prises nont quune influence trs limite sur le niveau des
consquences directes.
Niveau 2 : Leffet de confinement et de limitation des consquences directes est moyen.
Si le sinistre pouvait tre limit dans ses consquences directes, le dlai de dtection nest pas
rapide et/ou les ractions sont tardives.
Les mesures qui peuvent alors tre prises ont une influence relle sur limpact, mais lampleur
des consquences directes reste importante.
Niveau 3 : Leffet de confinement et de limitation des consquences directes est impor-
tant.
Le dlai de dtection est rapide et les ractions sont prises sans dlai.
Les mesures qui peuvent alors tre prises ont une influence relle sur limpact direct, qui est
rel mais limit et circonscrit.
Niveau 4 : Leffet est trs important.
Le dbut de sinistre est dtect en temps rel et les mesures dclenches immdiatement.
Les consquences directes seront limites aux dtriorations immdiates dues laccident,
lerreur ou lacte volontaire.

Palliation
Niveau 1 : Leffet de limitation des consquences indirectes est trs faible ou nul.
Les mesures seront totalement improvises et/ou il est probable que leur effet en sera trs fai-
ble.
Niveau 2 : Leffet de limitation des consquences indirectes est moyen.
Les solutions de secours ou moyens palliatifs ont t prvus globalement et pour lessentiel,
mais lorganisation de dtail na pas t faite. Il est probable quil rsultera de ce manque de
prparation un manque defficacit trs net des mesures prvues. Le dlai de reprise du fonc-
tionnement normal de lactivit ne peut tre connu avec prcision ou ne changera pas fonda-
mentalement le niveau de gravit du sinistre.
Niveau 3 : Leffet de limitation des consquences indirectes est important.
Les mesures ont t analyses et organises dans le dtail, puis valides. Le dlai de reprise
du fonctionnement normal de lactivit peut tre estim ou connu avec prcision et est tel que
cela rduira notablement la gravit des consquences indirectes du scnario.
Niveau 4 : Leffet de limitation des consquences indirectes est trs important.
Le fonctionnement normal de lactivit est assur sans discontinuit notable.

Annexe 5 :
Grilles dvaluation standards

Grilles dlaboration des STATUS-P
1. Scnarios de type Accident
D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V
2. Scnarios de type Erreur
D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
3. Scnarios de type action Volontaire
D 4 1 1 1 1 D 4 1 1 1 1 D 4 2 2 1 1 D 4 2 2 2 1
I 3 1 1 1 1 I 3 2 2 1 1 I 3 2 2 1 1 I 3 3 3 2 2
S 2 1 1 1 1 S 2 2 2 2 1 S 2 3 3 2 1 S 2 4 4 3 2
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 3 2
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
E X P O = 1 E X P O = 2 E X P O = 3 E X P O = 4
E X P O = 2 E X P O = 3 E X P O = 4
E X P O = 1 E X P O = 2 E X P O = 3 E X P O = 4
E X P O = 1


Grilles dlaboration des STATUS-I
Les scnarios non confinables sont valus sur la ligne nc
1. Scnarios de type Disponibilit
C 4 1 1 1 1 C 4 2 2 1 1 C 4 2 2 1 1 C 4 2 2 2 1
O 3 1 1 1 1 O 3 2 2 1 1 O 3 3 2 2 1 O 3 3 3 2 1
N 2 1 1 1 1 N 2 2 2 2 1 N 2 3 3 2 1 N 2 4 3 2 1
F 1 1 1 1 1 F 1 2 2 2 1 F 1 3 3 2 1 F 1 4 3 2 1
nc 1 1 1 1 nc 2 2 2 1 nc 3 3 2 1 nc 4 3 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P A L L P A L L P A L L P A L L
2. Scnarios de type Intgrit
C 4 1 1 1 1 C 4 1 1 1 1 C 4 1 1 1 1 C 4 1 1 1 1
O 3 1 1 1 1 O 3 2 2 1 1 O 3 2 2 1 1 O 3 2 2 2 1
N 2 1 1 1 1 N 2 2 2 2 1 N 2 3 3 2 1 N 2 3 3 2 1
F 1 1 1 1 1 F 1 2 2 2 1 F 1 3 3 2 1 F 1 4 3 2 1
nc 1 1 1 1 nc 2 2 2 2 nc 3 3 2 2 nc 4 4 4 4
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
3. Scnarios de type Confidentialit
C 4 1 C 4 2 C 4 2 C 4 2
O 3 1 O 3 2 O 3 2 O 3 2
N 2 1 N 2 2 N 2 3 N 2 3
F 1 1 F 1 2 F 1 3 F 1 4
nc 1 nc 2 nc 3 nc 4
1 1 1 1
4. Scnarios de type Limitable
C 4 1 C 4 1 C 4 1 C 4 1
O 3 1 O 3 2 O 3 2 O 3 2
N 2 1 N 2 2 N 2 3 N 2 3
F 1 1 F 1 2 F 1 3 F 1 4
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
II = 1 II = 2 II = 3 II = 4
II = 1 II = 2 II = 3 II = 4
II = 1 II = 2 II = 3 II = 4
II = 1 II = 2 II = 3 II = 4

L E S P R I T D E L C H A N G E

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS
30, rue Pierre Smard
75009 Paris
01 53 25 08 80
clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur
www.clusif.asso.fr

Mehari 2010 Anarisk

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Mehari 2010 Anarisk

Uploaded by

Copyright:

Available Formats

METHODES

You might also like