Mehari 2010 Principes Specifications

METHODES
MEHARI 2010
Principes fondamentaux et spcifications fonctionnelles

Janvier 2010

Espace Mthodes

CLUB DE LA SECURITE DE LINFORMATION FRANAIS
30, rue Pierre Smard, 75009 PARIS
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr
MEHARI est une marque dpose par le CLUSIF.

La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal
MEHARI 2010 : Principes fondamentaux 3/62 CLUSIF 2010
et spcifications fonctionnelles
Remerciements
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :

Jean-Philippe Jouas Responsable de lEspace Mthodes
Responsable du Groupe de Travail Principes, Mcanismes et Ba-
ses de connaissances de MEHARI
Jean-Louis Roule Responsable du Groupe de Travail Documentation de MEHARI
Dominique Buc BUC S.A.
Olivier Corbier Docapost
Louise Doucet Ministre des Services gouvernementaux du Qubec
Martine Gagn HydroQubec
Mose Hazzan Ministre des Services gouvernementaux du Qubec
Grard Molines Molines Consultants
Chantale Pineault AGRM
Luc Poulin CRIM
Pierre Sasseville Ministre des Services gouvernementaux du Qubec
Claude Taillon Ministre de l'ducation, du Loisir et du Sport du Qubec
Marc Touboul BULL SA

Sommaire

Introduction.................................................................................................................................................. 7
1. Objectif de ce document .................................................................................................................. 7
1.1 Objectifs fondamentaux dune mthode de gestion directe des risques ........................... 7
1.2 Plan du document...................................................................................................................... 8
2. Rfrences normatives...................................................................................................................... 8
3. Termes et dfinitions ........................................................................................................................ 9
3.1 Enjeu de la scurit ................................................................................................................... 9
3.2 Impact ......................................................................................................................................... 9
3.3 Impact intrinsque..................................................................................................................... 9
3.4 Menace ........................................................................................................................................ 9
3.5 Potentialit.................................................................................................................................. 9
3.6 Potentialit intrinsque ............................................................................................................. 9
3.7 Scnario de risque...................................................................................................................... 9
3.8 Service de scurit ..................................................................................................................... 9
3.9 Vulnrabilit intrinsque........................................................................................................... 9
3.10 Vulnrabilit contextuelle......................................................................................................... 9
4. Lapprciation des risques .............................................................................................................. 10
4.1 Introduction ............................................................................................................................. 10
4.2 Lidentification des risques..................................................................................................... 10
4.2.1 Les lments caractristiques des risques .......................................................................10
4.2.1.1 Lactif ........................................................................................................................... 10
4.2.1.2 La vulnrabilit intrinsque et la vulnrabilit contextuelle................................. 12
4.2.1.3 Le dommage subi ....................................................................................................... 13
4.2.1.4 La menace provoquant loccurrence du risque...................................................... 13
4.2.1.5 Le scnario de risque ................................................................................................. 15
4.2.2 Le processus didentification des risques........................................................................15
4.2.2.1 laboration des lments caractristiques des risques.......................................... 15
4.2.2.2 laboration de la liste des risques possibles........................................................... 16
4.2.2.3 Dveloppement dune base de connaissances de risques types .......................... 16
4.2.2.4 Slection des risques prendre en compte............................................................. 16
4.2.3 Synthse de lidentification des risques ...........................................................................17
4.3 Lestimation des risques.......................................................................................................... 17
4.3.1 Les lments mesurables et la mtrique des risques......................................................18
4.3.1.1 Limpact intrinsque .................................................................................................. 18
4.3.1.2 La potentialit intrinsque......................................................................................... 19
4.3.1.3 Leffet des mesures de scurit : facteurs de rduction des risques.................... 20
4.3.1.4 Influence du niveau de qualit des mesures de scurit existantes..................... 22
4.3.1.5 Utilisation dune base de connaissance des risques............................................... 23
4.3.2 Processus destimation des risques ..................................................................................23
4.3.2.1 Llaboration des lments de rfrence................................................................. 23
laboration de lchelle dimpact ................................................................................................ 23
laboration de lchelle de potentialit ...................................................................................... 24
4.3.2.2 Lestimation des risques ............................................................................................ 25
4.3.2.3 Lapprciation globale de chaque risque (gr)...................................................... 27
4.3.3 Synthse de lapprciation de chaque scnario de risque .............................................27
4.4 Lvaluation des risques.......................................................................................................... 27
5. Le traitement des risques................................................................................................................ 29
5.1 Lacceptation du risque........................................................................................................... 29
5.2 La rduction du risque ............................................................................................................ 30
5.2.1 Le choix de services de scurit mettre en place pour augmenter certains
facteurs de rduction du risque........................................................................................30
5.2.1.1 Les services de scurit pertinents ou adapts un risque donn ...................... 30
5.2.1.2 Le choix de niveau de qualit cible pour un service de scurit mettre en
place ............................................................................................................................. 30
5.2.1.3 Lvaluation de leffet combin de plusieurs services de scurit ....................... 31
5.2.1.4 Processus de dcision propre la rduction des risques...................................... 31
5.2.2 Cas particulier de lemploi de mesures structurelles......................................................31
5.3 Le transfert du risque.............................................................................................................. 32
5.4 Lvitement du risque.............................................................................................................. 32
6. La gestion des risques ..................................................................................................................... 33
6.1 Llaboration des plans daction............................................................................................ 33
6.1.1 Choix des objectifs prioritaires et optimisation.............................................................33
6.1.2 Le choix des solutions : mcanismes techniques et organisationnels.........................34
6.1.3 Choix de mesures structurelles et de mesures dvitement de risques .......................35
6.1.4 Validation et prise de dcision..........................................................................................35
6.2 Mise en uvre des plans daction.......................................................................................... 35
6.3 Contrle et pilotage de la gestion directe des risques......................................................... 35
6.3.1 Contrle du niveau de qualit de service ........................................................................36
6.3.2 Contrle de la mise en uvre des services de scurit .................................................36
6.3.3 Pilotage global associ la gestion des risques ..............................................................36
Annexe A1 Typologie dactifs primaires de la base de connaissances de MEHARI 2010................. 37
Annexe A2 Typologie dactifs secondaires de la base de connaissances de MEHARI 2010............. 38
Annexe B Typologie de vulnrabilits intrinsques de la base de connaissances de
MEHARI 2010 .............................................................................................................................................. 39
Annexe C1 Typologie dvnements de la base MEHARI 2010........................................................... 40
Annexe C2 Typologie dacteurs de la base de connaissances de MEHARI 2010.............................. 41
Annexe D chelles standards de niveaux dimpact et de potentialit de MEHARI 2010................. 42
Annexe E1 chelles standards de niveaux des facteurs de rduction de potentialit
de MEHARI 2010......................................................................................................................................... 43
Annexe E2 chelles standards de niveaux des facteurs de rduction dimpact de
MEHARI 2010 .............................................................................................................................................. 44
Annexe F1 Grilles de dcision standards de MEHARI 2010................................................................. 45
Annexe F2 Grilles de dcision standards de MEHARI 2010................................................................. 46
Annexe G1 Spcification des services de scurit................................................................................. 47
1. Dfinitions........................................................................................................................................ 47
1.1 Services de scurit......................................................................................................................... 47
1.2 Services et sous-services de scurit ............................................................................................ 47
1.3 Mcanismes et solutions de scurit..........................................................................................47
1.4 Typologie des services de scurit .............................................................................................48
1.5 Base de connaissance des services de scurit .........................................................................48
2. Mesure de la qualit des services de scurit...................................................................................... 48
2.1 Paramtres prendre en compte.................................................................................................. 48
2.1.1 Efficacit d'un service de scurit .................................................................................... 48
2.1.2 Robustesse d'un service de scurit.................................................................................. 49
2.1.3 Mise sous contrle d'un service de scurit .................................................................... 49
2.2 valuation de la qualit des services de scurit base sur les questionnaires MEHARI .. 49
2.2.1 Types de questionnaires..................................................................................................... 50
2.2.2 Systme de pondration des questions ............................................................................ 50
2.2.2.1 Mesures contributives .............................................................................................................. 50
2.2.2.2 Mesures majeures ou suffisantes ........................................................................................ 51
2.2.2.3 Mesures indispensables ............................................................................................................ 51
6.3.3.1.1 Questions sans objet ........................................................................................................... 52
Annexe G2 Liste des services de scurit de la base de connaissances de MEHARI 2010.............. 53
Annexe G3 chelle de niveaux utilisable pour valuer la qualit des services de scurit.............. 61

Introduction

Lanalyse des risques est cite et considre comme devant tre la base des actions de scurit par
nombre douvrages sur la scurit.
Il en est de mme dans les normes les plus rcentes sur les systmes de gestion de la scurit de
linformation et notamment lISO/IEC 27001 qui fait explicitement rfrence aux processus
didentification, dvaluation et de traitement des risques.
La ncessit dune mthode, en complment des normes
Ces mmes normes qui font explicitement appel la notion de risque et la ncessit dvaluer et
de matriser les risques ne proposent pas de mthodes danalyse de risque mais prcisent quune
mthode doit tre choisie par lorganisation.
Certes un cadre gnral pour la gestion des risques est fourni par la norme ISO/IEC 27005, mais
ce cadre laisse encore la place bien des interprtations et bien des modes de gestion des
risques.
Dans ces conditions, il est clair quune mthode formelle est ncessaire et que le choix de cette
mthode doit rpondre des spcifications, elles mmes fonctions du type de gestion de risque
souhait par lorganisme.
Il savre en effet que le sens donn lexpression gestion des risques peut varier dune
organisation une autre et quen fonction des objectifs poursuivis, les mthodes supports
peuvent tre notablement diffrentes.
1. Objectif de ce document
Ce document est tabli lusage des organisations qui souhaitent choisir, mettre en place, dfinir
ou dvelopper un processus de gestion directe de leurs risques et a pour objectif de prciser, dans
cette optique, les principes respecter pour une mthode support et de mettre en vidence les
spcifications fonctionnelles qui en dcoulent.
MEHARI qui a t dvelopp dans cette optique est conforme ces spcifications et la manire de
se conformer ces spcifications est prsente.
1.1 Objectifs fondamentaux dune mthode de gestion directe des
risques
Les objectifs fondamentaux dune gestion directe et individuelle des risques auxquels lentreprise
ou lorganisation est expose, sont :
Identifier tous les risques auxquels lentreprise est expose.
Quantifier le niveau de chaque risque.
Prendre, pour chaque risque considr comme inadmissible, des mesures pour que le
niveau de ce risque soit ramen un niveau acceptable.
Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur
niveau.
Sassurer que chaque risque, pris individuellement, est bien pris en charge et a fait
lobjet dune dcision dacceptation, de rduction, dvitement ou de transfert.
En fonction de ces objectifs, lensemble des processus et tapes dcrits dans la norme ISO/IEC
27005 doivent tre prciss et spcifis. Cest prcisment le but de ce document que de dcrire
les principes et spcifications fonctionnelles induits par les objectifs fondamentaux cits plus haut
et dexpliquer leur ncessit pour atteindre les buts recherchs.
1.2 Plan du document
Nous prsenterons ces diffrents aspects en suivant un plan proche de celui de lISO/IEC 27005
en traitant successivement :
Lapprciation des risques
Le traitement des risques
Les processus de gestion des risques.
Le plan densemble et les diffrents aspects abords sont reprsents schmatiquement ci-
dessous.
Identification
Quels risques ?
Estimation
Quelle gravit ?
valuation
Acceptabilit ?
Apprciation du risque
Acceptation Rduction Transfert vitement
Traitement du risque
Plans
daction
Mise en
uvre
Contrle et
pilotage
Gestion des risques

2. Rfrences normatives
Les documents rfrencs ci-dessous, sont utiles pour lapplication de ce document :
ISO/IEC 27001 :2005, Information technology Security techniques Information security
management systems - Requirements
ISO/IEC 27005 :2008, Information technology Security techniques Information security risk
management
3. Termes et dfinitions
Les termes cits ci-dessous ont une dfinition spcifique introduite dans ce document et
ncessaire la comprhension de ce document.
3.1 Enjeu de la scurit
Consquences dun incident de scurit sur les objectifs de lorganisme.
3.2 Impact
Consquence, pour lorganisme concern, de loccurrence du risque considr.
3.3 Impact intrinsque
Consquence, pour lorganisme concern, de loccurrence du risque considr en labsence de
toute mesure de scurit.
3.4 Menace
Description de lensemble des lments conduisant loccurrence du risque incluant lvnement
dclencheur et son caractre volontaire ou accidentel, lacteur dclenchant cet vnement et les
circonstances dans lesquelles survient cet vnement.
3.5 Potentialit
Probabilit de loccurrence du risque considr, dans le contexte lorganisme concern ;
3.6 Potentialit intrinsque
Probabilit de loccurrence du risque considr, dans le contexte lorganisme concern, en
labsence de toute mesure de scurit.
3.7 Scnario de risque
Description de lensemble des caractristiques dun risque, incluant lactif concern, la
vulnrabilit intrinsque de cet actif mise en cause et la menace conduisant loccurrence du
risque.
3.8 Service de scurit
Description dune fonction de scurit rpondant un besoin.
3.9 Vulnrabilit intrinsque
Caractristique intrinsque dun systme, dun objet ou dun actif constituant un point
dapplication potentiel de menaces.
3.10 Vulnrabilit contextuelle
Dfaut ou faille dans les dispositifs de scurit pouvant tre exploit par une menace pour
atteindre un systme, un objet ou un actif cible

4. Lapprciation des risques
4.1 Introduction
Lapprciation des risques consiste identifier, aussi exhaustivement que possible, tous les risques
auxquels lentreprise ou lorganisation est expose, en estimer individuellement la gravit et
juger du caractre acceptable ou non de chaque risque ainsi valu.
Chacune des tapes constituant ce processus doit ainsi tre conduite avec cette exigence dtre
mme de porter un jugement prcis sur la gravit de chaque risque, en fonction du contexte, et
notamment des mesures de scurit existantes.
Nous reprenons ci-dessous les trois tapes du processus global dapprciation des risques que
sont :
Lidentification des risques,
Lestimation des risques,
Lvaluation des risques.
4.2 Lidentification des risques
Identification
Quels risques ?
Estimation
Quelle gravit ?
valuation
Acceptabilit ?
Apprciation des risques

Le but de cette tape est non seulement la recherche et la reconnaissance de situations de risques,
cest--dire de certains types de risques, mais une caractrisation de chacun de ces risques
suffisamment prcise pour tre mme den estimer la gravit.
Ceci pose deux questions :
Quels sont les lments caractristiques des risques quil est ncessaire de mettre en
vidence et avec quel degr de dtail doivent-ils tre prciss ?
Quel est le meilleur processus pour y arriver ?
4.2.1 Les lments caractristiques des risques
Les paragraphes ci-dessous dfinissent et dcrivent les lments qui doivent faire partie de la
description des risques et en justifient la ncessit. Ces lments sont :
Lactif,
La vulnrabilit intrinsque de cet actif mise en cause par le risque,
Le dommage subi,
La menace.
4.2.1.1 Lactif
Justification
Les actifs sont le sujet principal du risque : ce sont eux qui vont subir un dommage et le risque
nat bien du fait quune certaine forme dactif est susceptible de subir un dommage.
Il est bien clair ds lors que les consquences et que la gravit de la survenance du risque dpendent
de la nature de ces actifs et donc que celle-ci doit faire partie de la caractrisation du risque.
Mode de description des actifs
a. Les actifs primaires
La description des actifs devant servir valuer les consquences des risques auxquels ils sont
exposs, les lments cls doivent se rfrer aux besoins des organisations que lon peut, dans un
premier temps, classer dans trois catgories :
Les services (informatiques, de tlcommunication et gnraux),
Les donnes ncessaires au fonctionnement des services,
Les processus de gestion.
Dans chaque catgorie, des types dactifs primaires doivent tre distingus, en fonction :
De la nature des besoins,
De la nature des prestataires de service.
Et ventuellement :
Du domaine dactivit et de domaines de responsabilit diffrents,
De la technologie employe,
Des utilisateurs concerns.
Ces typologies doivent correspondre des types de besoins et tre dcrites au niveau fonctionnel.
Spcification
Les actifs primaires seront dcrits selon des catgories de services, de donnes et de
processus de gestion et, dans chaque catgorie, selon des typologies correspondant des
besoins fonctionnels.
MEHARI est conforme cette spcification et la typologie dactifs primaires partir de laquelle a
t cre la base de connaissances de MEHARI 2010 est donne dans lannexe A1.
Remarque : Les actifs primaires correspondent aux besoins des organisations et cest donc ce
niveau quil conviendra dvaluer (voir plus loin) limportance de ce besoin, importance dont il
sera tenu compte pour juger du niveau de risque.
b. Les actifs secondaires ou actifs de support
Les actifs ont des vulnrabilits et ce sont elles dont lexploitation conduit au risque.
Pour rechercher ces vulnrabilits, il est essentiel, cependant, de distinguer, pour chaque actif
primaire :
les diverses formes quil peut revtir,
les diverses contingences dont il peut dpendre.
Ces formes et contingences peuvent tre regroupes sous lappellation dactifs secondaires ou
dactifs de support.
Autant les actifs primaires correspondent des besoins fonctionnels, autant les actifs secondaires
correspondent un niveau matriel et concret et aux moyens ncessaires la ralisation des
besoins fonctionnels.
Spcification
Les actifs secondaires seront dcrits en typologies correspondant des moyens
ncessaires la ralisation des besoins fonctionnels dcrits par les actifs primaires.
MEHARI est conforme cette spcification et la typologie dactifs secondaires partir de laquelle
a t cre la base de connaissances de MEHARI 2010 est donne dans lannexe A2.
c. Caractrisation de lactif soumis risque
Lobjectif de gestion directe des risques conduit ainsi caractriser chaque risque par un actif et
cet actif par sa catgorie, son type dactif primaire et son type dactif secondaire.
Exemples issus des tableaux dactifs de MEHARI 2010 donns en annexes A1 et A2 :
Serveur support dun service applicatif,
Configuration logicielle support de la messagerie,
Compte utilisateur ncessaire laccs aux services bureautiques.
Spcification
Chaque risque identifi doit comprendre la description de lactif concern et cette
description doit prciser le type dactif primaire ainsi que le type dactif secondaire.
4.2.1.2 La vulnrabilit intrinsque et la vulnrabilit contextuelle
Le risque nat du fait que lactif considr possde une ou plusieurs vulnrabilits.
Il est cependant ncessaire de prciser le sens donn au mot vulnrabilit. En effet, on peut
dfinir ce quest une vulnrabilit de deux manires :
La premire est de la dfinir comme une caractristique intrinsque dun systme, dun objet ou
dun actif constituant un point dapplication potentiel de menaces (par exemple : le fait que le
support dun document soit dgradable).
Cest ce que nous appellerons une vulnrabilit intrinsque.
La deuxime est oriente sur les processus de scurisation et sur leurs dfauts ventuels. On
dfinit alors une vulnrabilit comme un dfaut ou une faille dans les dispositifs de scurit
pouvant tre exploit par une menace pour atteindre un systme, un objet ou un actif cible (par
exemple : labsence de protection contre les intempries).
Cest ce que nous appellerons une vulnrabilit contextuelle.
Lutilisation de cette deuxime conception des vulnrabilits nest pas bien adapte pour
lidentification des risques car elle a linconvnient majeur de faire dpendre les risques identifis
et grs des mesures de scurit, donc de la connaissance de ces mesures, ce qui nest pas
toujours le cas.
Les vulnrabilits intrinsques des actifs sont, par contre, essentielles pour dcrire des
risques et doivent tre recherches et identifies.
Ces vulnrabilits dpendent du type dactif secondaire. En effet, les vulnrabilits intrinsques
sont essentiellement dues la forme de lactif (support matriel, support logiciel, etc.) forme qui
est dfinie par le type dactif secondaire.
On notera par ailleurs que la vulnrabilit intrinsque dun actif peut tre dcrite comme une
possibilit particulire de dommage subi par cet actif. Il revient ainsi au mme de dcrire le
dommage subi ou la vulnrabilit intrinsque.
La liste des vulnrabilits intrinsques partir de laquelle a t cre la base de connaissances de
MEHARI 2010 est donne en annexe B. Cette liste indique, pour chaque type dactif secondaire, le
type de dommage subi et, dune manire plus littrale mais rigoureusement quivalente, la
possibilit de ce dommage.
Il faut noter que pour un risque donn, cest une seule vulnrabilit intrinsque qui est concerne.
Spcification fonctionnelle
Chaque risque identifi doit comprendre la description de la vulnrabilit intrinsque
mise en cause.
MEHARI est conforme cette spcification.
4.2.1.3 Le dommage subi
Le type de consquence peut tre implicitement donn par la vulnrabilit exploite, mais il est
des cas o il est encore ncessaire de le prciser (par exemple en cas de vol, la consquence
redoute peut-tre la perte de disponibilit ou la perte de confidentialit).
Il sagit l, pour les actifs de type Donnes ou Services de prciser un des critres de consquence
Disponibilit, Intgrit ou Confidentialit a minima, ventuellement en se rfrant dautres
critres de consquences tels que la valeur de preuve.
Pour les actifs de type Processus de gestion, il ny a pas toujours de liste prcise de critre
prciser, le dommage subi prcisant directement ce point.
Dans un cas comme dans lautre, le dommage subi doit tre prcis.
Spcification fonctionnelle
Chaque risque identifi doit prciser le type de dommage subi.
4.2.1.4 La menace provoquant loccurrence du risque
Il ny a pas de risque sil ny a pas une cause, qui fait que la vulnrabilit intrinsque de lactif est
effectivement exploite. Les normes et rfrentiels de scurit, dont lISO/IEC 27005, font appel
la notion de menace pour dcrire cette cause.
Il est cependant ncessaire dinclure dans la menace dautres aspects que la simple cause.
Justification
Il est ncessaire de prciser galement tout ce qui peut dcrire la manire dont le dommage
pourrait survenir et, notamment, tout ce qui peut avoir une influence sur la probabilit
doccurrence du risque.
Cest ainsi quil est ncessaire de dcrire :
Lvnement dclenchant loccurrence du risque (cet vnement est souvent dj
dcrit par le type de vulnrabilit)
Le caractre volontaire ou accidentel de cet vnement
Lacteur dclenchant cet vnement
Les circonstances dans lesquelles survient cet vnement
Il est clair, en effet, que chacun de ces paramtres influe sur la probabilit doccurrence du risque.
Description
Les deux premires catgories sont souvent runies dans le mme descriptif, ce que nous ferons ici.
a. vnements
Les vnements peuvent tre dcrits par catgories et par types au sein de chaque catgorie.
Les catgories minimales considrer devraient tre :
Les accidents
Les erreurs
Les actes volontaires, malveillants ou non
Dans chaque catgorie, des types dvnements devraient tre dfinis et dcrits en fonction
daspects tels que :
Le cause interne ou externe lentit
Laspect matriel ou immatriel
Tout lment pouvant avoir une influence sur la probabilit de survenance de
lvnement
La typologie dvnements partir de laquelle a t cre la base de connaissances de MEHARI
2010 est donne en annexe C1
b. Les acteurs dclenchant la menace
Pour les menaces mises excution par des personnes, il est important de distinguer des
catgories de personnes en fonction de leurs droits et privilges.
En effet, en fonction de ces droits :
Leurs capacits dclencher la menace seront plus ou moins grandes et donc la
probabilit doccurrence plus ou moins forte
Les mesures de scurit mettre en uvre seront diffrentes et donc, en fonction des
mesures effectivement mises en uvre ou non, les probabilits doccurrence seront
plus ou moins grandes.
Le tableau donn en annexe C2 met en vidence les catgories dacteurs partir desquelles a t
cre la base de connaissances de MEHARI 2010.
c. Les circonstances de survenance du risque
Les circonstances peuvent recouvrir des notions de :
Processus ou tapes de processus : par exemple, altration de fichiers lors de la
maintenance
Lieux : par exemple, vol de media dans tel ou tel type de local, lintrieur ou
lextrieur de lentreprise
Temps : par exemple, action mene en dehors ou pendant des heures ouvrables
La recherche des circonstances particulires dignes dintrt est entreprendre pour finaliser la
description de chaque risque.
Spcification
Chaque risque identifi doit comprendre une description dtaille de la menace
comprenant :
Lvnement dclencheur et son caractre volontaire ou accidentel
Lacteur dclenchant cet vnement
Les circonstances dans lesquelles survient cet vnement
4.2.1.5 Le scnario de risque
Les diffrents lments requis pour la description dun risque peuvent tre rassembls sous la
forme dun scnario de risque reprenant sous une forme libre les divers aspects cits plus haut.
Cest ainsi que la base de scnarios de la base de connaissances de MEHARI 2010 comprend une
description libre de chaque scnario.
4.2.2 Le processus didentification des risques
Le processus didentification des risques est, de toute vidence, essentiel, puisque tout risque
ignor lors de ce processus ne fera lobjet daucune analyse ni daucun plan de traitement.
Certes, il est possible de se rfrer une liste de risques gnriques dcrits dans une base de
donnes, telle que celle de MEHARI, mais il est alors ncessaire, pour pouvoir se fier une telle
liste, de savoir sur la base de quels principes elle a t tablie.
Il est donc ncessaire de spcifier le processus didentification des risques.
Lobjectif tant de sassurer que la liste des risques obtenue sera aussi exhaustive que possible,
trois tapes doivent tre distingues :
Llaboration de la liste des lments caractristiques des risques
Llaboration de la liste des risques thoriquement possibles
La slection dans cette liste, de tous les risques possibles dans le contexte prcis de la
gestion des risques en cours.
Chacune de ces tapes est prcise et spcifie ci-dessous.
4.2.2.1 laboration des lments caractristiques des risques
Il sagit l de prciser et de spcifier les typologies de chaque catgorie dlments voque plus
haut dans ce document, savoir :
Les types dactifs primaires
Les types dactifs secondaires
Les vulnrabilits intrinsques attaches chaque type dactif secondaire
Les types dvnements dclencheurs
Les types dacteurs
A noter que les circonstances de survenance du risque seront plus facilement dcrites lors de
ltape suivante dlaboration des risques possibles.
Justification
Il est important, en effet, lors de llaboration de la liste de risques, de lister sparment tous les
composants lmentaires pour garantir que toute la combinatoire possible sera prise en compte
lors de ltape suivante.
Spcification
Des typologies seront tablies pour chaque type dlment de risque, ainsi que list ci-dessus.
4.2.2.2 laboration de la liste des risques possibles
Il sagit l de rechercher toutes les combinaisons possibles et plausibles dlments et de les
prciser ventuellement par des circonstances de survenance du risque.
Pour tablir cette liste, il est recommand de partir des actifs.
En effet, cest le plus souvent en se rfrant des actifs primaires ou secondaires, que lon sera
mme de mettre en vidence des circonstances particulires de risque telles que des phases de
processus, des priodes calendaires ou des priodes de temps, voire des situations gographiques
particulires.
Spcification
Toutes les combinaisons possibles seront listes et, chaque fois que ncessaire,
prcises par les circonstances de survenance du risque
Le processus global est reprsent ci-dessous.
Vulnrabilit
Menace
Description dun risque
vnement
dclencheur
Acteur
Circonstances
de survenance
Vulnrabilit
intrinsque
Liste
de
risques
Dommage
subi
Actif primaire
Actif
secondaire
Actif

4.2.2.3 Dveloppement dune base de connaissances de risques types
La plus grande partie, si ce nest lintgralit, du processus ci-dessus est trs gnrale et peut
donner le mme rsultat pour de nombreuses entits. Il est, ds lors, naturel de drouler ce
processus de manire gnrique afin de dvelopper une base de connaissances de risques types
qui sera utilisable par de nombreuses entits, soit intgralement, soit avec quelques adaptations.
Les avantages procurs par une telle base de connaissances sont la mutualisation des moyens de
dveloppement et lenrichissement de la base par une communaut dutilisateurs.
MEHARI inclut ainsi une base de risques types appels base de scnarios de risque .
4.2.2.4 Slection des risques prendre en compte
Une dernire tape, dans le processus didentification des risques, consiste liminer de la liste ci-
dessus, les risques impossibles dans le contexte prcis de lorganisation concerne ou sortant du
cadre de la gestion des risques concerne.
Ceci sapplique particulirement dans le cas dutilisation dune base de risques types telle que celle
propose par MEHARI.
4.2.3 Synthse de lidentification des risques
Lidentification des risques est ainsi un processus qui comprend diffrentes tapes, chacune ayant
des livrables bien dfinis et contribuant llaboration dune liste de scnarios de risque valuer,
ainsi que montr schmatiquement ci-dessous.

Analyse des besoins :
services
donnes
Processus de management
Typologie et liste
dactifs primaires
Analyse des actifs primaires :
formes
contingences
Typologie et liste
dactifs secondaires
Analyse des actifs secondaires :
vulnrabilits intrinsques
Liste des vulnrabilits des
actifs secondaires
Analyse des menaces :
vnements dclencheurs
Analyse des acteurs susceptibles
dinitier lvnement
Analyse des conditions de
survenance : processus, lieux, etc.
Typologie et liste
dvnements dclencheurs
Typologie dacteurs associs
aux vnements dclencheurs
Typologie des paramtres de
conditions prciser
Typologie des dommages
potentiels
Liste
de
Scnarios
de
Risque
valuer

4.3 Lestimation des risques
Identification
Quels risques ?
Estimation
Quelle gravit ?
valuation
Acceptabilit ?
Apprciation des risques

Le but de cette tape est destimer la gravit de chaque risque prcdemment identifi, et ceci en
tenant compte des mesures de scurit mises en place.
Ceci tant, il se peut que la liste des scnarios de risques soit importante et quil soit souhait de
faire une premire slection pour limiter la gestion des risques une liste rduite de risques,
notamment les risques estims a priori comme majeurs .
Par ailleurs, il peut galement tre souhaitable de slectionner les risques qui seront maintenus
sous contrle et grs , sans tenir compte des mesures de scurit, pour viter, en particulier,
de perdre le contrle dune situation de risque actuellement rduite un niveau acceptable mais
qui pourrait, par lvolution du contexte ou de la technologie, redevenir critique.
Il est donc ncessaire de dfinir et de pouvoir estimer :
Une gravit de risque intrinsque , cest--dire sans tenir compte des mesures de
scurit
Une gravit de risque rsiduelle , tenant compte des mesures de scurit en place
Ceci pose deux questions :
Quels sont les lments mesurables des risques et quelle mtrique densemble est
ncessaire pour estimer les gravits intrinsque et rsiduelle des risques?
Quel est le meilleur processus pour y arriver ?
4.3.1 Les lments mesurables et la mtrique des risques
La mesure du risque, classiquement, repose sur deux paramtres :
Le niveau de gravit des consquences, que nous appellerons impact
Le niveau de vraisemblance ou probabilit, que nous appellerons potentialit
Une apprciation globale et directe de ces deux paramtres savre gnralement difficile ; il est
donc prfrable de recourir une approche plus analytique en dcomposant ces paramtres en
plusieurs niveaux et en valuant sparment :
Limpact intrinsque, hors toute mesure de scurit
La potentialit intrinsque, hors toute mesure de scurit
Leffet des mesures de scurit sur ces deux premiers paramtres
Nous analysons ci-dessous les principes qui sous-tendent ces estimations.
4.3.1.1 Limpact intrinsque
Limpact intrinsque est dfini par le niveau maximum des consquences possibles pour
lorganisation, en labsence de toute mesure de scurit visant, prcisment, amoindrir ces
consquences.
Justification
En effet, on pourrait envisager dvaluer directement le niveau dimpact en tenant compte des
mesures de scurit. Le passage par limpact intrinsque est justifi par une plus grande facilit
danalyse et par deux raisons complmentaires :
Dune part les mesures prises ou envisages pour amoindrir ces consquences peuvent
se rvler non prennes ou inoprantes et limpact intrinsque permet dvaluer le
niveau de consquences atteint dans cette hypothse.
Dautre part, les dirigeants peuvent avoir tendance sous-estimer les risques par
surestimation de leffet des mesures de scurit existantes ; ils auront un meilleur
jugement sur la situation de risque et sa gravit en commenant par se placer dans
lhypothse o il ny a aucune mesure de scurit.
Plus prcisment, si limpact intrinsque savre important, la question de la qualit et de
lefficacit des moyens utiliser pour lamoindrir sera invitablement pose, alors que
seule lexistence de moyens pertinents aurait pu tre voque si lon tait pass par une
valuation directe de limpact rsiduel.
Considrations complmentaires prendre en compte
Ceci tant deux considrations sont prendre en compte :
Une fois un sinistre survenu, lorganisation aura des ractions naturelles de dfense
qui, mme en labsence de mesures organises et prvues, permettront de minimiser
les consquences du sinistre.
De mme, il peut exister des mesures limitant les consquences et non susceptibles
dtre remises en cause parce quexternes ou lies un contexte permanent.
Dans ces cas prcis et dans ces cas seulement, on peut tenir compte de ces mesures pour valuer
limpact intrinsque dun risque.
Spcification
Limpact intrinsque dun risque doit tre valu sans tenir compte des mesures de
scurit visant amoindrir cet impact. Il se rfre un type dactif, primaire ou
secondaire, et un type de consquence.
4.3.1.2 La potentialit intrinsque
La potentialit intrinsque est dfinie comme la probabilit maximale de survenance du risque, en
labsence de toute mesure de scurit visant, prcisment, amoindrir cette probabilit.
Justification
En effet, on pourrait envisager dvaluer directement le niveau de potentialit en tenant compte
des mesures de scurit. Le passage par la potentialit intrinsque est justifi, comme pour
limpact intrinsque, par une plus grande facilit danalyse et par les deux raisons
complmentaires voques plus haut et rappeles ci-dessous :
Dune part les mesures prises ou envisages pour amoindrir la probabilit de
survenance peuvent se rvler non prennes ou inoprantes et la potentialit
intrinsque permet dvaluer le niveau de probabilit atteint dans ce cas.
Dautre part, les dirigeants peuvent avoir tendance sous-estimer les risques par
surestimation de leffet des mesures de scurit existantes ; ils auront un meilleur
jugement sur la situation de risque et sa probabilit de survenance en commenant par
se placer dans lhypothse o il ny a aucune mesure de scurit.
Plus prcisment, si la potentialit intrinsque dun scnario de risque savre
importante, la question de la qualit et de lefficacit des moyens utiliser pour que sa
probabilit de survenance soit faible sera invitablement pose, alors que seule
lexistence de moyens pertinents aurait pu tre voque si lon tait pass par une
valuation directe de la potentialit.
Les acteurs et conditions de survenance seront importants lors de la prise en compte des mesures
de scurit (lefficacit en dpendant) mais les mesures dj en place ne sont pas considrer
pour la potentialit intrinsque, puisque par dfinition on ne prend en compte aucune mesure de
scurit ce stade.
Description
Lactivit de chaque entreprise, son contexte conomique, social, gographique, ... font que
chacune est plus ou moins expose chaque type de risque, indpendamment de toute mesure
prise :
Une entreprise de haute technologie et leader sur son march est plus expose quune
autre au risque de piratage ou despionnage.
Une entreprise localise en bordure de rivire est plus expose quune autre au risque
dinondation
Une entreprise traitant des flux financiers importants est plus expose quune autre
des tentatives de fraude.
Il sagit donc de sinterroger sur lexistence de facteurs pouvant favoriser lexposition de
lentreprise au type de risque considr et donc lvnement qui le dclenche.
La potentialit intrinsque dun vnement donn peut dpendre :
de sa localisation et de son environnement, pour les risques naturels,
de l'enjeu potentiel d'un acte volontaire, pour son auteur (vol, dtournement,
satisfaction intellectuelle, etc.)
de la probabilit qu'une action volontaire vise spcifiquement l'entreprise (inversement
proportionnelle au nombre de cibles potentielles : notion de ciblage)
Spcification
La potentialit intrinsque d'un risque est celle de l'vnement qui le dclenche. Elle
doit tre value en faisant abstraction des mesures de scurit existantes qui auraient
comme effet de rduire sa probabilit doccurrence.
Remarque : La potentialit intrinsque peut galement tre appele Exposition naturelle au
risque considr
4.3.1.3 Leffet des mesures de scurit : facteurs de rduction des risques
Les mesures de scurit mises en place sont susceptibles dintervenir comme des facteurs de
rduction des risques et il est ncessaire, pour pouvoir grer les risques, de comprendre
comment, par quels effets, et quel degr ces mesures peuvent rduire le niveau de risque.
Certaines mesures ont une influence sur la potentialit, dautres sur le niveau de consquences, ou
impact, et ceci de plusieurs manires quil est important de distinguer.
Les facteurs de rduction de potentialit
Les mcanismes par lesquels des mesures adquates peuvent rduire la potentialit du risque sont
divers, peuvent se cumuler ou non et ne sadressent pas tous aux mmes acteurs.
Il est possible de distinguer, par exemple :
Le fait dempcher totalement un vnement de survenir
Le fait dempcher ou non un vnement de survenir, en fonction de la svrit de cet
vnement
Le fait de rendre plus difficile raliser un acte malveillant (et donc de le rendre
ralisable par un moindre nombre de personnes)
Le fait dinterdire une action humaine
Le fait dinterdire et dexercer un contrle
Le fait dinterdire, de contrler et de punir svrement le non respect de la rgle
Les mesures ci-dessus relvent, en fait, de deux ordres ou de deux types de mcanismes :
La dissuasion, qui a comme objectif, pour les actions humaines, de rendre moins
probable que lacteur passe rellement laction.
La prvention qui a pour objectif de rendre moins probable que laction, humaine ou
non, aboutisse la ralisation du risque
La dissuasion
La dissuasion repose, de fait, sur trois principes :
L'imputabilit de l'action son auteur, ce qui met en jeu des mcanismes techniques et
organisationnels valuables (existence de traces, authentification de l'auteur, solidit de
la preuve, ...).
L'existence de sanctions dont la svrit est galement valuable.
La connaissance, par l'auteur, des possibilits d'imputation et des sanctions alors
encourues.
Le niveau de dissuasion est, ainsi, susceptible dtre valu et quantifi. Il convient pour cela de se
rfrer une chelle de niveaux de dissuasion, dfinir ou au moins valider pour chaque
entreprise, ainsi que cela sera dvelopp plus loin.
La prvention
La prvention dpend, bien videmment, des vnements que lon veut empcher de survenir. Il
sagit, le plus souvent, de mesures techniques et de mcanismes de contrle dont il est possible
dvaluer lefficacit et la robustesse.
Le niveau de prvention est ainsi susceptible dtre valu et quantifi. Il convient pour cela de se
rfrer une chelle de niveaux de prvention, dfinir ou au moins valider pour chaque
Spcification
Les facteurs de rduction de la potentialit sont la dissuasion et la prvention. Ces
facteurs doivent tre valus et quantifis en se rfrant des chelles de niveau, quil
convient de dfinir pralablement.
Les facteurs de rduction d'impact
Les mcanismes par lesquels des mesures adquates peuvent rduire l'impact du risque (le niveau
de ses consquences) sont divers, peuvent se cumuler ou non et ne sadressent pas tous aux
mmes types de consquences.
Il est possible de distinguer, par exemple :
Le fait de limiter dans l'absolu le niveau maximum des consquences directes
possibles,
Le fait dempcher la propagation d'un sinistre initial,
Le fait de prvoir la rparation dun quipement suite un sinistre matriel,
Le fait de prvoir la restauration d'un tat dorigine suite un sinistre immatriel,
Le fait de prvoir des moyens de secours,
Les mesures ci-dessus relvent, en fait, de deux ordres ou de deux types de mcanismes :
Le confinement, qui a comme objectif de limiter l'ampleur des consquences directes,
L'effet palliatif qui a pour objectif de minimiser les consquences indirectes du risque
par une anticipation de la gestion de crise.
Le confinement
Le confinement repose sur divers types de mcanismes ayant en commun dimposer des limites
aux consquences du risque :
La fixation de limites des vnements pouvant se propager, telles que des limites
physiques certains types de sinistres (cloisons anti-feu, par exemple),
La fixation de points de contrle intermdiaires dans des processus pour viter la
propagation derreurs ou danomalies,
La surveillance du droulement de processus pour limiter les consquences dune
drive pouvant occasionner des consquences plus svres,
La fixation de limites aux variations possibles de paramtres (limitation des montants
de versements, limitation des carts entre deux tats avec dclenchement de contrles
en cas de dpassement, par exemple).
Le niveau de confinement est susceptible dtre valu et quantifi. Il convient pour cela de se
rfrer une chelle de niveaux de confinement, dfinir ou au moins valider pour chaque
Leffet palliatif
Cet effet, parfois appel palliation, ne change rien aux consquences directes, cest--dire au
sinistre lui-mme, mais conduit minimiser les consquences indirectes du sinistre. Les mesures
correspondantes reposent sur divers types de mcanismes :
Les plans de maintenance matrielle ou logicielle,
Les plans de sauvegarde et de restauration de donnes,
Les plans de secours et plans de continuit dactivit,
Les plans de gestion et de communication de crise.
Le niveau deffet palliatif est susceptible dtre valu et quantifi. Il convient pour cela de se
rfrer une chelle de niveaux de palliation, dfinir ou au moins valider pour chaque
Spcification
Les facteurs de rduction dimpact sont le confinement et la palliation (ou facteur
palliatif). Ces facteurs doivent tre valus et quantifis en se rfrant des chelles de
niveau, quil convient de dfinir pralablement.
4.3.1.4 Influence du niveau de qualit des mesures de scurit existantes
Il est bien clair que ces facteurs de rduction de risque ne dpendent pas uniquement de la nature
des mesures de scurit existantes mais aussi de leur niveau de qualit. Certaines implmentations
peuvent comprendre des mcanismes plus efficaces que dautres et il convient, bien entendu, de
pouvoir en tenir compte.
Spcification
Le processus dvaluation des facteurs de rduction des risques doit permettre de tenir
compte des niveaux de qualit des mesures de scurit pertinentes pour chaque risque.
En pratique, cette mesure de niveau de qualit revient rechercher les faiblesses ventuelles, non
seulement des mcanismes mis en uvre, mais galement des conditions et du contexte de cette
mise en uvre.
Il ne sagit de rien dautre que dvaluer le niveau de vulnrabilit contextuelle
1
associe chaque
risque.
4.3.1.5 Utilisation dune base de connaissance des risques
Si les risques sont identifis avec laide dune base de connaissance des risques types, telle quelle
a t voque au paragraphe 4.2.2.3, il est alors possible de complter cette base pour inclure, au-
del de la simple description des lments caractristiques de chaque risque, des informations sur
les mesures de scurit pertinentes pour chaque risque type, sur les critres permettant de juger
de la qualit de ces mesures et sur les relations entre ces niveaux de qualit et le niveau des
facteurs de rduction des risques.
MEHARI et sa base de connaissances contiennent effectivement tous ces lments et, en
particulier :
Une spcification des services de scurit incluant des critres de jugement de
niveau de qualit et une mtrique de mesure (reportes en annexe G1),
Un manuel de rfrence des services de scurit,
Une base experte de questionnaires de diagnostic de la qualit des services de scurit,
La rfrence, pour chaque facteur de rduction de risque de chaque risque de la base
de connaissances, des services de scurit pertinents et des formules permettant
dvaluer les effets combins de ces services.
Remarque : les questionnaires de diagnostic de la qualit des services de scurit peuvent
galement tre appels questionnaires daudit des vulnrabilits (contextuelles).
4.3.2 Processus destimation des risques
Le processus destimation des risques comprend deux phases :
Une phase que lon pourrait qualifier de stratgique dans la mesure o elle
correspond la mise en place des bases et rfrences dvaluation.
Une phase plus oprationnelle, pendant laquelle les estimations des risques seront
menes bien en sappuyant sur les bases et rfrences voques plus haut
4.3.2.1 Llaboration des lments de rfrence
Il sagit l de btir les diffrentes dfinitions de niveaux qui serviront valuer les divers
paramtres de chaque risque voqus prcdemment et, plus prcisment de dfinir :
Lchelle dimpact,
Lchelle de potentialit,
Les chelles de niveau des diffrents facteurs de rduction des risques.
laboration de lchelle dimpact
Lchelle dimpact a pour objectif de hirarchiser des niveaux de consquences.
Justification
Le niveau de consquences tant un lment majeur de lestimation des risques, une dfinition
aussi claire que possible et dnue dambigut doit tre recherche et tablie.

1
Voir dfinition de ce terme aux paragraphes 3.9 et 4.2.1.2
Description
Il sagira forcment destimation et non de mesure et il serait donc illusoire davoir trop de
niveaux de consquences. Le choix de 4 niveaux semble un bon compromis.
Spcification
Il est ncessaire de dfinir le nombre de niveaux dimpact et den donner une dfinition.
Cette dfinition doit se rfrer des niveaux de gravit de consquences.
Toute dfinition relie autre chose que des niveaux de gravit serait impropre la gestion
directe des risques.
Les commentaires et explications sont souhaitables pour favoriser les prises de dcisions quant au
niveau de gravit qui pourrait tre atteint.
MEHARI est conforme cette spcification et comprend les commentaires souhaits.
Nous donnons en annexe D les dfinitions correspondant lchelle 4 niveaux propose
comme standard par MEHARI 2010.
laboration de lchelle de potentialit
Lchelle de potentialit a pour objectif de hirarchiser des niveaux de probabilit.
Justification
Le niveau de potentialit tant un lment majeur de lestimation des risques, une dfinition aussi
claire que possible et dnue dambigut doit tre recherche et tablie.
Description
Il sagira forcment destimation et non de mesure et il serait donc illusoire davoir trop de
niveaux de potentialit. Le choix de 4 niveaux semble, l encore, un bon compromis.
Spcification
Il est ncessaire de dfinir le nombre de niveaux de potentialit et den donner une
dfinition. Cette dfinition doit se rfrer des niveaux de probabilit.
Toute dfinition relie autre chose que des niveaux de probabilit serait impropre la gestion
directe des risques.
Les commentaires et explications sont souhaitables pour favoriser les prises de dcisions quant au
niveau de potentialit qui pourrait tre atteint.
MEHARI est conforme cette spcification et comprend les commentaires souhaits.
Nous donnons en annexe D les dfinitions correspondant lchelle 4 niveaux propose
comme standard par MEHARI 2010.
laboration des chelles de niveau des facteurs de rduction des risques
Chaque facteur de rduction de risque peut tre valu en se rfrant une chelle de niveau quil
faut donc au pralable fixer.
De mme que pour les chelles dimpact et de potentialit, le choix de quatre niveaux semble tre
un bon compromis entre une prcision excessive et une prcision insuffisante. Le point
important est que la dfinition de chaque niveau soit telle que lon puisse aisment choisir entre
un niveau et un autre.
Les chelles proposes comme standard par MEHARI 2010 sont donnes en annexe E1 et E2.
Spcification
Pour chaque facteur de rduction de risque, des niveaux seront dfinis en se rfrant
lefficacit des mesures correspondantes : mesures dissuasives, mesures prventives,
mesures de confinement et mesures palliatives.
4.3.2.2 Lestimation des risques
Lestimation des risques, qui sappuie sur les lments de rfrence dfinis pralablement comme
dcrit ci-dessus, comprend, pour chaque risque :
Lvaluation de limpact intrinsque et de la potentialit intrinsque,
Lvaluation des facteurs de rduction de risque,
Lvaluation de limpact et de la potentialit des risques, compte tenu de lexistence et
de la valeur de ces facteurs de rduction.
Lvaluation de limpact intrinsque et de la potentialit intrinsque
Ces deux valuations sont faire en se rfrant aux dfinitions de niveaux et en faisant
abstraction de toute mesure de scurit, ainsi que cela a t prcis plus haut.
Pour MEHARI, les processus dtaills correspondants sont dcrits dans la documentation : Guide
de lanalyse des enjeux, dune part, et guide de lanalyse et du traitement des risques, dautre part.
Lvaluation des facteurs de rduction des risques
Lvaluation de chaque facteur de rduction de risque est faire selon le processus suivant :
Rechercher les mesures (ou services) de scurit pertinents pour chaque scnario de
risque
Dterminer les effets (dissuasif, prventif, de confinement, palliatif) induits par chaque
mesure ou service de scurit
Pour chaque effet et pour chaque mesure, dterminer le niveau atteint en se rfrant
aux chelles de niveaux
Pour chaque effet, dterminer le niveau maximum atteint pour lensemble des mesures
retenues comme pertinentes pour ce risque,
Ce sont ces niveaux maximums qui fixent le niveau de chaque facteur de rduction de
risque (pour le risque analys).
Lutilisation dune base de connaissance des risques telle que celle voque au paragraphe 4.3.1.5
est, dans ce processus, fortement souhaitable, si ce nest ncessaire. Les arguments qui militent
pour lemploi dune base de connaissance sont, en effet, les suivants :
Lidentification des mesures de scurit pertinentes mme de rduire les facteurs de
rduction de risque doit tenir compte dun principe de prcaution : on ne doit prendre
en compte des mesures que si lon peut garantir quelles auront un effet. Laide des
experts qui ont labor une base de connaissances comprenant des mesures de scurit
et des questionnaires daudit associs sera alors bien utile.
La manire dont peuvent se combiner, se complter ou dpendre lune de lautre
plusieurs mesures de scurit est une affaire dexperts que lon na pas forcment sous
la main lors de lvaluation de facteurs de rduction de risques.
La prise en compte des niveaux de qualit des mesures de scurit (ou des niveaux de
vulnrabilit contextuelle) demande que lon ait dfini des questionnaires permettant
dvaluer ces niveaux, ce qui nest pas du ressort dun processus dvaluation,
La relation entre niveaux des mesures de scurit et niveaux de facteurs de rduction
de risque est galement une affaire dexperts.
Cest pour tenir compte tenu de tous ces aspects que MEHARI sappuie sur une base de
connaissance qui comprend une base de services de scurit , des questionnaires dvaluation
de la qualit de ces services et des formules permettant dvaluer les facteurs de rduction de
risques partir des rsultats dun audit des vulnrabilits contextuelles des services de scurit.
Lutilisation de la base MEHARI permet ainsi, aprs un diagnostic de la qualit des services de
scurit, une valuation du niveau des facteurs de rduction de risque de chaque scnario de
risque de la base.
Lvaluation de limpact et de la potentialit (rsiduels) des risques
Ces deux valuations se font partir des valuations dimpact intrinsque, de potentialit
intrinsque et des facteurs de rduction de risque.
valuation de la potentialit
Il sagit, pour la potentialit, dun jugement port sur le niveau de potentialit en fonction des
lments du scnario de risque et qui revient poser la question suivante :
Compte tenu de la potentialit intrinsque (ou de lexposition naturelle au risque), compte tenu
du niveau des mesures dissuasives (pour une action humaine) et compte tenu du niveau des
mesures prventives, quel niveau value-t-on la potentialit relle du risque ?
Cette valuation est de lordre de la dcision, mais afin de rendre les jugements correspondants
reproductibles, il est conseill de sappuyer sur des grilles de dcision (qui auront pu tre dfinies
lors de la phase stratgique, avec les chelles de niveau).
De telles grilles devraient alors tre fonction du type de scnario : accident, erreur ou action
volontaire humaine.
Les grilles de dcision proposes comme standard par MEHARI 2010 sont donnes en annexe F1.
Cette annexe indique, pour divers types de scnarios, et pour chaque niveau dexposition
naturelle (EXPO), en fonction des niveaux de mesures dissuasives (DISS) et des mesures
prventives (PREV) le niveau de potentialit rsultant.
valuation de limpact
Il sagit, pour limpact, dun jugement port sur le niveau dimpact en fonction des lments du
scnario de risque et qui revient poser la question suivante :
Compte tenu de limpact intrinsque, compte tenu du niveau des mesures de confinement (pour
les scnarios qui peuvent ltre) et compte tenu du niveau des mesures palliatives, quel niveau
value-t-on limpact rel du risque ?
Cette valuation est de lordre de la dcision, mais afin de rendre les jugements correspondants
reproductibles, il est conseill de sappuyer sur des grilles de dcision (qui auront pu tre dfinies
lors de la phase stratgique, avec les chelles de niveau).
De telles grilles devraient alors tre fonction du type de scnario : atteinte la disponibilit, la
confidentialit ou lintgrit, avec ventuellement un cas particulier pour des scnarios impact
limitable sans mesures palliatives possibles.
Les grilles de dcision proposes comme standard par MEHARI 2010 sont donnes en annexe F2.
Cette annexe indique, pour divers types de scnarios, et pour chaque niveau dimpact intrinsque
(II), en fonction des niveaux de mesures de confinement (CONF) et des mesures palliatives
(PALL) le niveau dimpact rsultant.
4.3.2.3 Lapprciation globale de chaque risque (gr)
Lapprciation de chaque risque repose ainsi sur une double valuation, celle de sa potentialit et
celle de son impact.
Cest en fonction de ces deux paramtres que les risques seront valus, selon les processus
dcrits ci-dessous.
4.3.3 Synthse de lapprciation de chaque scnario de risque
Lapprciation de chaque scnario de risque est ainsi un processus qui comprend diffrentes
tapes, chacune contribuant llaboration dun jugement individualis sur la potentialit et
limpact de chaque scnario de risque, ainsi que montr schmatiquement ci-dessous.
Analyse des consquences du
type de dommage sur lactif
concern (primaire et secondaire)
Impact intrinsque
Analyse de lensemble des
paramtres de la menace
(vnement, acteur, conditions)
Potentialit intrinsque
Analyse des effets dissuasifs et
prventifs induits par les mesures
de scurit existantes
Facteurs de rduction de
potentialit
Potentialit
rsiduelle
Analyse des effets de confinement
et palliatifs induits par les mesures
de scurit existantes
Facteurs de rduction de
limpact
Impact
rsiduel
Risque
apprci

4.4 Lvaluation des risques
Identification
Quels risques ?
Estimation
Quelle gravit ?
valuation
Acceptabilit ?
Apprciation du risque

La gravit du scnario ou de la situation de risque rsulte la fois de sa potentialit et de son impact
(rsiduels).
Il ne sagit pas, cependant, dune opration mathmatique entre ces deux valeurs mais dun simple
jugement sur le caractre acceptable ou non de la situation.
La seule question se poser, en fonction de la potentialit et de limpact du risque analys, est
celle-ci :
Cette situation de risque est-elle acceptable en ltat et sinon que proposer ?
La dcision daccepter un risque ou de le dclarer inacceptable doit tre prise par un processus
qui garantisse la constance de telle dcision.
A cette fin, il est ncessaire dtablir une table de dcision qui assurera la cohrence des dcisions
prises des instants diffrents ou par des personnes diffrentes.
Ces tables de dcisions peuvent tre reprsentes par des grilles dacceptabilit des risques qui
dfinissent, en fonction de limpact et de la potentialit estims, si le risque est acceptable ou non.
A titre dexemple, il est propos de dfinir trois types de risques :
Les risques insupportables, qui devraient faire lobjet de mesures durgence, en dehors
de tout cycle budgtaire.
Les risques inadmissibles qui devraient tre rduits ou limins une chance
dterminer, donc prendre en compte dans une planification (plan de scurit).
Les risques tolrs.
Les deux premires catgories correspondent ce que nous avons appel les risques inacceptables.
La grille de gravit standard de MEHARI 2010 est donne ci-dessous. Dans cet exemple, G est la
gravit globale value par la grille en fonction de limpact (I) et de la potentialit (P), une gravit
de 4 correspond un risque insupportable, une gravit de 3 un risque inadmissible et les
gravits infrieures des risques tolrs.

I = 4
G = 2 G = 3 G = 4 G = 4
I = 3
G = 2 G = 3 G = 3 G = 4
I = 2
G = 1 G = 2 G = 2 G = 3
I = 1
G = 1 G = 1 G = 1 G = 2
P = 1 P = 2 P = 3 P = 4
Grille dacceptabilit des risques

5. Le traitement des risques
Le traitement des risques comprend les diffrentes options possibles, une fois que les risques ont
t identifis, rpertoris et valus, cest--dire une fois que lon a port sur chacun dentre eux
un jugement sur son caractre acceptable ou non.
Il ne sagit pas ici de dcrire en dtail chacune des options, mais de faire ressortir ce que chaque
option peut entraner comme exigence vis--vis des mthodes de gestion des risques lis
linformation, afin de spcifier ce que doivent contenir ces mthodes pour tre mme de
supporter une gestion directe et individuelle des risques.
Nous aborderons donc successivement les quatre options principales de traitement des risques,
dcrites en particulier par la norme ISO/IEC 27005, et reprsentes par le schma ci-dessous,
savoir :
Lacceptation du risque,
La rduction du risque,
Le transfert du risque,
Lvitement du risque.
Acceptation Rduction Transfert vitement
Traitement du risque

5.1 Lacceptation du risque
Lacceptation du risque consiste, bien entendu, accepter la situation de risque dcrite par le
scnario de risque tel quexplicit plus haut dans ce document.
En fait, il serait plus correct et plus gnral de considrer que lentreprise ou lorganisme accepte
de ne rien faire vis--vis de cette situation.
Les raisons de cette dcision sont de deux ordres :
Cela couvre tous les cas o le risque a t valu comme acceptable au sens de la grille
dacceptabilit des risques parce que la combinaison de son impact et de sa potentialit
a t juge acceptable,
Cela couvre galement les cas o, bien que thoriquement inacceptable, il a t jug
impossible dy remdier par une autre voie ou que toute solution a t carte pour des
raisons conomiques.
Quoi quil en soit, il importe dans ces cas, et surtout dans le second, que cette acceptation du
risque fasse lobjet dun consensus et quune communication sur cette acceptation soit assure.
Cependant, cette communication ne requiert rien de plus quune description prcise de la
situation de risque, ce qui est dj assur par les spcifications dcrites dans les chapitres
prcdents.
Il ny a donc pas dexigences supplmentaires au titre de lacceptation du risque sauf,
probablement, mettre en place des indicateurs de suivi pour sassurer que les conditions
ventuelles de cette acceptation demeurent valables dans le temps.
5.2 La rduction du risque
La rduction du risque consiste rduire un des deux paramtres caractristiques du risque,
potentialit ou impact, voire les deux simultanment, par des actions prcises dcides pour
chaque risque identifi comme inacceptable.
Ces actions consistent essentiellement amliorer certains facteurs de rduction de risques par la
mise en place de mesures de scurit adaptes.
Le choix direct de solutions concrtes serait inadapt au processus de dcision que constitue la
rduction du risque, car il ferait dpendre la pertinence de la solution des volutions des
technologies. Il importe donc, ce stade de spcifier un besoin fonctionnel et de le faire tant au
niveau des finalits attendues que du niveau de performance vis. Cela conduit une notion de
service de scurit , notion essentielle pour le traitement des risques. Les services de scurit,
tels quutiliss par MEHARI, sont dfinis dans lannexe G1.
5.2.1 Le choix de services de scurit mettre en place pour augmenter cer-
tains facteurs de rduction du risque
5.2.1.1 Les services de scurit pertinents ou adapts un risque donn
Le processus de dcision relatif la rduction du risque consiste dabord slectionner des
services de scurit pertinents pour le scnario de risque concern et pour le facteur de rduction
de risque que lon souhaite amliorer.
Cela ncessite de pouvoir sappuyer sur une base de connaissances des services de scurit qui
devrait comprendre au minimum :
Une liste des services de scurit,
La finalit (ou les objectifs) de chaque service,
Les mcanismes techniques et organisationnels envisageables pour la mise en uvre
du service.
Spcification
Une mthode de gestion des risques doit proposer une base de connaissance des services
de scurit, dfinis au plan fonctionnel et celui des objectifs attendus de chaque
service.
MEHARI est conforme cette spcification
Nous donnons en annexe G2 la liste de services de scurit de MEHARI 2010.
Etant admis le principe dexistence de cette base de connaissances, il conviendra de choisir les
facteurs de rduction de risque et les services pertinents pour ce faire.
Le processus correspondant nest pas unique et il peut y avoir plusieurs manires de prsenter les
principales options stratgiques. Par ailleurs ce document na pas pour objet de spcifier un
processus de choix particulier.
5.2.1.2 Le choix de niveau de qualit cible pour un service de scurit mettre en place
Par contre, il ne fait pas de doute que lampleur de lamlioration des facteurs de rduction de
risque concerns dpend fortement des performances des services de scurit slectionns, ce qui
exige de pouvoir dfinir un niveau de qualit des services de scurit.
Il convient pour cela de dfinir des chelles de niveau, comme cela a t fait pour les paramtres
du risque.
Spcification
Il est ncessaire de dfinir des niveaux de qualit des services de scurit et den donner
une dfinition. Cette dfinition doit se rfrer des niveaux de force ou de comptence
quil faut avoir pour violer le service, le contourner, le court-circuiter et/ou linhiber ou
rendre inefficace la dtection de sa mise hors circuit.
Lchelle des niveaux de qualit des services de scurit de MEHARI 2010 est donne dans
lannexe G3.
5.2.1.3 Lvaluation de leffet combin de plusieurs services de scurit
Lvaluation de leffet combin de plusieurs services de scurit projets ou existants demeure un
tape importante du choix des services mettre en place dans une optique de gestion des risques.
Cela demande que des aides soient fournies et cest bien lobjet dune base de connaissances des
risques telle que prsente aux paragraphes 4.2.2.3, 4.3.1.5 et 4.3.2.2.
Spcification
Une base de connaissance incluant les risques et leurs lments caractristiques, les
services de scurit, les questionnaires dvaluation de la qualit des services de scurit
et des aides lvaluation des facteurs de rduction de risque en fonction de la qualit
des services de scurit doit faire partie de la mthode danalyse et de traitement des
risques.
Si une telle base nest pas fournie ou nest pas applicable dans un contexte donn, la
mthode doit fournir les lments et les guides ncessaires son laboration.
MEHARI contient une base adapte au domaine des systmes dinformation Un guide de
dveloppement dune base de connaissance est en prparation.
5.2.1.4 Processus de dcision propre la rduction des risques
Le processus de rduction de risque consiste donc :
slectionner des services de scurit adapts,
slectionner un niveau cible pour ces services,
en dduire de nouvelles valeurs pour les facteurs de rduction de risque,
vrifier quavec ces nouvelles valeurs le risque est ramen un niveau de gravit
acceptable.
5.2.2 Cas particulier de lemploi de mesures structurelles
Certaines mesures, que nous appellerons structurelles peuvent avoir une influence sur la
potentialit intrinsque ou sur limpact intrinsque du risque encouru.
Il sagit alors de changer structurellement certains aspects du contexte de lentreprise ou de
son lien avec lenvironnement. Nous prendrons deux exemples :
Une entreprise donne peut tre expose des risques environnementaux tels que des risques
dinondation, des risques sismiques, etc. Elle peut rduire le niveau de tels risques par la mise en
uvre de services de scurit adapts, mais elle peut aussi dcider, tout simplement, de
dmnager. Il sagira alors de mesures dites structurelles car pouvant changer structurellement
la nature ou le niveau de risque.
Telle entreprise bancaire peut tre expose au risque de hold-up. Elle peut limiter le risque par
des services de scurit adapts, mais aussi par des mesures structurelles consistant limiter les
encours disponibles.
5.3 Le transfert du risque
Le transfert du risque consiste, en pratique, se placer sur un plan financier et transfrer une
partie de la charge financire occasionne par la survenance du risque sur un tiers.
Il sagit le plus souvent de lassurance, mais il peut galement sagir de transfrer la charge sur un
tiers (responsable) par une action en justice.
Une telle dcision, pour ne pas faire appel aux mmes mcanismes dvaluation, nen rclame pas
moins la mise en uvre de services de scurit spcifiques (au niveau de la collecte de preuves en
particulier) et ce qui a t spcifi plus haut reste valable sans exigences supplmentaires.
5.4 Lvitement du risque
Lvitement du risque est proche de sa rduction par des mesures structurelles.
La diffrence vient du fait quau lieu de jouer sur les rapports entre lentreprise ou lorganisme et
son environnement, on joue sur ses processus internes pour que la situation de risque nexiste
plus du tout.
Prenons, l encore un exemple.
Telle entreprise peut tre expose un risque de divulgation grave lors de llaboration de son
plan stratgique qui contient rassembles, beaucoup dinformations extrmement sensibles. Une
des solutions consiste ne plus tablir un tel plan stratgique : cest une solution dvitement du
risque.

Dune manire gnrale lvitement du risque consiste jouer sur les paramtres de description
fine du scnario de risque, en modifiant ces paramtres.
On peut en conclure que cette solution nest vritablement possible qu la condition que les
risques aient t dcrits trs finement dans leurs scnarios, ainsi que cela a t spcifi plus haut
dans ce document.
Ceci tant la caractrisation fine des scnarios, ainsi que nous lavons spcifi, suffit permettre
cet vitement du risque.
6. La gestion des risques
La gestion des risques comprend lensemble des processus qui vont permettre, une fois les dcisions
de traitement des risques prises, de mettre en uvre ces dcisions, den contrler leffet et de les
amliorer, si ncessaire.
La question qui se pose ici, compte tenu de lobjectif de ce document, est de savoir si ces processus
induisent des exigences particulires quil conviendrait de spcifier pour garantir lefficacit dune
mthode de gestion des risques lis linformation.
En partant du schma global prsent en dbut de document et rappel ci-dessous, nous allons
analyser les exigences propres chaque phase.
Plans
daction
Mise en
uvre
Contrle et
pilotage
Gestion des risques

6.1 Llaboration des plans daction
A lissue de la phase danalyse des risques et des prises de dcision concernant le traitement des
risques, lentreprise ou lorganisme a dcid du principe dun certain nombre dactions qui
relvent, selon le type de traitement retenu :
De la mise en place de services de scurit, avec pour chacun, un objectif de niveau de
qualit
De mesures structurelles visant rduire certaines expositions au risque
De mesures organisationnelles visant viter certains risques
Ceci tant, il doit tre clair que toutes ces actions ne seront sans doute pas menes simultanment
ni toutes engages immdiatement, pour diverses raisons telles que la limitation des moyens
budgtaires, le manque de disponibilit des moyens humains, etc.
Dans ces conditions la phase dlaboration des plans daction doit comprendre les tapes
suivantes :
le choix des objectifs prioritaires, en termes de services de scurit mettre en uvre
et loptimisation de ce choix
la transformation des choix de services de scurit en plans daction concrets
le choix des mesures structurelles ventuelles et des mesures dvitement des risques
la validation des dcisions prcdentes.
6.1.1 Choix des objectifs prioritaires et optimisation
Si toutes les actions ne peuvent tre engages simultanment, pour des raisons conomiques, de
moyens disponibles ou pour toute autre raison, il y a un choix faire en ce qui concerne les
mesures engager prioritairement.
Les lments prendre en compte pour effectuer ces choix sont :
Les niveaux de gravit des risques que les mesures prioritaires permettront de rduire
(les risques de niveau le plus lev devant tre traits en premier)
Le nombre de risques qui seront traits et le nombre de risques dont le traitement sera
remis plus tard
La rapidit avec laquelle les premiers rsultats pourront tre observs
Lincidence de ces choix sur la sensibilisation du personnel
Etc.
Selon limportance accorde lun ou lautre de ces critres, des outils doptimisation peuvent
savrer souhaitables.
MEHARI 2010 propose un algorithme doptimisation pour le choix des mesures engager
prioritairement.
6.1.2 Le choix des solutions : mcanismes techniques et organisationnels
Le choix des solutions concrtes dployer, que ces solutions sappuient sur des mcanismes
techniques ou organisationnels revient, bien entendu, aux quipes spcialises telles que Direction
des systmes dinformation, responsables rseaux, responsables de la scurit physique, RSSI, etc.
Il nen reste pas moins que le transfert de responsabilits entre les responsables de la gestion des
risques qui ont slectionn des services de scurit mettre en uvre avec un certain degr de
qualit et les responsables de la dfinition des mcanismes et de leur dploiement dpend
fortement du degr de prcision avec lequel ont t dfinis les services de scurit.
Ces dfinitions devraient tre lobjet dun manuel de rfrence des services de scurit
Le manuel de rfrence des services de scurit
Un manuel de rfrence des services de scurit doit indiquer, pour chaque service de scurit :
lobjectif du service,
les rsultats attendus de la mise en uvre du service,
la description des mcanismes associs chaque service, en y incluant aussi bien les
aspects techniques quorganisationnels
les lments permettant dvaluer la qualit de chaque service selon les trois critres
danalyse que sont son efficacit, sa robustesse et sa mise sous contrle.
Justification
Le manuel de rfrence des services de scurit est le garant de la cohrence et de la concordance
entre les fonctionnalits attendues par les gestionnaires des risques et sur lesquelles ils se sont
bass pour estimer les facteurs de rduction de risques objectifs, dune part, et celles qui seront
effectivement dployes, dautre part.
Spcification
Le choix des mcanismes dployer pour mettre en uvre les services de scurit
slectionns et spcifis par les gestionnaires de risques sera fait en sappuyant sur un
manuel de rfrence des services de scurit, tel que dfini ci-dessus.
MEHARI est conforme cette spcification et comprend un manuel de rfrence des services de
scurit qui fait partie de la documentation de la mthode.
6.1.3 Choix de mesures structurelles et de mesures dvitement de risques
Ces choix, essentiellement bass sur des particularits de situations ou de processus opratoires,
ne conduisent pas des exigences particulires en ce qui concerne les mthodes de gestion de
risque et nont pas dincidence directe sur les bases de connaissances ni les principes de MEHARI.
6.1.4 Validation et prise de dcision
Les diffrents choix explicits ci-dessus doivent, bien entendu tre chiffrs et faire lobjet dune
planification avant dtre prsents aux instances de dcision pour validation. Cette tape nest
pas spcifique la gestion directe des risques et na pas dexigence particulire en ce qui concerne
la mthode de gestion de risques.

6.2 Mise en uvre des plans daction
La mise en uvre des plans daction peut rvler des difficults dapplication dues un contexte
particulier.
Il importe alors de pouvoir se rfrer aux risques que chaque plan daction tait destin rduire
afin de pouvoir ragir au mieux
Spcification
Les risques adresss par les plans daction seront rfrencs dans les plans daction afin
de pouvoir ragir au mieux en cas de difficult.
A part cette prcaution, il ny a pas dexigence particulire sur la mthode de gestion de risques
due la mise en uvre des plans daction.

6.3 Contrle et pilotage de la gestion directe des risques
Les contrles effectuer pour piloter la gestion directe des risques sont multiples et sont
reprsents par le schma ci-dessous.
Traitement
des risques
Services de scurit
dployer et
niveaux objectifs
Choix des
mcanismes et
solutions
Contrle de niveau :
solutions vs objectif
Dploiement des
solutions
Contrle de mise en
uvre

Le premier niveau de contrle effectuer est que les mcanismes et solutions de scurit planifis
et dcids correspondent bien aux niveaux de qualit de service retenus en phase de traitement
des risques.
Le deuxime contrle est un contrle de mise en uvre.
6.3.1 Contrle du niveau de qualit de service
Il devrait sagir dautocontrle le plus souvent. Ceci pose la question de savoir comment les
personnels techniques en charge de dfinir les mcanismes et solutions mettre en uvre vont
pouvoir le faire avec une connaissance suffisante de lincidence de leurs dcisions sur le niveau de
qualit de service qui sera obtenu in fine.
Par ailleurs, un contrle a posteriori sera ncessaire et ce contrle devra tre effectu par du
personnel qui ne sera pas obligatoirement un technicien confirm et dexprience.
Cela conduit la ncessit dune base dexpertise ou base daudit des services de scurit qui
permettra des choix appropris lors de la phase de dfinition des mcanismes et solutions
mettre en uvre, dune part et un contrle a posteriori, dautre part.
Justification de la ncessit dune base daudit des services de scurit
Ainsi que nous lavons vu, la qualit des services de scurit comprend trois aspects que sont leur
efficacit, leur robustesse et leur mise sous contrle.
Pour pouvoir vrifier chacun de ces aspects, des questions spcifiques devront tre poses.
Il est alors ncessaire quil y ait une ligne directrice et un rpertoire des questions poser et qu
ces questions soit associ un systme de cotation des rponses pour pouvoir qualifier de manire
fiable et reproductive la qualit de chaque service de scurit.
Spcification
La dfinition et le contrle de la qualit des services de scurit devront sappuyer sur
une base de questionnaires relatifs chaque service de scurit et sur un systme de
pondration associ.
MEHARI 2010 comprend une base de questionnaires et un systme de pondration dcrit dans le
Guide du diagnostic de ltat des services de scurit
6.3.2 Contrle de la mise en uvre des services de scurit
Il est bien clair que la mise en uvre effective des services dfinis prcdemment devra tre
contrle.
On sera souvent amen constater des situations dans lesquelles des services de scurit ont t
partiellement dploys et o leur mise en uvre nest pas totalement conforme aux dcisions
prises au pralable.
Du point de vue de la gestion des risques la conduite tenir dans de tels cas doit tre dfinie.
Spcification
La manire de traiter les cas de dploiements incomplets des services de scurit, den
faire le reporting et den tenir compte dans le systme de gestion des risques doit tre
prcise
6.3.3 Pilotage global associ la gestion des risques
Le pilotage global de la gestion directe des risques ressemble tout pilotage de projet et suppose :
Des indicateurs et un tableau de bord,
Un systme de reporting,
Un systme de revue priodique et de prise de dcision relative aux actions correctives
ncessaires.
Annexe A1
Typologie dactifs primaires de la base de connaissances de
MEHARI 2010
Catgorie dactifs : Services
Services du rseau tendu
Services du rseau local
Services applicatifs
Services bureautiques communs (serveurs de donnes, gestionnaires de documents, imprimantes
partages, etc.)
Services systmes communs : messagerie, archivage, impression, dition, etc.
Services d'interface et terminaux mis la disposition des utilisateurs (PC, imprimantes locales,
priphriques, interfaces spcifiques, etc.)
Services de publication d'informations sur un site web interne ou public
Services gnraux de lenvironnement de travail du personnel (bureaux, nergie, climatisation,
etc.)
Services de tlcommunication (voix, tlcopies, visioconfrence, etc.)

Catgorie dactifs : Donnes
Fichiers de donnes ou bases de donnes applicatives
Fichiers bureautiques partags
Fichiers bureautiques personnels (grs dans un environnement personnel)
Informations crites ou imprimes dtenues par les utilisateurs, archives personnelles
Listings ou tats imprims des applications informatiques
Donnes changes, crans applicatifs, donnes individuellement sensibles
Courrier lectronique
Courrier postal et tlcopies
Archives patrimoniales ou documentaires
Archives informatiques
Donnes et informations publies sur un site web ou interne

Catgorie dactifs : Processus de management
Conformit la loi ou aux rglementations relatives la protection des renseignements personnels
Conformit la loi ou aux rglementations relatives la communication financire
Conformit la loi ou aux rglementations relatives la vrification de la comptabilit informatise
Conformit la loi ou aux rglementations relatives la proprit intellectuelle
Conformit la loi relative la protection des systmes informatiss
Conformit aux rglementations relatives la scurit des personnes et la protection de
l'environnement

Annexe A2
Typologie dactifs secondaires de la base de connaissances
de MEHARI 2010
Le tableau suivant donne la liste de types dactifs secondaires de la base de connaissances de
MEHARI 2010, par catgorie dactif primaire.

TYPES DACTIFS SECONDAIRES
Catgorie dactifs : Services
quipements matriels supports du service
Configurations logicielles
Media support de logiciel
Comptes et moyens ncessaires laccs au service
Services de scurit associs au service
Moyens de servitude ncessaires au service
Locaux
Personnels et prestataires ncessaires pour le service (internes et externes)

Catgorie dactifs : Donnes
Entits logiques : Fichiers ou bases de donnes
Entits logiques : Messages ou paquets de donnes en transit
Entits physiques : media et supports
Moyens daccs aux donnes : cls et moyens divers, physiques ou logiques, ncessaires pour
accder aux donnes

Catgorie dactifs : Processus de management
Procdures et directives internes (dispositifs organisationnels)
Moyens matriels ncessaires aux processus de management
Personnel et prestataires ncessaires aux processus de management

Annexe B
Typologie de vulnrabilits intrinsques de la base de
connaissances de MEHARI 2010

Annexe C1
Typologie dvnements de la base MEHARI 2010
Type
Code
type
vnement
Absence de personnel de partenaire
Absence de personnel interne
Absence de service : nergie
Absence de service : Climatisation
Absence de service : Impossibilit d'accs aux locaux
Absence de maintenance applicative ou maintenance applicative impossible
Absence de maintenance systme ou maintenance systme impossible
Foudroiement
Incendie
Inondation
Panne d'quipement
Panne d'quipement de servitude
Absence volontaire de personnel AV.P Conflit social avec grve
Erreur de conception ER.L
Bug bloquant d une erreur de conception ou d'criture de programme
(interne)
Perte ou oubli de document ou de media
Erreur de manipulation ou dans le suivi d'une procdure
Erreur de saisie ou de frappe
Dgt d au vieillissement
Dgt des eaux
Surcharge lectrique
Dgt d la pollution
Incident d'exploitation
Bug bloquant dans un logiciel systme ou un progiciel
Saturation bloquante pour cause externe (ver)
Virus
Attaque en blocage de comptes
Effacement volontaire ou polllution massive de configurations systmes
Effacement volontaire direct de supports logiques ou physiques
Captation lectromagntique
Falsification logique (donnes ou fonctions)
Cration de faux (messages ou donnes)
Rejeu de transaction
Saturation malveillante d'quipements informatiques ou rseaux
Destruction logique totale (fichiers et leurs sauvegardes)
Dtournement logique de fichiers ou donnes (tlchargement ou copie)
Manipulation ou falsification matrielle d'quipement
Terrorisme
Vandalisme
Vol physique
Procdures inadquates
Procdures inappliques par manque de moyens
Procdures inappliques par mconnaissance
Procdures inappliques volontairement
Procdures non conformes
Accident grave d'environnement
Absence ou indisponibilit
accidentelle de service
Incident logique ou fonctionnel
Accident matriel
Malveillance mene par voie physique
Malveillance mene par voie logique
ou fonctionnelle
IF.L
AC.M
AB.P
Incident d l'environnement
Erreur matrielle ou de comportement
du personnel
MA.L
MA.P
Tableau des vnements
PR.N
AB.S
IC.E
AC.E
ER.P
Absence accidentelle de personnel

Annexe C2
Typologie dacteurs de la base de connaissances de
MEHARI 2010

Tableau des acteurs
Catgorie Typologie
Utilisateur autoris lgitimement
Membre du personnel,
utilisateur du systme d'in-
formation
Utilisateur autoris illgitimement
Membre du personnel d'exploitation
Membre du personnel de dveloppement
Membre du personnel de maintenance
Personnel disposant d'un
statut particulier
Membre du personnel de service (entretien, services gn-
raux, scurit, etc.)
Personnel (permanent ou non) Personnel autoris dans
l'tablissement
Visiteur
Tiers non autoris Personnel non autoris
dans l'tablissement
Vandale ou terroriste

Annexe D
chelles standards de niveaux dimpact et de potentialit
de MEHARI 2010
chelle dimpact
Niveau 4 : Vital
A ce niveau limpact est extrmement grave et met en danger lexistence mme ou la survie de
lentit ou de lune de ses activits majeures.
En cas de survie de lentreprise ou de lorganisme, les squelles sont importantes et durables.
Niveau 3 : Trs Grave
Il sagit l dimpact trs grave au niveau de lentit, sans que son avenir soit compromis.
En termes financiers, cela peut amputer srieusement le rsultat de l'exercice, sans que les
actionnaires se dgagent massivement.
En termes d'image, on considrera souvent ce niveau une perte d'image dommageable qu'il
faudra plusieurs mois remonter, mme si l'impact financier ne peut tre valu avec prcision.
Des sinistres conduisant une dsorganisation notable de l'entreprise pendant une dure de
plusieurs mois seront aussi souvent valus ce niveau.
Niveau 2 : Important
Il sagit l de sinistres ayant un impact notable au niveau des oprations de lentit, de ses
rsultats ou de son image, mais restant globalement supportables.
Niveau 1 : Non significatif
A ce niveau les dommages encourus nont pratiquement pas dimpact sur les rsultats de
lentit ni sur son image, mme si certaines personnes sont fortement impliques dans le
rtablissement de la situation dorigine.

chelle de potentialit
Niveau 4 : Trs probable
A ce niveau, il est raisonnable de penser que le scnario se produira trs certainement et
vraisemblablement court terme.
Quand le risque est survenu, personne nest surpris.
Niveau 3 : Probable
Il sagit l des scnarios dont il est raisonnable de penser quils pourraient bien se produire,
plus ou moins court terme. Lespoir que le risque ne survienne pas nest pas insens mais
dnote un certain optimisme.
La survenance du risque doit, mais ne surprend pas.
Niveau 2 : Improbable
Il sagit l de scnarios dont il est raisonnable de penser quils ne surviendront pas.
Lexprience passe montre souvent dailleurs quils ne sont pas survenus.
Ils demeurent nanmoins possibles et ne sont pas compltement invraisemblables
Niveau 1 : Trs improbable
A ce niveau loccurrence du risque est tout fait improbable. De tels scnarios ne sont pas
strictement impossibles car il existe toujours une infime probabilit pour que cela se produise.
Annexe E1
chelles standards de niveaux des facteurs de rduction de
potentialit de MEHARI 2010
Efficacit des mesures dissuasives
Niveau 4 : Leffet dissuasif est trs important.
Un acteur rationnel devrait logiquement abandonner toute ide daction. Il devrait savoir
quil sera presque certainement dmasqu et que les sanctions encourues seront hors de
proportion avec le gain espr.
Niveau 3 : Leffet dissuasif est important.
Un acteur rationnel devrait logiquement penser quil encourt un risque important : il
devrait savoir quil serait sans doute identifi et que les prjudices quil aurait subir
seraient graves.
Niveau 2 : Leffet dissuasif est moyen.
Lacteur peut logiquement penser quil encourrait un risque faible et quen tout tat de
cause les prjudices personnels quil aurait subir resteraient supportables.
Niveau 1 : Leffet dissuasif est trs faible ou nul.
Lacteur peut logiquement penser quil nencourrait aucun risque personnel : il peut
penser quil ne serait pas identifi ou quil aurait de trs srieux arguments pour rfuter
toute imputation de laction ou que les sanctions seraient trs faibles.

Efficacit des mesures prventives
.
Niveau 4 : Leffet prventif est trs important.
Seuls quelques experts, dots de moyens trs importants, peuvent aboutir.
Seuls des concours exceptionnels de circonstances exceptionnelles peuvent conduire
ce scnario.
Niveau 3 : Leffet prventif est important.
Seul un spcialiste, un professionnel dot de moyens trs importants, ou une collusion
entre plusieurs professionnels ayant des domaines diffrents peuvent aboutir.
Concours de circonstances rares ou circonstances exceptionnelles exiges.
Niveau 2 : Leffet prventif est moyen.
Le scnario peut tre mis en uvre par un professionnel sans autres moyens que ceux
dont disposent les personnels de la profession.
Des circonstances naturelles rares peuvent aboutir ce rsultat.
Niveau 1 : Leffet prventif est trs faible ou nul.
Toute personne proche ou appartenant lentreprise ou tout initi la connaissant un minimum
est capable de dclencher un tel scnario, avec des moyens quil est facile dacqurir.
Des circonstances tout fait courantes (maladresse, erreur, conditions dfavorables non
exceptionnelles) peuvent tre lorigine dun tel scnario.

Annexe E2
chelles standards de niveaux des facteurs de rduction
dimpact de MEHARI 2010
Efficacit des mesures de confinement
Niveau 4 : Leffet est trs important.
Les consquences directes seront trs limites dans leur ampleur. Limpact rsiduel sera
trs faible, voire non significatif.
Niveau 3 : Leffet de confinement et de limitation des consquences directes est important.
Les limites imposes au sinistre en amoindriront notablement les consquences et si cela
dpend daction humaine, le dlai de dtection et de raction sera rapide.
Les mesures prises auront une influence relle sur limpact direct, qui restera limit et
circonscrit.
Niveau 2 : Leffet de confinement et de limitation des consquences directes est moyen.
Soit le sinistre peut tre faiblement limit dans ses consquences directes, soit il pourrait
ltre condition dtre dtect mais le dlai de dtection ou de raction ne sera pas
rapide.
Les mesures prises auront une influence relle sur limpact, mais lampleur des
consquences directes restera importante.
Niveau 1 : Leffet de confinement et de limitation des consquences directes est trs faible ou
nul.
Soit le sinistre ne peut tre limit dans ses consquences directes, soit, sil peut ltre
condition dtre dtect, il ne sera dtect quau bout dun dlai important.
Les mesures prises nauront quune influence trs limite sur le niveau des
consquences directes.

Efficacit des mesures palliatives
Niveau 4 : Leffet de limitation des consquences indirectes est trs important.
Le fonctionnement normal de lactivit est assur sans discontinuit notable.
Niveau 3 : Leffet de limitation des consquences indirectes est important.
Les mesures ont t analyses et organises dans le dtail, puis valides. Le dlai de
reprise du fonctionnement normal de lactivit peut tre estim ou connu avec prcision
et est tel que cela rduira notablement la gravit des consquences indirectes du
scnario.
Niveau 2 : Leffet de limitation des consquences indirectes est moyen.
Les solutions de secours ou moyens palliatifs ont t prvus globalement et pour
lessentiel, mais lorganisation de dtail na pas t faite. Il est raisonnable de penser quil
rsultera de ce manque de prparation un manque defficacit trs net des mesures
prvues. Le dlai de reprise du fonctionnement normal de lactivit ne peut tre connu
avec prcision ou ne changera pas fondamentalement le niveau de gravit du sinistre.
Niveau 1 : Leffet de limitation des consquences indirectes est trs faible ou nul.
Les mesures seront totalement improvises et/ou il est raisonnable de penser que leur
effet en sera trs faible

Annexe F1
Grilles de dcision standards de MEHARI 2010
Grilles dvaluation de potentialit
1. Scnarios de type Accident
D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V
2. Scnarios de type Erreur
D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
3. Scnarios de type action Volontaire
D 4 1 1 1 1 D 4 2 1 1 1 D 4 2 2 1 1 D 4 2 2 2 1
I 3 1 1 1 1 I 3 2 2 1 1 I 3 2 2 1 1 I 3 3 3 2 2
S 2 1 1 1 1 S 2 2 2 2 1 S 2 3 3 2 1 S 2 4 4 3 2
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 3 2
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
E X P O = 2 E X P O = 3 E X P O = 4
E X P O = 1 E X P O = 2 E X P O = 3 E X P O = 4
E X P O = 1
E X P O = 1 E X P O = 2 E X P O = 3 E X P O = 4

Annexe F2
Grilles de dcision standards de MEHARI 2010
Grilles dvaluation dimpact (II tant limpact intrinsque)
Les scnarios non confinables sont valus sur la ligne nc
1. Scnarios de type Disponibilit
C 4 1 1 1 1 C 4 2 2 1 1 C 4 2 2 1 1 C 4 2 2 2 1
O 3 1 1 1 1 O 3 2 2 1 1 O 3 3 2 2 1 O 3 3 3 2 1
N 2 1 1 1 1 N 2 2 2 2 1 N 2 3 3 2 1 N 2 4 3 2 1
F 1 1 1 1 1 F 1 2 2 2 1 F 1 3 3 2 1 F 1 4 3 2 1
nc 1 1 1 1 nc 2 2 2 1 nc 3 3 2 1 nc 4 3 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P A L L P A L L P A L L P A L L
2. Scnarios de type Intgrit
C 4 1 1 1 1 C 4 1 1 1 1 C 4 1 1 1 1 C 4 1 1 1 1
O 3 1 1 1 1 O 3 2 2 1 1 O 3 2 2 1 1 O 3 2 2 2 1
N 2 1 1 1 1 N 2 2 2 2 1 N 2 3 3 2 1 N 2 3 3 2 1
F 1 1 1 1 1 F 1 2 2 2 1 F 1 3 3 2 1 F 1 4 3 2 1
nc 1 1 1 1 nc 2 2 2 2 nc 3 3 2 2 nc 4 4 4 4
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
3. Scnarios de type Confidentialit
C 4 1 C 4 2 C 4 2 C 4 2
O 3 1 O 3 2 O 3 2 O 3 2
N 2 1 N 2 2 N 2 3 N 2 3
F 1 1 F 1 2 F 1 3 F 1 4
nc 1 nc 2 nc 3 nc 4
1 1 1 1
4. Scnarios de type Limitable
C 4 1 C 4 1 C 4 1 C 4 1
O 3 1 O 3 2 O 3 2 O 3 2
N 2 1 N 2 2 N 2 3 N 2 3
F 1 1 F 1 2 F 1 3 F 1 4
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
II = 1 II = 2 II = 3 II = 4
II = 1 II = 2 II = 3 II = 4
II = 1 II = 2 II = 3 II = 4
II = 1 II = 2 II = 3 II = 4

Annexe G1
Spcification des services de scurit

1. Dfinitions
1.1 Services de scurit
Un service de scurit est une rponse un besoin de scurit, exprime en termes gnriques
et fonctionnels dcrivant la finalit du service, gnralement en rfrence certains types de
menaces.
Un service de scurit dcrit une fonction de scurit.
Cette fonction est indpendante des mcanismes et solutions concrtes permettant la
ralisation effective du service.
Exemple : le service Contrle daccs , dont la finalit ou fonction, dcrite implicitement par
son titre, est de contrler les accs, cest dire de ne laisser passer que les personnes autorises.
1.2 Services et sous-services de scurit
La fonction assure par un service de scurit peut, elle mme, ncessiter plusieurs lments
complmentaires, qui peuvent tre considrs comme des sous-fonctions . Dans lexemple ci-
dessus, le contrle daccs ncessite la connaissance de ce qui est autoris, ce qui fait appel une
fonction dautorisation, la reconnaissance dune personne, ce qui fait appel une fonction
dauthentification, et le filtrage des accs, ce qui fait appel une troisime fonction de filtrage.
Un service de scurit peut ainsi lui-mme tre constitu de plusieurs autres services de scurit
pour rpondre un besoin ou une finalit dtermine. Chacun des constituants est un sous-
service de scurit du service en question, tout en conservant, vis--vis d'une fonction qui lui
est propre, les caractristiques d'un service, telles que dfinies plus haut.
1.3 Mcanismes et solutions de scurit
Un "Mcanisme" est une manire particulire dassurer, totalement ou partiellement, la fonction
du service ou du sous-service. Il peut sagir de procdure spcifique, dalgorithme, de technologie,
etc.
Pour le sous-service dauthentification abord prcdemment, les mcanismes possibles (pour
lauthentification aux systmes dinformation) sont les mots de passe, les jetons, les processus
reposant sur des algorithmes contenus dans des cartes puce, les systmes biomtriques, etc.
Pour un sous-service donn, plusieurs mcanismes sont gnralement possibles. Leur choix a trs
souvent un effet direct sur la qualit du sous-service concern.
Une solution de scurit est la ralisation concrte d'un mcanisme de scurit et comprend les
matriels et logiciels ncessaires son dploiement, les procdures de dploiement et de support
oprationnel ainsi que les structures organisationnelles ncessaires.
1.4 Typologie des services de scurit
Certains services peuvent tre considrs comme des mesures gnrales, dautres comme des
services techniques :
Les mesures gnrales sont des mesures de scurit reconnues comme utiles, voire n-
cessaires, la scurit des systmes dinformation, mais dont leffet se situe davantage au
plan de lorganisation, du pilotage de la scurit ou de la sensibilisation, sans influence
directe sur des situations de risques prcises.
Les mesures techniques ont un rle prcis, une finalit directe et ont un effet immdiat
sur certaines situations de risque quil est possible de prciser.
1.5 Base de connaissance des services de scurit
MEHARI comprend une base de connaissance de services et sous-services de scurit adapts la
scurit des systmes dinformation.
Ce sont ces sous-services dont la qualit sera value lors dun diagnostic.
2. Mesure de la qualit des services de scurit
Les services de scurit peuvent avoir des niveaux de performance trs diffrents selon les
mcanismes et les processus employs. Il est donc essentiel de pouvoir mesurer la qualit ou la
performance densemble dun service de scurit.
2.1 Paramtres prendre en compte
Pour mesurer la performance dun service de scurit, plusieurs paramtres devront tre pris en
compte :
L'efficacit du service,
Sa robustesse,
Les moyens de contrle du maintien dans le temps des caractristiques prcdentes.
2.1.1 Efficacit d'un service de scurit
Pour les services dits techniques, l'efficacit mesure leur capacit assurer effectivement la
fonction demande face des acteurs ayant des comptences plus ou moins fortes ou des
circonstances plus ou moins courantes.
Pour prendre l'exemple du sous-service "Gestion des autorisations d'accs au systme
dinformation", qui attribue des droits des utilisateurs, la fonction du service est de faire en
sorte que seules les personnes dment habilites par leur hirarchie aient effectivement les droits
correspondants. En pratique, lefficacit du service dpendra de la rigueur du contrle de
lauthenticit de la demande et du contrle de la position du demandeur vis--vis de lutilisateur.
Sil sagit dun simple courrier sign sans quil y ait dpt de signature ni compte rendu la
hirarchie, nimporte quelle personne connaissant un peu le circuit dautorisation sera capable de
se faire attribuer indment des droits et la qualit du sous-service pourra tre considre comme
faible.
L'efficacit d'un service contrlant des actions humaines est ainsi la mesure des
comptences ncessaires pour qu'un acteur puisse passer au travers des contrles mis en
place ou pour les abuser.
Pour les services visant des vnements naturels (tels que la dtection incendie, l'extinction incendie,
etc.), lefficacit est la mesure de la force de l'vnement pour lequel ils gardent leur
effet.
Sil sagit, par exemple, dune digue destine empcher une inondation due la crue dune
rivire, lefficacit sera directement lie la hauteur de la crue (sa force) laquelle la digue rsiste.
En pratique cette force sera souvent value en fonction du caractre plus ou moins
exceptionnel de lvnement.
Les services qui sont des mesures gnrales ne peuvent pas, par principe, tre valus en fonction
de leur finalit directe mais en fonction de leur rle indirect.
Lefficacit des mesures gnrales mesure leur capacit gnrer des plans daction ou
des changements significatifs de comportement.
2.1.2 Robustesse d'un service de scurit
La robustesse d'un service mesure sa capacit rsister une action visant le court-
circuiter ou l'inhiber.
La robustesse ne concerne que les services dits techniques.
Dans l'exemple prcdent de gestion des autorisations, la robustesse du sous-service dpend, en
particulier, des possibilits d'accs direct la table des droits attribus aux utilisateurs et donc de
se faire attribuer des droits sans passer par les processus normaux de contrle mis en place.
Dans le cas de services visant des accidents ou des vnements naturels (systme de dtection et
dextinction automatique dincendie, par exemple), leur robustesse tiendra compte de leur
capacit rsister une mise hors circuit volontaire ou accidentelle.
2.1.3 Mise sous contrle d'un service de scurit
La qualit globale d'un service de scurit doit enfin prendre en compte sa permanence dans le
temps.
Pour cela, il convient que toute interruption de service ou que tout changement de
paramtrage soit dtect et que des mesures palliatives soient alors dcides. La qualit
de ce paramtre dpend donc de la capacit et de la rapidit de dtection et des moyens
de raction.
Pour les mesures gnrales, la mise sous contrle reprsente dune part leur aptitude
tre mesures en termes de mise en uvre ou deffet, et dautre part la mise en place
effective dindicateurs et de systmes de contrle
2.2 valuation de la qualit des services de scurit base sur les
questionnaires MEHARI
Lensemble mthodologique MEHARI comporte, outre la mthode proprement dite, des bases de
connaissance. Une de ces bases de connaissance consiste en une base daudit des services de
scurit, sous la forme de questionnaires et dun systme de pondration des rponses.
Les questionnaires comprennent un lot de questions auxquelles il est demand de rpondre par
oui ou par non, avec des conventions de cotation et de pondration que nous tudierons plus loin.
Les questionnaires comprennent la fois des questions axes sur lefficacit des mesures de
scurit (par exemple : frquence des sauvegardes, type de contrle daccs physique : lecteur de
carte, digicode, etc., existence dun systme de dtection dincendie, etc.), des questions axes sur
la robustesse des mesures de scurit (par exemple : localisation et protection daccs au lieu de
stockage des sauvegardes, existence dun sas dentre ou solidit de la porte, protection du
systme de dtection incendie, etc.) et, gnralement, une ou deux questions sur le contrle ou
laudit des fonctionnalits attendues du service.
2.2.1 Types de questionnaires
Les bases de connaissance de MEHARI comprennent plusieurs questionnaires, spcialiss par
domaines techniques correspondant des interlocuteurs diffrents.
2.2.2 Systme de pondration des questions
Les questions se poser au sujet d'un service de scurit sont relatives des mesures de scurit
utiles ou ncessaires au service. Or, ces mesures ne jouent pas toutes le mme rle, et les mesures
contributives, les mesures majeures ou suffisantes et les mesures indispensables seront
distinguer.
2.2.2.1 Mesures contributives
Certaines questions ont trait des mesures qui ont un certain rle, au sens o elles contribuent
la qualit de service sans, pour autant, que leur mise en uvre soit indispensable.
En termes quantitatifs, une pondration classique de ces mesures reflte bien cette notion de
contribution. Dans ce cas, certaines mesures, plus importantes que d'autres, ont des poids
diffrents. La base de connaissance MEHARI indique les poids attribus chaque question.
Le tableau ci-dessous est un extrait de la base MEHARI, dans lequel une colonne est rserve pour
la rponse aux questions (1 pour Oui et 0 pour Non), avant la colonne indiquant le poids de
chaque question.

Questionnaire daudit : Domaine des Systmes (07)
Service : A. Contrle daccs aux systmes et applications
Sous-service : A02. Gestion des autorisations daccs et privilges (attribution, dlgation, retrait)

N Ques-
tion
Libell de la question Rp. Poids
07A02-01 La procdure d'attribution des autorisations d'accs ncessite-t-elle l'accord formel de la hirarchie ( un
niveau suffisant) ?
0 4
07A02-02 Les autorisations sont-elles attribues nominativement en fonction du seul profil des utilisateurs ? 1 2
07A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations un individu (directement ou
par le biais de profils) est-il strictement contrl ?
Un contrle strict requiert une identification formelle du demandeur (reconnaissance de sa signature,
signature lectronique, etc.), que la matrialisation des profils attribus aux utilisateurs (par exemple sous
forme de tables) soit strictement scurise lors de leur transmission et de leur stockage et qu'il existe un
contrle d'accs renforc pour pouvoir les modifier, et que ces modifications soient journalises et audi-
tes.
1 4
07A02-04 Y a-t-il un processus de remise jour systmatique de la table des autorisations d'accs lors de dparts
de personnel interne ou externe l'entreprise ou de changements de fonctions ?
0 2
07A02-05 Y a-t-il un processus strictement contrl (voir ci-dessus) permettant de dlguer ses propres autorisa-
tions, en tout ou en partie, une personne de son choix, pour une priode dtermine (en cas d'absence)
?
Dans ce cas les autorisations dlgues ne doivent plus tre autorises la personne qui les a dl-
gues. Cette dernire doit cependant avoir la possibilit de les reprendre, en annulant ou en suspendant
la dlgation.
0 4
07A02-06 Peut-on contrler tout moment, pour tous les utilisateurs, les habilitations, autorisations et privilges en
cours ?
1 1
07A02-07 Y a-t-il un audit rgulier, au moins une fois par an, de l'ensemble des profils ou des autorisations attribus
aux utilisateurs et des procdures de gestion des profils attribus ?
0 1
La moyenne pondre est alors un simple cumul des poids des mesures actives (pour lesquelles il
a t rpondu affirmativement), ramen la somme des poids possibles et norm sur l'chelle 0
4.
Soit en notant R
i
la rponse la question i, P
i
le poids de la question i et Mp la moyenne
pondre :
Mp = 4 x R
i
.P
i
/
P
i

Dans lexemple de rponses donn dans le tableau ci-dessus la moyenne pondre serait ainsi :
Mp = 4 x 7/18 = 1,6
et la qualit de service Q = Mp = 1,6
2.2.2.2 Mesures majeures ou suffisantes
D'autres mesures peuvent tre juges suffisantes pour atteindre un certain niveau de qualit.
Ainsi, l'existence d'un systme de dtection incendie peut tre considre comme suffisante pour
atteindre le niveau 2 pour le sous-service correspondant.
Il a donc t introduit un seuil minimum, qui est le minimum atteint, pour la qualit de service, si
une mesure est active.
La colonne "Seuil min" indique que sil est rpondu oui une question pour laquelle un seuil min
a t fix, alors le sous-service atteint au moins ce palier.
Un deuxime extrait de la base, avec la colonne Min est prsent ci-dessous :


N Quest. Libell de la question R P Min
07A02-01 La procdure d'attribution des autorisations d'accs ncessite-t-elle l'accord formel de la hirarchie ( un
niveau suffisant) ?
0 4
07A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations un individu (directement ou
par le biais de profils) est-il strictement contrl ?

1 4 3
07A02-04 Y a-t-il un processus de remise jour systmatique de la table des autorisations d'accs lors de dparts
de personnel interne ou externe l'entreprise ou de changements de fonctions ?
0 2
07A02-05 Y a-t-il un processus strictement contrl (voir ci-dessus) permettant de dlguer ses propres autorisa-
tions, en tout ou en partie, une personne de son choix, pour une priode dtermine (en cas d'absence)
?

0 4
07A02-06 Peut-on contrler tout moment, pour tous les utilisateurs, les habilitations, autorisations et privilges en
cours ?
1 1
07A02-07 Y a-t-il un audit rgulier, au moins une fois par an, de l'ensemble des profils ou des autorisations attribus
aux utilisateurs et des procdures de gestion des profils attribus ?
0 1
Dans lexemple donn, le fait que le processus dattribution, modification ou retrait de droits
(question 3) soit strictement contrl a t jug suffisant pour augmenter la cotation de la qualit
du service au palier minimum de 3.
2.2.2.3 Mesures indispensables
Par contre, d'autres mesures peuvent tre juges indispensables pour atteindre un certain degr de
qualit de service.
A ces mesures indispensables pour obtenir un certain niveau de qualit, et donc aux questions
correspondantes, MEHARI associe donc un seuil de qualit pour aller au-del duquel la mesure est
indispensable.
En d'autres termes, le seuil indiqu dans la colonne "Max" est la limite maximum de niveau de
qualit que peut atteindre le sous-service si la mesure n'est pas mise en uvre.
En cas de conflit entre un seuil min et un seuil max, le seuil max prvaut.
Le tableau prcdent devient alors le tableau final suivant :

N Quest. Libell de la question R P Max Min
07A02-01 La procdure d'attribution des autorisations d'accs ncessite-t-elle l'accord formel de la hirarchie (
un niveau suffisant) ?
0 4 2
07A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations un individu (directement
ou par le biais de profils) est-il strictement contrl ?

1 4 2 3
07A02-04 Y a-t-il un processus de remise jour systmatique de la table des autorisations d'accs lors de d-
parts de personnel interne ou externe l'entreprise ou de changements de fonctions ?
0 2
07A02-05 Y a-t-il un processus strictement contrl (voir ci-dessus) permettant de dlguer ses propres autori-
sations, en tout ou en partie, une personne de son choix, pour une priode dtermine (en cas
d'absence) ?

0 4
07A02-06 Peut-on contrler tout moment, pour tous les utilisateurs, les habilitations, autorisations et privilges
en cours ?
1 1
07A02-07 Y a-t-il un audit rgulier, au moins une fois par an, de l'ensemble des profils ou des autorisations
attribus aux utilisateurs et des procdures de gestion des profils attribus ?
0 1 2
Dans l'exemple ci-dessus, l'opinion d'experts est que les rponses ngatives aux questions 1 et 7
font que le niveau de qualit de service ne peut excder le niveau 2. Cette limitation prvaut sur
le niveau 3 valu prcdemment.
Ce triple systme de mesure de la qualit de service vite le risque de voir une srie de mesures
faiblement efficaces survaluer un niveau de qualit si les mesures essentielles ne sont pas actives
ou, au contraire, une srie de mesures de poids faible sous-valuer la qualit de service, alors
qu'une mesure essentielle est effectivement en place. Cette approche est une valeur distinctive de
MEHARI et sappuie sur lexpertise des personnes qui tiennent jour les bases de connaissance.
6.3.3.1.1 Questions sans objet
Certaines questions peuvent tre sans objet pour certaines units. Dans ce cas, il suffit
dindiquer SO dans la rponse pour que la question ne soit pas prise en compte.
Il conviendra de faire trs attention cependant ce quune question sans objet doit le
rester quelles que soient les volutions prvisibles du systme dinformation et des
services de scurit.
Annexe G2
Liste des services de scurit de la base de connaissances
de MEHARI 2010
SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES
SOUS-SERVICES
01 Organisation de la scurit (01 Org)
A - Rles et structures de la scurit
01A01 Organisation du management et du pilotage de la scurit gnrale
01A02 Organisation du management et du pilotage de la scurit des systmes d'information
01A03 Systme gnral de reporting et de suivi des incidents
01A04 Organisation des audits et du plan d'audit
01A05 Gestion de crise lie la scurit de l'information

B - Rfrentiel de scurit
01B01 Devoirs et responsabilits du personnel et du management
01B02 Directives gnrales relatives la protection de l'information
01B03 Classification les ressources
01B04 Gestion des actifs
01B05 Protection des actifs ayant valeur de preuve
C - Gestion des ressources humaines
01C01 Engagement du personnel - clauses contractuelles
01C02 Gestion du personnel et des partenaires ou prestataires stratgiques
01C03 Procdure d'habilitation du personnel
01C04 Sensibilisation et formation la scurit
01C05 Gestion des tierces parties
01C06 Enregistrement des personnes
D - Assurances
01D01 Assurance des dommages matriels
01D02 Assurance des dommages immatriels
01D03 Assurance RC
01D04 Assurance Perte de Personnages cls
01D05 Gestion des contrats dassurance
E - Continuit de l'activit
01E01 Prise en compte des besoins de continuit de l'activit
01E02 Plans de continuit de l'activit
01E03 Plans de Reprise de l'Environnement de Travail
02 Scurit des sites (02 Sit)
A - Contrle d'accs physique au site et aux btiments
02A01 Gestion des droits d'accs au site ou l'immeuble
02A02 Gestion des autorisations d'accs au site ou l'immeuble
02A03 Contrle d'accs au site ou l'immeuble
02A04 Dtection des intrusions sur le site ou dans l'immeuble
02A05 Accs aux zones de dchargement ou chargement
B - Protection contre les risques environnementaux divers
02B01 Analyse des risques environnementaux divers
C - Contrle des accs aux zones de bureaux
02C01 Partitionnement des zones de bureaux en zones protges
02C02 Contrle d'accs physique aux zones de bureaux protges
02C03 Gestion des autorisations d'accs aux zones de bureaux protges
02C04 Dtection des intrusions dans les zones de bureaux protges
02C05 Surveillance des zones de bureaux protges

02C06 Contrle de la circulation des visiteurs et des prestataires occasionnels amens intervenir dans les bureaux

D - Protection de l'information crite
02D01 Conservation et protection des documents courants importants
02D02 Protection des documents et supports amovibles
02D03 Ramassage des corbeilles papier et destruction des documents
02D04 Scurit du courrier
02D05 Scurit des tlcopies
02D06 Conservation et protection des pices originales et lments de preuve
02D07 Gestion des archives documentaires
03 Scurit des locaux (03 Loc)
A - Services techniques
03A01 Qualit de la fourniture de l'nergie
03A02 Continuit de la fourniture de l'nergie
03A03 Scurit de la climatisation
03A04 Qualit du cblage
03A05 Protection contre la foudre
03A06 Scurit des quipements de servitude
B - Contrle d'accs aux locaux sensibles
03B01 Gestion des droits d'accs aux locaux sensibles
03B02 Gestion des autorisations d'accs aux locaux sensibles
03B03 Contrle des accs aux locaux sensibles
03B04 Dtection des intrusions dans les locaux sensibles
03B05 Surveillance primtrique (surveillance des issues et des abords immdiats des locaux sensibles)
03B06 Surveillance des locaux sensibles
03B07 Contrle d'accs au cblage
03B08 Localisation des locaux sensibles
C - Scurit contre les dgts des eaux
03C01 Prvention des risques de dgts des eaux
03C02 Dtection des dgts des eaux
03C03 vacuation de l'eau
D - Scurit incendie
03D01 Prvention des risques d'incendie
03D02 Dtection d'incendie
03D03 Extinction d'incendie
04 Rseau tendu intersites (04 Wan)
A - Scurit de l'architecture rseau et continuit du service
04A01 Sret de fonctionnement des lments d'architecture du rseau tendu
04A02 Organisation de la maintenance des quipements du rseau tendu
04A03 Procdures et plans de reprise du rseau tendu sur incidents
04A04 Plan de sauvegarde des configurations du rseau tendu
04A05 Plan de Reprise d'Activit (PRA) du rseau tendu
04A06 Gestion des fournisseurs critiques vis--vis de la permanence de la maintenance
B - Contrle des connexions sur le rseau tendu
04B01 Profils de scurit des entits connectes au rseau tendu
04B02 Authentification de l'entit accdante lors des accs entrants depuis le rseau tendu
04B03 Authentification de l'entit accde lors des accs sortants vers d'autres entits par le rseau tendu
C - Scurit des donnes lors des changes et des communications
04C01 Chiffrement des changes sur le rseau tendu
04C02 Contrle de l'intgrit des changes sur le rseau tendu
D - Contrle, dtection et traitement des incidents sur le rseau tendu
04D01 Surveillance (en temps rel) du rseau tendu
04D02 Analyse (en temps diffr) des traces, logs et journaux d'vnements sur le rseau tendu
04D03 Traitement des incidents du rseau tendu

05 Rseau local (05 Lan)

A - Scurit de l'architecture du rseau local
05A01 Partitionnement du rseau local en domaines de scurit
05A02 Sret de fonctionnement des lments d'architecture du rseau local
05A03 Organisation de la maintenance des quipements du rseau local
05A04 Procdures et plans de reprise du rseau local sur incidents
05A05 Plan de sauvegarde des configurations du rseau local
05A06 Plan de Reprise d'Activit (PRA) du rseau local
05A07 Gestion des fournisseurs critiques vis--vis de la permanence de la maintenance

B - Contrles d'accs sur le rseau local de "donnes"
05B01 Gestion des profils d'accs au rseau local de donnes
05B02 Gestion des autorisations d'accs et privilges (attribution, dlgation, retrait)

05B03 Authentification de l'accdant lors des accs au rseau local depuis un point d'accs interne
Ce mcanisme correspond l'authentification ralise sous Windows par un contrleur de domaine
05B04 Authentification de l'accdant lors des accs au rseau local depuis un site distant via le rseau tendu

05B05 Authentification de l'accdant lors des accs au rseau local depuis l'extrieur
(depuis le Rseau Tlphonique Commut, X25, RNIS, ADSL, Internet, etc.)
05B06 Authentification de l'accdant lors des accs au rseau local depuis un sous-rseau WiFi
05B07 Filtrage gnral des accs au rseau local
05B08 Contrle du routage des accs sortants
05B09 Authentification de l'entit accde lors des accs sortants vers des sites sensibles
C - Scurit des donnes lors des changes et des communications sur le rseau local
05C01 Chiffrement des changes sur le rseau local
05C02 Protection de l'intgrit des changes sur le rseau local
05C03 Chiffrement des changes lors des accs distants au rseau local
05C04 Protection de l'intgrit des changes lors des accs distants au rseau local
D - Contrle, dtection et traitement des incidents du rseau local
05D01 Surveillance (en temps rel) du rseau local
05D02 Analyse (en temps diffr) des traces, logs et journaux d'vnements sur le rseau local
05D03 Traitement des incidents du rseau local
06 Exploitation des rseaux (06 Exr)
A - Scurit des procdures d'exploitation
06A01 Prise en compte de la scurit dans les relations avec le personnel d'exploitation (salaris et prestataires)
06A02 Contrle de la mise en production de nouveaux logiciels ou matriels ou d'volutions de logiciels ou matriels
06A03 Contrle des oprations de maintenance

06A04 Contrle de la tlmaintenance

06A05 Gestion des procdures oprationnelles d'exploitation des rseaux

06A06 Gestion des prestataires de services lis aux rseaux
06A07 Prise en compte de la confidentialit lors des oprations de maintenance sur les quipements de rseau

06A08 Gestion des contrats de services rseaux
B - Paramtrage et contrle des configurations matrielles et logicielles
06B01 Paramtrage des quipements de rseau et contrle de la conformit des configurations
06B02 Contrle de la conformit des accs rseaux des postes utilisateurs
C - Contrle des droits d'administration
06C01 Gestion des droits privilgis sur les quipements de rseau
06C02 Authentification des administrateurs et personnels d'exploitation des rseaux
06C03 Surveillance des actions d'administration des rseaux
06C04 Contrle des outils et utilitaires de l'exploitation du rseau
D - Procdures d'audit et de contrle des rseaux
06D01 Fonctionnement des contrles d'audit
06D02 Protection des outils et rsultats d'audit

07 Scurit des systmes et de leur architecture (07 Sys)
A - Contrle d'accs aux systmes et applications
07A01 Gestion des profils d'accs (droits et privilges accords en fonction des profils de fonction)
07A02 Gestion des autorisations d'accs et privilges (attribution, dlgation, retrait)
07A03 Authentification de l'accdant

07A04 Filtrage des accs et gestion des associations

07A05 Authentification du serveur lors des accs des serveurs sensibles
B - Confinement des environnements
07B01 Contrle des accs aux rsidus
C - Gestion et enregistrement des traces
07C01 Enregistrement des accs aux ressources sensibles
07C02 Enregistrement des appels aux procdures privilgies
D - Scurit de l'architecture
07D01 Sret de fonctionnement des lments d'architecture
07D02 Isolement des systmes sensibles
08 Production informatique (08 Exs)
08A02 Contrle des outils et utilitaires de l'exploitation
08A03 Contrle de la mise en production de nouveaux systmes ou d'volutions de systmes existants
08A05 Prise en compte de la confidentialit lors des oprations de maintenance
08A07 Protection des tats imprims sensibles
08A08 Gestion des procdures oprationnelles d'exploitation informatique
08A09 Gestion des prestataires de services lis la production informatique
B - Contrle des configurations matrielles et logicielles
08B01 Paramtrage des systmes et contrle de la conformit des configurations systmes
08B02 Contrle de la conformit des configurations applicatives (logiciels et progiciels)
08B03 Contrle de la conformit des programmes de rfrence (Sources et excutables)
C - Gestion des supports informatiques de donnes et programmes
08C01 Administration des supports
08C02 Marquage des supports de production (vivants, sauvegardes et archives)
08C03 Scurit physique des supports stocks sur site
08C04 Scurit physique des supports externaliss (stocks sur un site externe)
08C05 Vrification et rotation des supports d'archivage
08C06 Protection des rseaux de stockage
08C07 Scurit physique des media en transit
D - Continuit de fonctionnement
08D01 Organisation de la maintenance du matriel
08D02 Organisation de la maintenance du logiciel (systme, middleware et progiciel applicatif)
08D03 Procdures et plans de reprise des applications sur incidents

08D04 Sauvegarde des configurations logicielles (logiciels de base et applicatifs et paramtres de configuration)
08D05 Sauvegarde des donnes applicatives
08D06 Plans de Reprise d'Activit
08D07 Protection antivirale des serveurs de production
08D08 Gestion des systmes critiques (vis--vis de la permanence de la maintenance)
08D09 Sauvegardes de recours externalises

08D10 Maintien des comptes d'accs
E - Gestion et traitement des incidents
08E01 Dtection et traitement (en temps rel) des anomalies et incidents
08E02 Surveillance, en temps diffr, des traces, logs et journaux
08E03 Gestion et traitement des incidents systmes et applicatifs
F - Contrle des droits d'administration
08F01 Gestion des attributions de droits privilgis sur les systmes (droits d'administrateur)
08F02 Authentification des administrateurs et personnels d'exploitation
08F03 Surveillance des actions d'administration des systmes
G - Procdures d'audit et de contrle des systmes de traitement de l'information
08G01 Fonctionnement des contrles d'audit
08G02 Protection des outils et rsultats d'audit
H - Gestion des archives informatiques

08H01
Organisation de gestion des archives informatiques
08H02 Gestion des accs aux archives
08H03 Gestion de la scurit des archives
09 Scurit applicative (09 App)
A - Contrle d'accs applicatif
09A01 Gestion des profils d'accs aux donnes applicatives
09A02 Gestion des autorisations d'accs aux donnes applicatives (attribution, dlgation, retrait)
09A03 Authentification de l'accdant
09A04 Filtrage des accs et gestion des associations
09A05 Authentification de l'application lors des accs des applications sensibles
B - Contrle de l'intgrit des donnes
09B01 Scellement des donnes sensibles
09B02 Protection de l'intgrit des donnes changes
09B03 Contrle de la saisie des donnes
09B04 Contrles permanents (vraisemblance, ...) sur les donnes
09B05 Contrles permanents (vraisemblance, ...) sur les traitements
C - Contrle de la confidentialit des donnes
09C01 Chiffrement des changes (ponctuel ou en totalit)
09C02 Chiffrement des donnes stockes
09C03 Dispositif anti-rayonnement
D - Disponibilit des donnes
09D01 Enregistrements de Trs Haute Scurit (THS)
09D02 Gestion des moyens d'accs aux donnes applicatives
E - Continuit de fonctionnement
09E01 Reconfiguration matrielle
09E02 Plans de Continuit des processus applicatifs
09E03 Gestion des applications critiques (vis--vis de la permanence de la maintenance)
F - Contrle de l'mission et de la rception de donnes
09F01 Garantie d'origine, signature, lectronique
09F02 Individualisation des messages empchant leur duplication (numrotation, squencement,...)
09F03 Accus de rception
G - Dtection et gestion des incidents et anomalies applicatifs
09G01 Dtection des anomalies applicatives
H - Commerce lectronique
09H01 Scurit des sites de commerce lectroniques
10 Scurit des projets et dveloppements applicatifs (10 Dev)
A - Organisation des dveloppements, de la maintenance et de la gestion des changements
10A01 Prise en compte de la scurit dans les mthodes de dveloppement
10A02 Gestion des changements
10A03 Externalisation du dveloppement logiciel
10A04 Organisation de la maintenance applicative
10A05 Modification des progiciels
B - Scurit des processus de dveloppement et de maintenance
10B01 Scurit des processus des dveloppements applicatifs
10B02 Protection de la confidentialit des dveloppements applicatifs
10B03 Scurit relative aux traitements internes des applications
10B04 Protection des donnes d'essai
10B05 Scurit de la maintenance applicative
10B06 Maintenance chaud

11 Protection des postes de travail utilisateurs (11 Mic)
A - Scurit des procdures d'exploitation du parc de postes utilisateurs

11A01 Contrle de l'installation de nouvelles versions de progiciels ou systmes sur les postes utilisateurs

11A02 Contrle de la conformit des configurations utilisateurs

11A03 Contrle des licences des logiciels et progiciels

11A04 Contrle de la conformit des programmes de rfrence (Sources et excutables) des logiciels utilisateurs

11A05 Gestion des prestataires ou fournisseurs de services de gestion et dadministration du parc de postes utilisa-
teurs

B - Protection des postes de travail

11B01 Contrle d'accs au poste de travail
11B02 Travail en dehors des locaux de l'entreprise
11B03 Utilisation d'quipements personnels ou externes (nappartenant pas lentreprise)
C - Protection des donnes du poste de travail

11C01 Protection de la confidentialit des donnes contenues dans le poste de travail ou sur un serveur de donnes
(disque logique pour le poste de travail)

11C02 Protection de la confidentialit des donnes de l'environnement de travail personnel stockes sur support
amovible

11C03 Prise en compte de la confidentialit lors des oprations de maintenance des postes utilisateurs

11C04 Protection de l'intgrit des fichiers contenus sur le poste de travail ou sur un serveur de donnes (disque
logique pour le poste de travail)

11C05 Scurit de la messagerie lectronique et des changes lectroniques d'information

11C06 Protection des impressions sur imprimantes partages
D - Continuit de service de l'environnement de travail
11D01 Organisation de la maintenance du matriel mis la disposition du personnel
11D02 Organisation de la maintenance du logiciel utilisateurs (systme, middleware et applicatif)
11D03 Plans de sauvegardes des configurations utilisateurs
11D04 Plan de sauvegardes des donnes utilisateurs (bureautiques) stockes sur serveur de donnes
11D05 Plan de sauvegardes des donnes utilisateurs (bureautiques) stockes sur les postes de travail
11D06 Protection des postes utilisateurs contre des codes malveillants ou des codes excutables non autoriss
11D07 Plan de Reprise dActivit des postes utilisateurs
11D08 Gestion des moyens ncessaires l'accs aux fichiers bureautiques
E - Contrle des droits d'administration
11E01 Gestion des attributions de droits privilgis sur les postes utilisateurs (droits d'administrateur)
11E02 Authentification et contrle des droits d'accs des administrateurs et personnels d'exploitation

11E03 Surveillance des actions d'administration du parc de postes utilisateurs
12 Exploitation des tlcommunications (12 Ext)
12A02 Contrle de la mise en production de nouveaux systmes ou d'volutions de systmes existants

12A05 Gestion des procdures oprationnelles d'exploitation des tlcommunications
12A06 Gestion des prestataires ou fournisseurs de services tlcoms
B - Contrle des configurations matrielles et logicielles
12B01 Paramtrage des quipements et contrle de la conformit des configurations
12B02 Contrle de la conformit des programmes de rfrence (Sources et excutables)
C - Continuit de fonctionnement
12C01 Organisation de la maintenance des quipements
12C02 Organisation de la maintenance du logiciel (systme et services attachs)
12C03 Sauvegarde des configurations logicielles (logiciels de base, middleware et/ou paramtres de configuration)
12C04 Plans de Reprise d'Activit
12C05 Gestion des systmes critiques (vis--vis de la permanence de la maintenance)
D Utilisation des quipements terminaux
12D01 Contrle des configurations utilisateurs mises en oeuvre
12D02 Formation et sensibilisation des utilisateurs
12D01 Utilisation de terminaux chiffrants
E - Contrle des droits d'administration
12E01 Gestion des attributions de droits privilgis sur les systmes (droits d'administrateur)
12E02 Authentification et contrle des droits d'accs des administrateurs et personnels d'exploitation
12E03 Surveillance des actions d'administration des systmes
13 Processus de management (13 Man)
A - Protection des renseignements personnels

13A01 Politique et directives relatives la PRP
13A02 Programme de formation et de sensibilisation la PRP

13A03 Applicabilit de la politique relative la Prp
13A04 Contrle de l'application de la politique relative la Prp
B - Communication financire
13B01 Politique et directives relatives la Communication financire
13B02 Programme de formation et de sensibilisation la Communication financire
13B03 Applicabilit de la politique relative la Communication financire
13B04 Contrle de l'application de la politique relative la Communication financire
C - Respect de la lgislation concernant la Vrification de la Comptabilit Informatise (VCI)

13C01 Conservation des donnes et traitements

13C02 Documentation des donnes , procdures et traitements lis la comptabilit

13C03 Programme de formation et de sensibilisation aux contraintes de la Vrification de la comptabilit informatise

13C04 Applicabilit de la politique relative la Vrification de la comptabilit informatise

13C05 Contrle de l'application de la politique relative la Vrification de la comptabilit informatise

D - Protection de la proprit intellectuelle

13D01 Politique et directives relatives la Protection de la proprit intellectuelle

13D02 Programme de formation et de sensibilisation la Protection de la proprit intellectuelle

13D03 Applicabilit de la politique relative la Protection de la proprit intellectuelle

13D04 Contrle de l'application de la politique relative la Protection de la proprit intellectuelle

E - Protection des systmes informatiss

13E01 Politique et directives relatives la Protection des systmes informatiss

13E02 Programme de formation et de sensibilisation la Protection des systmes informatiss

13E03 Applicabilit de la politique relative la Protection des systmes informatiss

13E04 Contrle de l'application de la politique relative la Protection des systmes informatiss

F - Scurit des personnes et protection de l'environnement
13F01 Politique et directives relatives la scurit des personnes et la protection de l'environnement
13F02 Programme de formation et de sensibilisation la Scurit des personnes et la protection de l'environne-
ment

13F03 Applicabilit de la politique relative la Scurit des personnes et protection de l'environnement
13F04 Contrle de l'application de la politique relative la Scurit des personnes et protection de l'environnement

G Rgles relatives lutilisation de moyens cryptologiques
13F01 Politique et directives relatives lutilisation de moyens cryptologiques
13F02 Programme de formation et de sensibilisation lutilisation de moyens cryptologiques

13F03 Applicabilit de la politique relative lutilisation de moyens cryptologiques
13F04 Contrle de l'application de la politique relative lutilisation de moyens cryptologiques

14 Management de la scurit de l'information (14 Msi)
A - Planification du systme de management
14A01 Dfinition du primtre du SMSI
14A02 Dfinition de la politique du SMSI
14A03 Approche de l'analyse des risques et des mtriques associes
14A04 Identification des risques
14A05 Analyse et valuation des risques
14A06 Slection des options de traitement des risques
14A07 Slection des mesures de rduction des risques
14A08 Slection des mesures de scurit et construction d'une dclaration d'applicabilit
B - Dploiement du systme de management
14B01 Formulation d'un plan de traitement des risques
14B02 Mise en oeuvre du plan de traitement des risques
14B03 Choix et mise en place des indicateurs pour le SMSI
14B04 Mise en place d'un plan de formation et de sensibilisation
14B05 Dtection et ractions aux incidents
C - Mise sous Contrle du systme de management
14C01 Contrle de l'excution des procdures et des mesures de scurit
14C02 Pilotage du programme d'audit
14C03 Revue des risques et des mesures de scurit
D - Amlioration du systme de management
14D01 Amlioration continue
14D02 Actions de correction des non-conformits
14D03 Actions de prvention des non-conformits
14D04 Communication vers les parties prenantes
E - Documentation
14E01 Gestion de la documentation
14E02 Approbation des documents
14E03 Mises jour
14E04 Identification et gestion des versions des documents
14E05 Mise disposition de la documentation
14E06 Retrait des documents qui ne sont plus valides

Annexe G3
chelle de niveaux utilisable pour valuer la qualit des
services de scurit
Bien que cette chelle puisse tre continue, il nest pas inutile de donner quelques valeurs de
rfrence pour la qualit de service.

Qualit de service value 4
Il s'agit du niveau le plus lev et le service de scurit reste efficace et rsiste aux
agresseurs et vnements dcrits ci-dessus. Il reste qu'il pourrait tre mis en brche
par des circonstances exceptionnelles : meilleurs experts mondiaux dots d'outils
exceptionnels (moyens pouvant tre mis en uvre par des tats importants) ou concours
exceptionnels de circonstances elles-mmes exceptionnelles.
Le service reste efficace et rsiste aux agresseurs et vnements dcrits ci-dessus, mais
pourrait tre insuffisant contre des spcialistes (hackers chevronns et quips, ingnieurs
systmes fortement spcialiss sur un domaine donn et dots d'outils spciaux qu'ils
matrisent, espions professionnels, agences de renseignement, etc.) ou des vnements
exceptionnels (catastrophes naturelles). Une mesure organisationnelle de ce niveau aura un
effet certain dans la trs grande majorit des circonstances, mais peut-tre pas dans des
circonstances exceptionnelles.
Le service reste efficace et rsiste un agresseur moyen, voire initi, mais pourrait tre
insuffisant contre un bon professionnel du domaine concern (un informaticien
professionnel pour un service de scurit logique, un cambrioleur normalement quip ou
un "casseur" pour un service de scurit physique des accs). Dans le domaine des
vnements naturels, un tel service pourrait tre insuffisant pour des vnements trs
srieux, considrs comme rares. Pour les mesures organisationnelles, un tel service
napportera une amlioration des comportements que dans des cas courants.
Le service a une qualit minimale. Il peut ne pas tre efficace (ou ne pas rsister) face une
personne quelconque, sans qualification particulire, ou tant soit peu initie, ou, dans le
domaine des vnements naturels, ne pas tre efficace face un vnement relativement
banal. Pour une mesure organisationnelle, elle aura trs peu deffet sur les comportements
ou lefficacit de lorganisation.

L E S P R I T D E L C H A N G E

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS
30, rue Pierre Smard
75009 Paris
01 53 25 08 80
clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur
www.clusif.asso.fr

Mehari 2010 Principes Specifications

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Mehari 2010 Principes Specifications

Uploaded by

Copyright:

Available Formats

METHODES

You might also like