Cours Mehari

MEHARI
(M
Ethode Harmonisee dAnalyse des RIsques)

Aurelien CEDEYN aurelien.cedeyn@ens-lyon.fr
Michael MRISSA michael.mrissa@liris.cnrs.fr
LIP
Laboratoire de lInformatique du Parallelisme
20 octobre 2008
Aurelien CEDEYN aurelien.cedeyn@ens-lyon.frMichael MRISSA michael.mrissa@liris.cnrs.fr (LIP) MEHARI (M
Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 1 / 32

Presentation
M
EHARI = M
Ethode Harmonisee dAnalyse des RIsques CLUSIF

(Club de la Securite des Systèmes dInformation Francais)1
Representation dans la region : CLUSIR Rhone-Alpes2
A partir de MARION et MELISSA
compatible ISO 13334 pour la methode ISO 17799 :20003 et
BS7799-2 :2002 : base de connaissance
Methode destinee
Au management
Aux Risk-managers
Aux operationnels
Aux auditeurs
1 https ://www.clusif.asso.fr/index.asp
2 http ://www.clusir-rha.fr
3 https ://www.clusif.asso.fr/fr/production/ouvrages/pdf/PresentationISO17799-2000.pdf

Presentation
Politique globale de securite structuree par :
Un plan strategique
Des plans operationnels
La constitution de tableaux de bord
Logique du risque / mesure gravite, evaluation :
causes dun sinistre, ou potentialite
consequences, impact
constitution de scenarios : domaines metiers/techniques (la base de
scenarios est propriete du CLUSIF) Outils possibles (Risicare (BUC
S.A.) )

Comprendre le risque
Risque = action, evenement, entite qui peut empecher le maintien
dune situation, de satisfaire un objectif (dans des conditions xees).
Potentialite = capacite de se produire
Impact = importance des consequences
Potentialite & impact sont des caracteristiques du risque
Gravite = Potentialite & limpact dun risque
Appreciation objective de la gravite (potentialite de
realisation/importance des consequences)
Pour nous : alteration et/ou destruction dun SI

S urete de fonctionnement
Niveau de s urete de fonctionnement
Justie la conance des utilisateurs
Peut etre altere par un incident
Declenchement dune menace
Le risque potentiel devient eectif
Importance de lImpact selon la vulnerabilite du SI
Un impact possède
Une valeur intrinsèque (sans contre-mesure) : Valeur de reference,
hypothèse la plus pessimiste
Une valeur eective (tient compte des contre-mesure) : Justication du
co ut de mise en place des mesures de securite
Une valeur reelle mesuree après sinistre

Origines des risques
Physique (accident, panne)
Humaine (irrespect des règles, faute)
Intentionnelle
Involontaire
Alteration de la s urete de fonctionnement = risque
Mesures ecaces
Reductions du risque (impacts/potentialite)
Ou mieux, evitement

Connaissance anticipee des incidents
Par induction
Imaginer les consequences dune defaillance pour mettre en evidence les
risques potentiels
A partir dun sinistre redoute
Remonter niveau par niveau aux evenements declencheurs (plus
naturelles)
Analyse par arbre de defaillance/arbre de causes
Demarche realiste
Basee sur la potentialite
Depend de lenvironnement et de caracteristiques propres au système
Retenir les risques pertinents (correspondant à la politique de securite
arretee)

Objectifs
Evitement ou prevention des fautes au niveau de la construction du

système
Techniques de tolerances aux fautes permettant de satisfaire le niveau
de s urete
Mesures de verication et de prevision reduction/elimination fautes

Critère de mesure de la s urete de fonctionnement
Disponibilite capacite de delivrer le service convenu au moment requis.
Fiabilite mesure de la continuite de service et respect des conditions
requises.
Degre de reponse aux occurrences de defaillances rarissimes aux
consequences catastrophiques

Securite du Système dinformation (SI)
S urete de fonctionnement transposee au système de traitement et à
linformation traitee
On relève 2 enseignements
Critères dappreciation du niveau de securite des informations
Types de mesures capables dassurer le service de securite requis
Critères de securite
Disponibilite
accès dans des conditions denies dhoraire, de delai et de performance
Integrite
Information exhaustive, exacte et resultant dactivites autorisees
Condentialite
Accès autorise aux seules personnes admises à la connatre
Dautres critères peuvent etre consideres ( non repudiation )

Mesure de securite
Mesures preventives
Structuration (pour minimiser les vulnerabilites)
composant (materiels, immateriels, humains)
organisation, methodes (complement : information, formation,
sensibilisation)
Dissuasion
decourager lagresseur
Prevention
Empecher quune menace atteigne des ressources
Mesures curatives
Protection
limiter les degats
Palliation
minimiser les consequences sur lactvite
Recuperation
reduction du prejudice par transfert des pertes sur des tiers (assurances,
actions de justice)

Service de securite
Service de securite
Reponse possible à un besoin specique de securite
Correspond à un ou plusieurs mecanismes de securite
Mecanisme de securite
Une des manières possibles de realiser un service de securite
Solution de securite
Realisation concrète dun mecanisme de securite (mise en oeuvre
notamment organisationnelle)

Exemple de service de securite
Le service controle daccès physique realise par :
Gardien : eet dissuasion, prevention, protection
serrure 3 points : eet prevention seulement
Controle daccès logiciel
Mots de passe
Certicats

Qualite et securite
La securite peut etre consideree comme un element de la qualite
La qualite est un facteur de securite
les performances dependent de la qualite, elle est dautant meilleure
que la securite de fonctionnement est elevee.
En pratique (et sans entrer dans les debats) :
Lanalyse des risques porte sur la recherche des failles ; linsusance de
la qualite peut generer des failles.
Ce nest que dans la mesure o` u la qualite des elements dun SI
(organisation, locaux, personnes, materiel) ne sera pas juge susante
pour assurer la securite souhaite quil faut sen occuper.

Modèle de risque et outils de decision
Trois niveaux de preoccupation :
Strategique :
sensibilisation de la direction, adhesion
denition dobjectifs : lignes directrices daction, ressources necessaires
justication de la necessite
Fonctionnel :
Denition des specications fonctionnelles des solutions en terme de
services de securite.
Garantir la coherence entre elles et vis à vis du schema directeur.
Justication des mesures auprès des utilisateurs
Operationnel :
Concretisation des solutions par les mecanismes de securite les mieux
adaptes.
Formation des personnels charges de la mise en oeuvre.
Deux conditions :
Pedagogique et comprehensible : presentation sous forme de scenario
allant des origines du risque aux causes du sinistre et à ses
consequences
Metrique : pour etre un outil de decision.

Scenario de sinistre
3 elements du scenario type :
consequences
causes
origines
Methode
Base de scenarios types qui est une decomposition ordonnees de
lensemble des scenarios possibles.
Premièrement : descriptions des consequences à regrouper en types de
consequences.
Puis remonter aux causes, et enn aux origines.

Classication des biens et des ressources
Les biens ou actifs sont lensemble de ce que possède lentreprise.
`
A ce titre, les ressources du SI font parties des biens de lentreprise ;
elles sont caracterisees par :
Le type, plus ou moins detaille selon le niveau danalyse :
donnees : selon utilisation et niveau de structuration (enregistrement,
base de donnees).
règles et procedures : programmes ou procedures (administratives,
juridiques,...).
structures des supports : ordinateurs, reseaux, centre
ressources humaines : par competences, responsabilites, ...

Classication des biens et des ressources
La valeur intrinsèque
valeur en tant que bien marchand + evaluation contribution à la
realisation des objectifs + evaluation des consequences de leur absence
ou dysfonctionnement.
Cette estimation doit etre faite independamment de toute mesure de
securite
Elle est souvent superieure à la valeur de rachat ou de remplacement.
La classication des ressources est precisement une mesure de la
valeur intrinsèque des ressources par rapport à chacun des critères
devaluation (Disponibilite, Integrite, Condentialite).
Sert à determiner les ressources et les biens de plus grandes valeurs à
proteger prioritairement.
La coherence des jugements portes depend de letablissement et du
remplissage des règles et des grilles devaluation.

Decomposition cellulaire
Une cellule
Un ensemble de ressources homogène du point de vue de ses exigences
de securite et auquel il est prevu dappliquer un ensemble de services de
securite coherent
2 objectifs contradictoires :
dierencier les modes de mise en oeuvre des services : particularites
intra entreprise (sites, services,...)
diminuer le volume de travail (en pratique, ne distinguer comme
solutions independantes que les mises en oeuvre notablement
dierentes du point de vue de la securite.
Variable denvironnement
Permet de decrire globalement des sous-ensembles de services de
securite dont les caracteristiques speciques de mises en oeuvre
(instanciations) ne dependent que de cette variable.

8 variables denissant 8 types de cellules proposees :
Lentite
Services non techniques de nature organisationnelle
le site
Situation du site et protection
les locaux
Securite des locaux (controle daccès, surveillance)
les applicatifs
Securite dans les applications et processus applicatifs
Les systèmes
Services oerts par les systèmes et linfrastructure
Le developpement
Gestion de la securite dans le cycle de vie des projets
La production informatique
Services mis en uvre par la production informatique
Les reseaux et telecoms
Services mis en uvre par la structure dexploitation des telecoms

Evaluation du risque
Evaluer limpact
Mesure le co ut des consequences
Directes & indirectes
Methode devaluation
Basee sur les objectifs & nalites
Etablir un inventaire des impacts

Fixer une hierarchie dechelle de valeur / objectifs
Metrique de reference

Minimisation/Suppression du risque
On essaie de reduire la gravite des deteriorations
Mesures de protection
De limiter la gravite des dysfonctionnements
Mesures palliatives
De limiter limportance des pertes nales
Mesures de recuperation
Evaluer le potentiel
3 facteurs inuencent le potentiel
Lexposition naturelle
Caracterise lattrait de la cible
Lappreciation par lagresseur de son impunite
Risques encourus si identie, risque detre pris
La force de lagression
Capacite de lagresseur à mener à bien son attaque
5 niveaux de potentiel
Evaluer la gravite
Aversion au risque
Risque insupportable : reclame un plan durgence
Risque inadmissible : on ne veut pas le permettre
Risque admissible : risque à limiter
Generation dune grille de risque

Eet des services de securite
Structurel => eet preventif
Dissuasif => eet palliatif
De protection => eet de recuperation
Evaluation des services

Le status indique labsence ou la presence de mesures de securite
vis-à-vis dun facteur de risque, et l evaluation de leur qualite pour un
ensemble de cellules
Qualite = ecacite & robustesse
Le status aecte à une ressource est signicatif de la sensibilite de
cette ressource à un scenario donne
Le status est consolide au niveau global en
STATUS RI (de Reduction dImpact)
Puis en STATUS-I (dimpact)
et STATUS-P (de potentialite)

Comprendre la methode
3 objectifs fondamentaux
Une vue unique des valeurs & risques
Autonomie des unites operationnelles (UO)
Equilibre des moyens & coherence des controles

Repondent aux preoccupations de
Coherence
Adequation aux specicites des UO
Approche analytique & globale
Equilibre
Repartition des ressources en fonction des besoins de chaque UO
Realisme
Adapter les mesures en fonction de la perception des risques
Hierarchisation des problèmes
Denir les priorites
Ecacite

Niveaux de plans
Plan strategique de securite
Denit une politique de securite globale
Plan operationnel de securite
Deleguer aux UO autonomes les decisions
Plan operationnel dentreprise
Assurer lequilibre des moyens et la coherence des controles

Niveaux de plans : phase 1



Les points communs
Quelques invariants
Decoupage en cellules
Denition des echelles de valeurs
Classication exhaustive des ressources
An de
Mettre en evidence des lacunes
Apporter de la coherence dans les propositions
Ordonnancer les actions en fonction du temps
Coordonner le deroulement eectif et les attentes

Exemple applicatif
https://www.clusif.asso.fr/fr/production/ouvrages/pdf/
CasPratiqueMehari_Senilom.pdf

Cours Mehari

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cours Mehari

Uploaded by

Copyright:

Available Formats

MEHARI

Ethode Harmonisee dAnalyse des RIsques)

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 1 / 32

Ethode Harmonisee dAnalyse des RIsques CLUSIF

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 2 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 3 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 4 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 5 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 6 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 7 / 32

Evitement ou prevention des fautes au niveau de la construction du

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 8 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 9 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 10 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 11 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 12 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 13 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 14 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 15 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 16 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 17 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 18 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 19 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 20 / 32

Etablir un inventaire des impacts

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 21 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 22 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 23 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 24 / 32

Evaluation des services

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 25 / 32

Equilibre des moyens & coherence des controles

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 26 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 27 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 28 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 29 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 30 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 31 / 32

Ethode Harmonisee dAnalyse des RIsques) 20 octobre 2008 32 / 32

You might also like