Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

MEthode Harmonise
d'Analyse de RIsques

IUP de NIMES, 3me anne Scurit 1

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

Sommaire

INTRODUCTION 3

1. MEHARI : Quest ce que cest ? 4

1) Dfinition 4
2) Historique 4
3) Principe de fonctionnement 5

2. Mise en place de la mthode 6

1) Plan stratgique 7
2) Plan oprationnel de scurit 8
3) Plan oprationnel dentreprise 9

3. Dveloppement de MEHARI 13
1) Recherche des informations pour la mise en place de la mthode 13
a) Vue gnrale de lentreprise 13
b) Test technique de linfrastructure rseau 16
2) Synthse des donnes rcoltes 17
3) Analyse et application de la mthode 17
4) Les Logiciels mettant en place Mhari 20

4. Autres mthodes de gestion des risques 22

5. Actualits 23
1) Politique de gestion des risques en France 23
2) Autres moyens de gestion des risques 23

CONCLUSION 25

ANNEXE 26

IUP de NIMES, 3me anne Scurit 2

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

INTRODUCTION

Gnralits
La ralisation de ce projet rentre dans le cadre de notre formation IUP. Dans la
matire scurit on sintresse aux diffrents daspects de la scurit dans les
rseaux informatiques prsents au sein des entreprises.
Nous avons une quipe de quatre lments pour nous partager les travaux de
recherches, de synthses et mise en pratique de la mthode chez RDI.

Sujet du projet
Le but de ce projet est de travailler sur la mthode MEHARI. Cette mthode consiste
une gestion des risques au niveau dune entreprises. On travaille sur plusieurs
niveaux que lon dtaillera au fur et mesure de notre expos.

IUP de NIMES, 3me anne Scurit 3

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

1. MEHARI : Quest ce que cest ?

Avant tout il est important de dfinir de quel sujet on va parler. On va prsenter le rle de
la mthode et son historique.

1) Dfinition

La mthode Mhari rsulte des travaux de Jean-Philippe Jouas et de Albert Harari, alors
chez Bull (le premier Directeur de la scurit du Groupe, le second responsable des
mthodes au sein de cette Direction) et de leur consolidation au sein de la commission
Mthodes du Clusif (Club de la Scurit des Systmes d'Information Franais).
Albert Harari avait dvelopp Melisa pour la DCN (Direction des Constructions Navales de la
Dlgation Gnrale pour l'Armement) et cette mthode proposait une certaine vision des
risques, avec des paramtres d'valuation relativement simples et adapts la cible vise.
Son utilisation dans un contexte industriel et dans un Groupe international a conduit Jean-
Philippe Jouas et Albert Harari faire voluer cette base pour dfinir un modle du risque
complet et une mtrique associe.
Les rsultats de ces travaux ont t publis en 1992 (Le Risque Informatique - Editions
d'Organisation).
Les lments fondateurs contenus dans cet ouvrage se sont rvls stables et ont peu
volus depuis. Une mise jour rcente du document d'origine est disponible sur ce site
dans la partie Bibliothque (Le Risque Informatique).

Reprise par le CLUSIF et permet une analyse et une valuation quantitative des facteurs de
risques chaque situation difficile que pourrait rencontre lentreprise. Elle permet de
concilier les objectifs stratgiques et les modes de fonctionnements de lentreprise. La
nouveaut de cette mthode est quelle prend en compte les derniers modes de
fonctionnement de lentreprise avec une politique de gestion des risques un bon niveau.

2) Historique

Mhari existe en Franais et en Anglais et est maintenue par le CLUSIF. Elle est drive des
mthodes Marion et Mlisa (qui eux nvoluent plus depuis plusieurs annes). Mhari est
utilise par de nombreuses structures publiques et prives en France mais galement au
Qubec.

IUP de NIMES, 3me anne Scurit 4

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

3) Principe de fonctionnement

La mthode mhari prend avant tout en compte les informations de lentreprise afin de
dvelopper un plan afin de mieux dfinir les points protger dans lentreprise.
MEHARI permettra l'entreprise de dfinir :
- Un plan stratgique de scurit
- Un plan oprationnel de scurit par site ou entit
- Un plan oprationnel d'entreprise
- Le traitement d'une famille de scnarios ou d'un scnario particulier
- Le traitement d'un risque spcifique (Accident, Erreur, Malveillance)
- Le traitement d'un critre de scurit (Disponibilit, Intgrit, Confidentialit)
- Une application critique supportant le business
- Un projet critique (infrastructure, application)

La mthode MEHARI, quant elle, conjugue la rigueur d'une analyse des risques lis
formellement au niveau de vulnrabilit du systme dinformation, l'adaptabilit de la
gravit des risques tudis. En effet, la prsence ou l'absence de mesures de scurit va
rduire ou non, soit la potentialit de survenance d'un sinistre, soit son impact. L'interaction
de ces types de mesures concoure rduire la gravit du risque jusqu'au niveau choisi.

Le modle de risque MEHARI se base sur :

- Six facteurs de risque indpendants : trois influant sur la potentialit du risque et trois
influant sur son impact ;
- Six types de mesures de scurit, chacun agissant sur un des facteurs de risque
(structurelle, dissuasive, prventive et de protection, palliative et de rcupration).

Les phases de MEHARI sont les suivantes :

9 Phase 1 : tablissement d'un plan stratgique de scurit (global) qui fournit

notamment :

- la dfinition des mtriques des risques et la fixation des objectifs de scurit,

- la reconnaissance et la dtermination des valeurs de l'entreprise,

- l'tablissement d'une politique de scurit entreprise,

l'tablissement d'une charte de management.

9 Phase 2 : tablissement de plans oprationnels de scurit raliss par les

diffrentes units de l'entreprise

IUP de NIMES, 3me anne Scurit 5

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

9 Phase 3 : consolidation des plans oprationnels (global).

Nous allons dtailler ces diffrentes tapes dans la suite de notre rapport, en tudier les
modalits et les moyens mettre en uvre.

2. Mise en place de la mthode

Mhari rpond aux besoins des entreprises dans la gestion des risques et la mise en place
des solutions des risques. Ce nest pas une mthode daudit. Il sorganise autour daxes
principaux qui rsument les donnes essentielles au bon fonctionnement dune entreprise.
La mthode MEHARI (MEthodes Harmonise dAnalyse de RIsques) est avant tout une
mthode danalyse et de management de risques. Elle a t conue pour tre adaptable au
contexte de lentreprise mais elle ne dispose pas de dclinaison par typologie dentreprise ou
mtier.

MEHARI se prsente comme un ensemble cohrent doutils et de mthodes de management

de la scurit, fonds sur lanalyse des risques. Les deux aspects fondamentaux de
MEHARI sont le modle de risque (qualitatif et quantitatif) et les modles de management de
la scurit bass sur lanalyse de risque. MEHARI vise donner des outils et des mthodes
pour slectionner les mesures de scurit les plus pertinentes pour une entreprise donne.

Mhari se nourrit des enjeux et des objectifs de lentreprise afin de livrer un rsultat
business quant aux mesures de scurit mettre en uvre. Les diffrentes phases sont
dtablir le contexte dentreprise, didentifier les actifs et les menaces, danalyser les risques
et enfin de dfinir les mesures de scurit (traitement du risque).

La mthode Mhari a t conue pour les grandes entreprises et organismes (qui sont
galement les principaux demandeurs de mthodologie de risques) et prvoit la dmarche
de scurit de linformation deux niveaux :

_Niveau stratgique : niveau lie au mtier de lentreprise et indpendantes des processus

et technologies mise en uvre. Ce niveau fixe les objectifs de scurit et le mtrique des
risques.

IUP de NIMES, 3me anne Scurit 6

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

_Niveau oprationnel : entit, filiale, branche, business unit qui met en uvre cette politique
et la dcline en analyse prcise des risques, dfinition des mesures de scurit mettre en
uvre et pilotage de la scurit dans le temps (contrle et tableau de bord).

1) Plan stratgique

Cest le plan qui examinera lentreprise sur un aspect gnral. Ici on parle dune faon ou
dune autre du business. Serons pris en compte lors de cette analyse, la classification des
ressources de lentreprise, lensemble des risques existants, ses objectifs scurit.

Premire tape mettre en avant les risques possibles :

Lors de laudit nous allons donc rpertorier les risques pouvant pnaliser lactivit de
lentreprise cliente.
Ensuite pour chacun des risques dtects on dfinit :

- Son potentiel :
C'est--dire la capacit de destruction. Cest pour cela que lon mettra en place des tests ou
plus prcisment des scnarios qui permettent de se mettre en situation et dvaluer ce
potentiel.

-Son impact :
En clair, une fois la catastrophe arrive concrtement quel seront les dgts rels.

-Sa gravit :
Dterminer si vraiment les dgts son handicapants pour lentreprise et son fonctionnement.

Deuxime tape limite dacceptabilit :

De part ces caractristiques nous allons ensuite mettre en place une chelle pour le degr
dacceptabilit non seulement sur le plan de la gravit mais aussi du temps. Combien de
temps lentreprise pourra tre dans cette handicape sans que cela devienne dangereux pour
a survie.

Troisime tape les ressources de lentreprise :

IUP de NIMES, 3me anne Scurit 7

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

Lors de cette tape nous dfinirons en fait les valeurs de lentreprise, quels services
gnrent le plus de chiffre daffaire, ou sont vital pour le fonctionnement de la socit.

Quatrime tape solution et indicateurs :

Cest ltape finale, cest lors de celle-ci que lon mettra en place dans un premier temps les
indicateurs afin de prvenir au maximum larrive dune catastrophe. que lon regroupera
toutes les informations que lon a pu rcuprer et quon les analysera de faon globale afin
de pouvoir mettre en uvre des solutions : rgles de scurit et de responsabilit. Les
solutions sapplique sur plusieurs niveaux :
Ce dcoupage permet un regroupement des mesures en six grandes familles :

Les mesures structurelles qui jouent sur la structure mme du systme d'information,
pour viter certaines agressions ou en limiter la gravit.

Les mesures dissuasives qui permettent, dans le cas d'agresseurs humains, d'viter
qu'ils mettent excution la menace potentielle en dclenchant l'agression.

Les mesures prventives : celles qui permettent d'empcher les dtriorations ou

d'viter qu'une agression n'atteigne des ressources du systme d'information.

Les mesures de protection qui, sans empcher les dtriorations, permettent tout au
moins d'en limiter l'ampleur.

Les mesures palliatives qui agissent une fois les dtriorations accomplies, et qui
permettent, d'une part d'en limiter les consquences au niveau de l'entreprise, d'autre
part de restaurer les ressources dtriores pour retrouver l'tat initial.

Les mesures de rcupration qui visent rcuprer une partie du prjudice subi par
transfert des pertes sur des tiers, par le biais des assurances ou de dommages et
intrts conscutifs des actions en justice, dans le cas d'agresseurs humains.

2) Plan oprationnel de scurit

- Spcifier le domaine et les outils : laboration des scnarios.

Primtre et niveau de dtail Elaboration des scnarios Validation de la classification

IUP de NIMES, 3me anne Scurit 8

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

- Auditer le niveau de scurit : audit des services

Audit des services et sous services Consolidation au niveau cellules

- Evaluer la gravit des scnarios : Potentialit/ Impact/ Gravit

Dtermination Potentialit/Impact/gravit

- Exprimer les besoins de scurit : mesures gnrales et spcifiques

- Planifier les actions de scurit : mesures prioritaires

Mesures spcifiques et prioritaires Autres mesures hirarchises

3) Plan oprationnel dentreprise

Dans cette tape il sagit fondamentalement de mettre en place des scnarii sur les impacts
et les consquences que peuvent avoir ces sinistres sur la vie et le bon fonctionnement de
lentreprise. Cette partie conclue la boucle de lapplication de la mthode Mhari par la mise
en place dun outil permettant le suivi des oprations effectuer afin damliorer la scurit
de la socit.

- En effet, on va choisir en fonction des analyses des informations rcoltes ci

dessus, diffrents types de risques auxquels lentreprise tudie risque de
sexposer. Ce ci permet alors dtablir une ventuel couverture de ce genre de
risque.
- Llaboration des indicateurs consiste dterminer les niveaux de gravit que
peut supporter une entreprise en fonction des risques encourus. On se
penchera bien sur plus sur les risques majeurs ayant le plus dimpact sur le
fonctionnement de lentreprise
- Viens alors le moment deffecteur un bilan de toutes les informations
collectes. Il est essentiel dtablir des corrlations entre les diffrents acteurs
de cette tude. Une synthse doit tre fate afin de dessiner au mieux les
contours dune action que ce soit au niveau de lentreprise, de la gestion des
scnarii et des nouvelles consignes communiques aux salaris.

Pour que cette stratgie soit couronne de succs il est ncessaire de sassurer que :
9 Elle est connue et comprise par la Direction et le personnel de lentreprise

IUP de NIMES, 3me anne Scurit 9

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

9 Elle est pilote et sa mise en uvre est assure et mesure

9 Elle reste pertinente dans le temps
9 Elle se dcline en objectifs stratgiques relis des objectifs tactiques (ensemble
des initiatives, projets, processus et organisation) qui forment un tout cohrent et
contribuent pleinement latteinte de la couverture des risques
9 Elle est finance et que les budgets sont affects avec lassurance de leur meilleure
contribution au succs de cette stratgie

Cest ce niveau quintervient la mise en place et le suivi dun Tableau de Bord Equilibr
Scurit (TBES). En effet, la dmarche TBES mise au point par HAPSIS sinspire des
principes de gouvernance des systmes dinformation et de la mise en uvre de Balanced
Score Cards . Elle intgre lensemble des rapports de cause effet entre les paramtres
cls, les mesures de rsultats et les boucles de suivi pour la mise en uvre de la stratgie.
En outre, la dmarche TBES est pragmatique, modulaire et s'applique de prfrence
primtre par primtre.

Bnfices :
9 Les objectifs poursuivis par la stratgie scurit sont conformes ceux de l'entreprise
Valorisation accrue de l'action mene par le RSSI qui est ainsi replace au sein de la
stratgie de l'entreprise
9 Impact sur l'image vhicule par la SSI
9 Pilotage et mesure dans la dure de la stratgie scurit sur l'ensemble de ses
aspects, en privilgiant le caractre stratge du RSSI
9 Intgration des aspects stratgiques et oprationnels
Arbitrage budgtaire avec l'assurance du meilleur impact sur le niveau de scurit.

La mise en pratique dun TBES permet de disposer dun outil de pilotage de sa stratgie
scurit ainsi que de conduite du changement. Clarifiant, communiquant et explicitant la
stratgie de scurit, il provoque une adhsion du personnel et optimise l'affectation des
moyens. De ce point de vue, les probabilits de succs de la stratgie de scurit sont
amliores. Cela se traduit par une atteinte des objectifs sur les indicateurs de risques et se
matrialise par une diminution des vnements de pertes propres aux risques considrs.

IUP de NIMES, 3me anne Scurit 10

 Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

La dmarche MEHARI

Plan stratgique de Indicateurs Plan oprationnel

Tableau de bord
scurit dentreprise

Objectifs Scnario
Mtriques Plan daction

Plan oprationnel de
scurit

IUP de NIMES, 3me anne Scurit 11

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

3. Dveloppement de MEHARI
Afin dillustrer au mieux notre expos nous avons dcid de mettre en place une petite
simulation de la mthode auprs dune entreprise. Par hasard notre choix sest port sur la
socit RDI bas NIMES.

1) Recherche des informations pour la mise en place de la

mthode

Comme vu prcdemment on constate que une bonne partie des informations de la mthode
mhari doit tre cherche au sein de lentreprise. Pour cela nous avons en trois rendez-vous
avec M. Fleury rcolter les donnes ncessaires lapplication de la mthode.

a) Vue gnrale de lentreprise

La premire tape fut de rcolter des information trs gnrales sur le fonctionnement de
lentreprise. Puis de dterminer les niveaux dacceptabilit des risques inventoris. Puis on
peut mettre en place larchitecture de la mthode mhari, de lanalyse des donnes jusqu
la simulation de scnarii catastrophe.

Entreprise :
- 1ere tage : 400 m et 2rez de chaussez 600 m
- SSII (chaque socit du Groupe est spcialiste d'un mtier)
- 3 socits qui forment le groupe RDI
- Effectif : 80 personnes

SOCIETES ACTIVITE

RDI - Couverture des besoins d'infrastructures :

matriel, rseau, communication inter-sites, scurit, contrat
d'assurance...
Novcom - Rponse aux besoins de stratgie collaborative :
mditerrane intranet, portails d'entreprise, gestion de la connaissance,
applications web ...
ICE Informatique - Rponse aux besoins de gestion d'entreprise :
comptabilit, paie, tats financiers, gestion commerciale,
suivi relation client ...

Personnel :
- Les quipes sont motivs et adhrent compltement aux objectifs de lentreprise

IUP de NIMES, 3me anne Scurit 13

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

- Climat social OK
- Pas de protection contractuelle des donnes
- Dans le rglement intrieur pas de clause de confidentialit
- Lentreprise ne pense avoir des donnes secrtes protger par contrat
- Accs aux procdures est protges mais pas drastiquement
- Pas daudit externe concernant le contrle des procdures et les contrles daccs
- Une quipe pour la gestion des stocks
- Bonne situation dans lentreprise mme si le secteur reste morose
- Services de proximit
- Homognit de la clientle 50% de nouveaux clients
- Investissement important de la socit
- Rachat de quelques socits dans le sud de la France

Le groupe RDI semble assez incontournable dans son secteur dactivit sur la rgion

Inventaire des risques et limite dacceptabilit

Elments les plus importants Risques Limite dacceptabilit

Messagerie (dpannage Ecroulement du serveur journe de coupure

ERP (facturation et devis) Panne ou dysfonctionnement du 1 journe

service

Salle dhbergement Problme du lhumidit 1 journe

inondation
Stock Incendie
Inondation
Vol

Scurit gnrale dans lentreprise

Protection contre les incendies

Extincteurs disposs dans toutes les pices. Des trappes de dsenfumages sont
galement disposes dans diffrentes pices. Un plan de lentreprise est galement plac
lentre et ltage. Tout est mis en uvre pour faciliter une ventuelle intervention des
pompiers.
Contrle des va et vient dans lentreprise :
9 tous les salaris ont un badge magntique pour entrer et sortir de lentreprise

IUP de NIMES, 3me anne Scurit 14

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

9 Seulement 5,6 personnes ont un accs total linformatique (salle des serveurs,
)
9 Pas de badge pour les visiteurs

Accs la salle des serveurs ?

La porte est verrouille, laccs est limit 5,6 personnes et de ralise avec leurs badge
Est-ce que le personnel se dlogue ou verrouille leur station lorsquil quitte leur poste ?
non, sauf le soir ->FAILLE

Protection de lintgrit des informations :

La gestion des sauvegardes :

quotidienne pour lensemble des serveurs dans une baie de disque
hebdomadaire (effectu chaque week end) sur bande. (RDI tourne sur 10 bandes gard
lextrieur).
A chaque modification : sauvegarde Ghost
Scurit des disques : raid 5 (sur les serveurs et sur la baie de disques)

Il y a un responsable pour les sauvegardes.

Il nexiste aucune procdure pour effectuer ces sauvegardes.

En cas de plantage
systme de restauration sur disque partir du serveur de sauvegarde

Protections logicielles et antivirus

Logiciels : un antivirus est install sur chaque station et sur la messagerie
Mise jour automatique pour les sauvegardes

Comment se passe les connexions de RDI au client ?

Soit par VPN (scuris)
Soit par RDP (logiciel de prise de main distance -> pas scuris)

Comment est gre la gestion des journaux derreurs, des logs, analyses, des performances
rseaux et systmes ?
les erreurs sont gres partir dun logiciel de supervision

Les assurances

IUP de NIMES, 3me anne Scurit 15

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

Il y a une responsable administrative et financire qui soccupe du bon fonctionnement et du

renouvellement des contrats dassurances.

AOM, coutier mondial (assurance Groupama)

Le contrat souscrit inclus :

Vhicule (accident de la route, )
Multirisque <=> le mobilier et locaux (vol, incendie, catastrophe naturelle, )
Responsabilit civile (dommage commis aux tiers)

Il nest pas inclus :

certaines catastrophe naturelle (tronc darbre, ..)
divulgation dinformation

Remarque : les assurance sont assez frileuses pour assurer les SSII, surtout celles qui
travaillent au niveau conseil / audit / scurit

b) Test technique de linfrastructure rseau

Pour la partie concernant les tests techniques, M. FLEURY nous a indiqu une liste de
logiciels quon pourrait tester dans les locaux de lentreprise.

Lannetscan

Cest un logiciel permettant deffectuer un scanner de son rseaux afin de dtecter les
vulnrabilits prsentes ce dit rseau tudi. Il propose en outre quelques solutions pour
remdier ces failles.

NetworkView3

Netsniffer

Cest un logiciel intressant quand il sagit de ltude dun rseau local. Il permet par
exemple de tester si les postes de travail reoivent bien ou transmettent bien des donnes. Il
permet aussi une machine danalyser en temps rel les donnes quelle met. Ce qui
permet en outre de savoir si une machine nenvoie pas de donnes sans lautorisation de
lutilisateur. Ce logiciel est aussi capable de rcuprer des trames au plus bas niveau du
rseau. Il permet une lecture rapide les informations essentielles comme ladresse des
metteurs et rcepteurs ainsi que les protocoles utiliss.

IUP de NIMES, 3me anne Scurit 16

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

SnifMon 3.10.103

Cest un logiciel qui sert lui aussi faire une analyse du rseau. Il effectue une capture puis
permet une analyse des trames mais cette fois ci en temps rel. Il supporte les protocoles IP,
TCP, UDP et dautres encore.

Tenable NeWT

Ce logiciel est srement le plus utile de tous dans le type de travail quil nous ait demand
dans le cadre de limplmentation de la mthode MEHARI. En effet, il sagit dune plate
forme idale pour les consultants en scurit dans la mise en place daudit.
Tenable nest autre quun scanner de vulnrabilit dun rseau donn. Cest ladaptation du
logiciel Nessus pour les plates formes WINDOWS.
Ce logiciel peut tre aussi utilis par les entreprises possdant des serveurs WINDOWS afin
deffecteur des contrle sur la solidit de leurs rseaux locales. Dailleurs on peut noter que
ce logiciel permet la mise en place dun mode distribu pour nourrir toutes les machines de
son rseau des ressources de cet outil.
Ce logiciel est trs complet, permet la mise en uvre de nombreuses sources de
vulnrabilits en proposant aussi les solutions qui lui semblent les plus appropries pour
rsoudre des dtails.
Il repre des failles aussi varies que : des problmes de configurations sur des serveurs
mails, ftp ou web, louverture des ports sur les machines, les services P2P ou autre services
suspicieux, reprage de virus etc.
Ce logiciel est aussi compatible sur les machines Linux et Unix.

Le rsultat de ces tests sont disponibles en annexe

2) Synthse des donnes rcoltes

La synthse des donnes a simplement consist la lecture des donnes et la mise en

forme des ses information afin de tenter de scnariser une catastrophe.

3) Analyse et application de la mthode

Aprs avoir fait lanalyse de toutes ces donnes, nous nous sommes attachs
slectionner quelques scnarii catastrophe, les consquences, les causes, les
impacts et le plus important les donnes prendre en compte afin de solutionner ces
problmes.

IUP de NIMES, 3me anne Scurit 17

 Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

RISQUES

ERP Messagerie Salles machines

Raisons

Outil important Outil important Infiltration deau

Devis factures Commandes client Prs des toilettes

Consquences

Chmage Chmage Chmage

IUP de NIMES, 3me anne Scurit 18

 Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

Les scnarios mis en place pour RDI :

A partir du plan stratgique de scurit nous allons donc pouvoir mettre en place une srie de
scnarios possibles pour ces risques. Nous appliqueront un scnario a deux des trois risques
rpertoris.

Pour la messagerie :

Crash Messagerie

Avant sinistre Aprs sinistre

Consquence
Cause Fuite deau dans la salle serveur Serveur messagerie HS

Rcupration
Structurelle Isolation de la salle serveur Enregistrement sur disques externes

Protger par porte blinde Mettre en place du cluster Palliative

dissuasive

Prventive Armoire tanche Armoires spares Protection

Qualit des services de scurit

Potentialit moyen fort Impact

Gravit du scnario Chmage technique

IUP de NIMES, 3me anne Scurit 19

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

Au vue de ce scnarios on peut se rendre compte des actions entran par le risque du
crash de la messagerie de lentreprise. On peut aussi voir de faon plus explicite les
diffrentes mesure a prendre dans le cadre de la mise en place dun plan scurit. Le mme
schma sera donc mis en place pour tous les risques rpertorier dune entreprise cliente.

4) Les Logiciels mettant en place Mhari

Risicare

Risicare vous permet de raliser une analyse de risques lie un systme

d'information. L'utilisation de la mthode MEHARI dveloppe au sein du CLUSIF
comme modle d'analyse garantit la prennit de la dmarche et ses capacits
d'volution. Concrtement l'analyse se droule en trois phases :

- Un audit de l'existant avec un ensemble de questionnaires rellement adapts aux

parties de l'entreprise tudie. Cet audit conduit des tableaux de cotations et de
nombreuses reprsentations graphiques permettant un reporting et un suivi de la
vulnrabilit d'une organisation.

- La mise en vidence de scnarios de sinistres et la quantification automatique de

leur gravite partir de l'audit prcdemment ralis. Risicare, par des codes
couleurs associes, permet de voir immdiatement quelles sont les failles de scurit
les plus significatives et leur localisation.

- La construction d'un plan d'action visant rduire la gravite des scnarios de

sinistres les plus critiques. Cette phase peut tre vue comme une vritable simulation
d'actions a entreprendre, Risicare donnant immdiatement leur influence sur la
gravit des scnarios de sinistres.

L'ergonomie de Risicare, son installation simplifie et une aide en ligne comportant

de nombreuses rubriques mthodologiques et techniques facilitent grandement la
ralisation d'une analyse. Celle-ci sera conduite par le client final qui pourra utilement
(en fonction de son niveau de connaissances de la mthode MEHARI) se faire
assister d'un spcialiste).

IUP de NIMES, 3me anne Scurit 20

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

La socit qui met en place ce logiciel est BUC SA

Edition de logiciels d'analyse de risques

Conseil en management et en organisation de la scurit :

- Audits gnraux de scurit, et analyse de risque MEHARI
-Audits spcialiss de scurit (tests dintrusion, audits applicatifs, etc.)
- Fournisseur de produits logiciels mthodologiques

Editeur de logiciels : RisicareConception d'outils propritaires d'analyse de risques scurit

des rseaux

Cre en 1987, BUC S.A. en est aujourd'hui sa troisime gnration de progiciels

d'analyse de risques. Les produits crits par BUC S.A. sont ainsi prsents dans 150 grands
comptes en Europe, Afrique, Canada et Amrique Latine.BUC S.A. consacre d'importants
moyens en recherche et dveloppement qui ont permis la sortie du progiciel Risicare
s'appuyant sur la mthode MEHARI et en assurent l'volutivit. Paralllement la production
de ces outils standards, plusieurs dveloppements spcifiques sur la gestion des risques ont
t raliss dans les domaines bancaire, de la sant et de la grande distribution.

Progiciel d'analyse de risques RISICARE.RISICARE utilise le modle de risques dvelopp

par la mthode MEHARI, sa simplicit d'emploi rend les concepts de la mthode facilement
assimilables. La version 3 apporte de nouvelles fonctions quant la production de tableaux
de bord orients "Risques" (suivi de la gravit d'un ensemble de scnarios). La
personnalisation des bases de connaissances (questions d'audit et scnarios) est facilite
par l'import - export vers des tableurs. L'ouverture du produit permet notamment de traiter
des risques spcifiques (lis aux rseaux, l'internet, l'e-commerce, etc.)Assistance et
formation dans la mise en place de RISICARE.Etude et conception d'outils propritaires
d'analyse de risques.

SCORE

SCORE est un logiciel qui se situe par rapport lensemble des domaines de scurit
dfinis dans la mthode MEHARI dveloppe par le CLUSIF.
SCORE permet galement de mesurer les efforts restant fournir pour se mettre en
conformit avec les exigences dfinis par les diffrentes entits mtiers de lentreprise
(extrait dune analyse des enjeux).

IUP de NIMES, 3me anne Scurit 21

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

Les modules inclus dans le logiciel SCORE version MEHARI sont les suivants :
Module 1 : Organisation de la scurit et aspects juridiques
Module 2 : Scurit des btiments, des locaux et de lenvironnement de travail de lutilisateur
Module 3 : Scurit des rseaux, des tlcoms et de leur exploitation
Module 4 : Scurit de la production informatique
Module 5 : Scurit des systmes et leur architecture
Module 6 : Scurit des applications et des dveloppements applicatifs
En fonction des points faibles identifis, des analyses avec des outils complmentaires sont
alors envisageables.

SCORE est un outil performant dauto valuation, totalement personnalisable et adaptable

la politique de scurit de lentreprise.
Son utilisation trs simple permet de rapidement se situer par rapport la norme ISO/IEC
17799:2000, aujourdhui reconnue et trs largement utilise par de trs nombreuses
entreprises.
SCORE permet galement de mesurer les efforts restant fournir pour se mettre en
conformit avec la politique de scurit dfinie en interne et base sur cette norme.
Les modules inclus dans le logiciel SCORE sont les suivants :
Questionnaire ISO/ IEC 17799:2000
Dfinition de la stratgie de scurit
Mesure de la conformit

4. Autres mthodes de gestion des risques

La mthode EBIOS qui a pour objectif de dterminer les actions de scurit, les expressions
de scurit. Elle fait une tude des risques et identifie les objectifs de scurit.

La mthode MARION permet de dterminer :

_des scnarios dincidents.
_leur impact sur la disponibilit, lintgrit ou la confidentialit.
_leur gravit sur une chelle de 4 niveaux
_les scnarios classs selon leur gravit
_des mesures de rduction des risques

IUP de NIMES, 3me anne Scurit 22

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

MARION tablit une notation sur la base dun questionnaire est fait une valuation par
rapport une norme, reprage des failles importantes.

La mthode MELISA qui analyse des enjeux (menaces, risques, cot), de vulnrabilit
(tude existant) et propose des parades (plan daction) et permet dtablir un suivi.

5. Actualits

1) Politique de gestion des risques en France

Vu le travail que nous avons effectu il nous semble alors vident de mettre en place une
politique de scurit solide. Mme si Mhari est le nouveau must en matire de politique de
scurit en France il se trouve que peu dentreprises effectue ce travail sur leurs
installations. Pourtant force est de constater que les cots entrepris dans ce genre
dopration ne sont en rien comparables ce que pourraient coter des dgts sur les
infrastructures essentielles au fonctionnement dune socit.
Selon une enqute du CLUSIF, plus de 85% des entreprises franaises envisagent de
mener des actions de sensibilisation de leur personnel la scurit informatique.
Difficile nanmoins denvisager une formation classique mobilisant chaque personne
pendant deux journes pour un prix pouvant aller jusqu 2000 euros par personne. Limpact
en termes dorganisation et de cot savre en effet prohibitif.

2) Autres moyens de gestion des risques

FORTRESS :

Sappuyant sur des animations ludiques (20 animations), il permet de rapidement identifier le
niveau de sensibilisation des quipes internes de lentreprise.
En option, une base de donnes centralise permet de suivre les volutions du degr de
sensibilisation et de mettre au point un tableau de bord dtaill.
Cet outil permet au responsable scurit et/ou au directeur de la formation de dclencher des
actions complmentaires dinformation destination des utilisateurs le ncessitant.

IUP de NIMES, 3me anne Scurit 23

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

HAPSIS : propose une offre originale et ludique de sensibilisation des utilisateurs par un
jeu de rle : SensiRisk.

En effet, la sensibilisation mene sous forme de jeu de rle favorise lattention et la

mobilisation des participants, entrane limplication, stimule limagination et la ractivit, et, a
un meilleur impact sur une relle prise de conscience des enjeux. Elle provoque un
changement des comportements.

Bnfices de Sensirisk :
- Pouvoir ducatif du jeu;
- Impact maximal sur l'amlioration du comportement;
- Impact sur l'image de la SSI et de ses reprsentants;
- Prise en compte des diffrents aspects de la sensibilisation;
- Possibilit de personnalisation totale.

SensiRisk vous permet de disposer dun outil de sensibilisation dont vous pouvez faire usage
selon votre organisation pour seulement quelques euros par utilisateurs.
En effet, HAPSIS commercialise son offre sous forme de formation ou de licences
dutilisation de SensiRisk. Vous pouvez ainsi disposer de votre outil danimation de votre
formation en interne.
Il est galement noter que SensiRisk est ouvert et permet une adaptation vos
particularits et lintgration de vos supports (films, slides).
Mlangeant des questions de culture gnrale, et comportementale, les participants seront
placs dans divers scnarios bass sur lexprience des consultants de Hapsis et sur le
guide des bonnes pratiques ISO-17799.

IUP de NIMES, 3me anne Scurit 24

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

CONCLUSION

IUP de NIMES, 3me anne Scurit 25

Judical GROS-DESIRS Gilles JOSPITRE Fouad EL-HARMOUZIA Xavier MATHIS

ANNEXE

IUP de NIMES, 3me anne Scurit 26