PRESENTATION MEHARI: Process Reference Model MEHARI. Version Modification Date Author V00_00 23.02.2006 CSI



Documents pareils
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Qu est-ce qu un système d Information? 1

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

s é c u r i t é Conférence animée par Christophe Blanchot

Prestations d audit et de conseil 2015

La politique de sécurité

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Sécurité informatique: introduction

Systèmes et réseaux d information et de communication

Gestion des Incidents SSI

1 Les différents types de maintenance

Management de la sécurité des technologies de l information

Malveillances Téléphoniques

Banque européenne d investissement. Charte de l Audit interne

JOURNÉE THÉMATIQUE SUR LES RISQUES

Brève étude de la norme ISO/IEC 27003

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

THEORIE ET CAS PRATIQUES

RÈGLES DE CERTIFICATION D ENTREPRISE

COMMENT EVALUER UN RISQUE

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

A.3 Les méthodes : L applicabilité

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

L analyse de risques avec MEHARI

LE «COQ» ET LES COUTS RESULTANT DE LA NON-QUALITE

L'AUDIT DES SYSTEMES D'INFORMATION

Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014

TROISIEME REUNION DU FORUM SUR L ADMINISTRATION FISCALE DE L OCDE

Politique et Standards Santé, Sécurité et Environnement

Politique de gestion des risques

CEG4566/CSI4541 Conception de systèmes temps réel

GERER SA MAINTENANCE INFORMATIQUE

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre This document is also available in English.

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

Gestion des cyber-risques

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Politique Institutionnelle. Politique de protection de l enfance. Direction Générale Fédérale 2007 PI 01

Le RISQUE INFORMATIQUE Comment y remédier?

Infor HCM Anael Risques Professionnels. Infor HCM. Infor HCM Anael Risques Professionnels

Notice méthodologique

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité"

UDSG CLASSIFICATION DOSSIER DOCUMENTAIRE

Une crise serait un «changement brutal et

Conseiller implantation de logiciel Milieu de la santé Supérieur immédiat : Vice-président opérations

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques,

République de Guinée. Ministère de l Economie et des Finances. Unité de Coordination et d Exécution des Projets

RESPONSABILITE ET ASSURANCES

Plan de Continuité d Activité

Montrer que la gestion des risques en sécurité de l information est liée au métier

Solutions AvAntGArd receivables

HACCP Évolutions réglementaires et normatives

Politique de sécurité de l information

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

LE PROJET QUALITE-GESTION DES RISQUES- DEVELOPPEMENT DURABLE

Projet de charte d utilisation Cyber-base du Vic-Bilh Montanérès

Ordonnance relative à la loi fédérale sur la Banque nationale suisse

PROFESSION COMPTABLE ET FINANCEMENT EXPORT

COBIT (v4.1) INTRODUCTION COBIT

REFERENTIEL DU CQPM. TITRE DU CQPM : Electricien maintenancier process 1 OBJECTIF PROFESSIONNEL DU CQPM

CADRE DE TRAVAIL. Mai Autorité des marchés financiers - Mai 2008 Page 1

La formation en deux phases

Réussir l externalisation de sa consolidation

Les Plans de Sécurité Informatique


Editorial. Chère lectrice, cher lecteur,

POSITION DE DETIC CONCERNANT LA PROPOSITION DE LA COMMISSION ET LES AMENDEMENTS ADOPTES PAR LE CONSEIL ET LE PARLEMENT EUROPEEN EN PREMIERE LECTURE

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Solvabilité II : Vers une approche globale et cohérente de la solvabilité

La Qualité de SFR Business Team

Comment aborder l Optimisation énergétique de salles anciennes et hétérogènes?

ITIL V3. Transition des services : Principes et politiques

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Patrouilleur TCS. Un métier dans la high-tech, une passion. patrouille tcs

Groupe Eyrolles, 2006, ISBN :

Outil 5 : Exemple de guide d évaluation des auditeurs internes

3URSRVLWLRQ UHODWLYH j OD ILVFDOLWp GH O psdujqh TXHVWLRQVVRXYHQWSRVpHV (voir aussi IP/01/1026)

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Un outil de progrès pour les PME/PMI Lorraines

Tout savoir sur votre suivi médical au travail

C H A P I T R E. Contrôles généraux des technologies de l information

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Traitement Mazout de Chauffage

Transcription:

MEHARI DOCUMENT HISTORY Version Modification Date Author V00_00 23.02.2006 CSI V00_01 DIFFUSION Organisation Name Diffusion mode CLUSSIL GT ANARISK Membres présents Electronique PRM_Mehari_v0 Page 1 sur 11

Table of contents 1 Introduction... 3 1.1 Mehari... 3 2... 4 2.1 PRM Liste des processus... 4 3 Description des processus et indicateurs de performance... 5 3.1 Avant-propos... 5 3.2 AECR Analyse des enjeux et classification des ressources... 5 3.3 DESS Diagnostic de l état des services de sécurité... 6 3.4 RSR Recherche des situations de risque... 7 3.5 ASR Analyse des situations de risque... 8 3.6 GRPD Gestion des risques de projets de développement... 9 3.7 RPA Réalisation d un plan d action... 10 3.7.1 RPA.1 Réalisation d un plan d action basé sur l analyse de risque... 10 3.7.2 RPA.2 Réalisation d un plan d action basé sur l audit... 11 PRM_Mehari_v0 Page 2 sur 11

1 Introduction 1.1 Mehari Reference: «Mehari V3: principes et mécanismes» Selon le CLUSIF (Club de la sécurité des systèmes d information français), toutes les parties impliquées dans la sécurité de l information s accordent pour reconnaître que les risques des délits informatiques sont aujourd hui plus sérieux que jamais, ceci notamment en raison de la convergence d un certain nombre de tendances propices à l augmentation des délits informatiques, telles que le développement de l informatique répartie et mobile, l essor d Internet pour les communications professionnelles, le développement de la culture informatique, des outils de piratage de plus en plus perfectionnés, etc. Dans la mesure où cette situation devrait se poursuivre dans un avenir prévisible, les entreprises s en trouveront encore plus menacées. Développée par le CLUSIF (et initialement issue du croisement de MELISA et de MARION), MEHARI (MEthode Harmonisée d Analyse de RIsques) est une méthode d analyse et de management des risques liés au système d information. Elle permet, par une analyse rigoureuse et une évaluation quantitative des facteurs de risque propres à chaque situation, de concilier les objectifs stratégiques et les nouveaux modes de fonctionnement de l entreprise avec une politique de maintien des risques à un niveau convenu. Elle est mise en œuvre par de nombreuses entreprises (PME/PMI et grandes entreprises) en France, Belgique, Suisse, au Luxembourg et au Quebec. MEHARI apporte donc un modèle de gestion du risque et une démarche modulable. Dans l optique d une analyse des risques, au sens de l identification de toutes les situations de risque et de la volonté de s attaquer à tous les risques inacceptables, le domaine couvert pas MEHARI ne s arrête pas aux systèmes informatiques. Les modules de diagnostic couvrent ainsi, outre les systèmes d information et de communication, l organisation générale, la protection générale des sites, l environnement de travail des utilisateurs et les aspects réglementaires et juridiques. PRM_Mehari_v0 Page 3 sur 11

2 2.1 PRM Liste des processus processus PRIMAIRES de risque opérationnel Analyse des enjeux et classification des ressources (AECR) Diagnostic de l état des services de sécurité (DESS) Recherche des situations de risque (RSR) Analyse des situations de risque (ASR) Gestion des risques de projets de développement (GRPD) Réalisation d un plan d action (RPA) RPA.1 Réalisation d un plan d action basé sur l analyse de risque RPA.2. Réalisation d un plan d action basé sur l audit PRM_Mehari_v0 Page 4 sur 11

3 Description des processus et indicateurs de performance 3.1 Avant-propos 3.2 AECR Analyse des enjeux et classification des ressources ID Name Purpose AECR Analyse des enjeux et classification des ressources L objectif de l analyse des enjeux et classification des ressources est d identifier les dysfonctionnements potentiels et la gravité de leurs conséquences. [ref. 5.1.1] NOTE 1 : Dans le domaine de la sécurité, les enjeux sont vus comme des conséquences d événements venant perturber le fonctionnement voulu de l entreprise ou de l organisme. NOTE 2 : L analyse des enjeux doit : identifier les activités majeures de l entité et leurs finalités; déterminer les dysfonctionnements qui peuvent être redoutés; évaluer le niveau de gravité de ceux-ci, activité par activité. NOTE 3 : La classification des ressources doit : identifier les ressources intervenant dans les activités de l entité; pour chacune d elles, déterminer la manière dont elle peut conduire à un dysfonctionnement préalablement identifié ainsi que la gravité qui en résulterait. Comme résultat d une réalisation de l analyse des enjeux et classification des ressources, on obtiendra : 1. une échelle de valeurs des dysfonctionnements, qui rassemble en un document unique l ensemble des types de dysfonctionnements et les seuils de criticité correspondants; [ref. 5.2.2.5] 2. une classification des ressources avec, pour chacun des critères principaux (confidentialité, intégrité, disponibilité), le niveau de gravité d un dysfonctionnement de la ressource selon ce critère; [ref. 5.2.3.3] PRM_Mehari_v0 Page 5 sur 11

3.3 DESS Diagnostic de l état des services de sécurité ID Name Purpose DESS Diagnostic de l état des services de sécurité L objectif du diagnostic de l état des services de sécurité est de répertorier les services de sécurité existants dans l entité et d évaluer le niveau de qualité de chacun d eux. [ref. 6.1] NOTE 1 : Préalablement, il est nécessaire de déterminer un schéma d audit qui fait la distinction entre des domaines de solutions différents, devant faire l objet d analyses séparées. NOTE 2 : Chaque service de sécurité identifié doit être évalué en tenant compte de son efficacité, de sa robustesse et de sa mise sous contrôle. Comme livrables du diagnostic de l état des services de sécurité, on obtiendra : 1. une liste des services de sécurité présents dans l entité; [ref. 6.2.5] 2. un schéma d audit déterminant les variantes d audit à effectuer selon les domaines de solutions considérés; [ref. 6.4.1] 3. une évaluation détaillée de l état des services ainsi identifiés. [refs. 6.3, 6.4.2] PRM_Mehari_v0 Page 6 sur 11

3.4 RSR Recherche des situations de risque ID Name Purpose RSR Recherche des situations de risque L objectif de la recherche des situations de risque est de détecter et de sélectionner les situations de risque auxquelles l entité se trouve exposée. NOTE 1 : Deux approches complémentaires devraient être utilisées concurremment : L approche directe à partir de l échelle de valeurs des dysfonctionnements [voir AECR] La recherche systématique à partir d une base de connaissance Comme résultat de la recherche des situations de risque, on obtiendra : 1. liste des risques à soumettre à une analyse plus détaillée; [ref. 8 ] PRM_Mehari_v0 Page 7 sur 11

3.5 ASR Analyse des situations de risque ID Name Purpose ASR Analyse des situations de risque L objectif de l analyse des situations de risque est de quantifier une notion de danger auquel l entité est exposée. Comme résultat d une analyse des situations de risque, on obtiendra : 1. une évaluation de la potentialité de scénarios de risque ; [ref. 7.3.1] NOTE 1 : L évaluation de la potentialité comprend l évaluation de l exposition naturelle [ref. 7.3.1.1], ainsi que l évaluation des facteurs de dissuasion et prévention [refs. 7.3.1.2, 7.3.1.3]. 2. une évaluation de l impact de scénarios de risque ; [ref. 7.3.2] NOTE 1 : L évaluation de l impact comprend l évaluation de l impact intrinsèque [ref. 7.3.2.1], ainsi que l évaluation des facteurs de protection [ref. 7.3.2.2], palliation [ref. 7.3.2.3] et récupération [ref. 7.3.2.4] 3. une évaluation globale du risque; [ref. 7.3.3] PRM_Mehari_v0 Page 8 sur 11

3.6 GRPD Gestion des risques de projets de développement ID Name Purpose GRPD Gestion des risques de projets de développement L objectif de la gestion des risques de projets de développement est de réaliser un plan de sécurité spécifique au projet de développement. Comme résultat de la gestion des risques de projets de développement, on obtiendra : 1. une échelle de valeurs des dysfonctionnements, qui rassemble en un document unique l ensemble des types de dysfonctionnements et les seuils de criticité correspondants; [ref. 9.3.4] NOTE 1 : voir processus AECR 2. une analyse de risques des scénarios définis par les responsables du projet; [ref. 9.3.5] NOTE 1 : voir processus ASR 3. un relevé des besoins de sécurité par activité [refs. 9.3.1, 9.3.6] 4. le plan d action de sécurité du projet [ref. 9.3.6] PRM_Mehari_v0 Page 9 sur 11

3.7 RPA Réalisation d un plan d action 3.7.1 RPA.1 Réalisation d un plan d action basé sur l analyse de risque ID Name Purpose RPA.1 Réalisation d un plan d action basé sur l analyse de risque L objectif de la réalisation d un plan d action basé sur l analyse de risque est de définir, déployer et mettre en oeuvre ou renforcer des services de sécurité en s appuyant sur une analyse organisée et méthodique des risques. Comme résultat de la réalisation d un plan d action basé sur l analyse de risque, on obtiendra : 1. une politique de sécurité [ref. 9.1.1.1] ; 2. les objectifs de sécurité [ref. 9.1.1.2] ; 3. un paramétrage de la métrique de risque [ref. 9.1.1.2] ; 4. la charte de management [ref. 9.1.1.3] ; 5. le plan opérationnel de sécurité par entité [ref. 9.1.2] ; NOTE 1 : ce produit comprend les éléments suivants : - analyse des enjeux et classification des ressources [ voir AECR] - diagnostic de l état de la sécurité [voir DESS] - identification et évaluation des risques encourus par l entité [voir RSR et ASR] - expression des besoins d amélioration des niveaux de sécurité PRM_Mehari_v0 Page 10 sur 11

3.7.2 RPA.2 Réalisation d un plan d action basé sur l audit ID Name Purpose RPA.2 Réalisation d un plan d action basé sur l audit L objectif de la réalisation d un plan d action basé sur l audit est de définir, déployer et mettre en oeuvre ou renforcer des services de sécurité directement à partir d un audit de sécurité. Comme résultat de la réalisation d un plan d action basé sur l audit, on obtiendra : 1. le plan d action de sécurité [ref. 9.2.4] ; NOTE 1 : ce produit comprend les éléments suivants : - analyse des enjeux et classification des ressources [ voir AECR] - diagnostic de l état de la sécurité [voir DESS] - identification et évaluation des risques encourus par l entité [voir RSR et ASR] - expression des besoins d amélioration des niveaux de sécurité; PRM_Mehari_v0 Page 11 sur 11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back