Téléverser un fichier

vue et principes mehari-pro_v13_novembre 2013

16
MEHARI-Pro Vue d’ensemble et principes directeurs Version 1,3 Novembre 2013 Club de la Sécurité de l’Information du Québec Téléphone : + 1 (418) 564-9244 Télécopieur : + 1 (418) 614-0842 Courriel : [email protected]

Upload: mohamed-tarsafi

Post on 24-Nov-2015

30 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • MEHARI-Pro

    Vue densemble et principes directeurs

    Version 1,3

    Novembre 2013

    Club de la Scurit de lInformation du Qubec Tlphone : + 1 (418) 564-9244 Tlcopieur : + 1 (418) 614-0842

    Courriel : [email protected]

  • MHARI-Pro i

    Remerciements

    LASIQ1 tient mettre ici lhonneur les personnes qui ont rendu possible la ralisation de ce docu-ment, tout particulirement :

    Sylvain

    Simon

    Dominique

    Olivier

    Colette

    Martine

    Christophe

    Jean-Philippe

    Bertrand

    Borduas

    Buc

    Corbier

    Fournier

    Gagn

    Jolivet

    Jouas

    Hydro Qubec

    Conseiller en gestion de risque

    BUC S.A.

    Docapost Responsable de lEspace Mthodes du Clusif

    Hydro Qubec

    Conseillre en gestion de risque

    Pr4gm4

    Fondateur de la mthode et membre honoraire de lASIQ

    Chantale

    Jean-Louis

    Pineault

    Roule

    AGRM Protection de linformation

    Responsable du Groupe de Travail Documentation de MEHARI, au sein du Clusif

    Claude Taillon Conseiller en scurit de linformation

    MEHARI est une marque dpose par le CLUSIF.

    MEHARI-Pro a t dvelopp par lASIQ, en collaboration avec le Clusif

    _______________________________

    1 ASIQ : Association de scurit de linformation du Qubec

  • MEHARI-Pro ii

    Sommaire

    Introduction ................................................................................................................................................ 1

    Principes directeurs ........................................................................................................................................... 1

    Vue densemble de MEHARI-Pro ..................................................................................................................... 2

    1.1. Lanalyse des enjeux .......................................................................................................................... 4

    1.2. Les diagnostics des services de scurit ......................................................................................... 5

    1.2.1 Le diagnostic de scurit, lment cl dune analyse des risques ................................... 5

    1.3. Lanalyse (ou apprciation) des risques .......................................................................................... 5

    1.3.1 Lanalyse systmatique des situations de risques .............................................................. 6

    1.4. Le plan daction en scurit de linformation ................................................................................ 6

    1.5. Contrle et pilotage de la gestion directe des risques ................................................................... 7

    1.5.1 Contrle du niveau de qualit des services retenus ........................................................... 7

    1.5.2 Contrle de la mise en uvre des services de scurit ...................................................... 8

    1.5.3 Pilotage global associ la gestion des risques ................................................................. 8

    Annexe A1 : Typologie dactifs (T1) de la base de connaissances de MEHARI-Pro ................................ 9

    Annexe A2 : Liste des 43 services de scurit appels par MEHARI-Pro ............................................... 11

  • MHARI-Pro 1/13

    Introduction

    MEHARI-Pro fait partie de lensemble des mthodes danalyse de risques dveloppes partir du modle danalyse de risques cr par Jean-Philippe Jouas et Albert Harari en 1992, modle utilis par le CLUSIF, pour MEHARI, depuis 1996.

    MEHARI-Pro est une mthode rigoureuse de gestion de risque destine aux professionnels de la scurit. Elle vise principalement les petites ou moyennes organisations, prives ou publiques, ou encore les organisations plus importantes qui souhaitent, au moins dans un premier temps, avoir une vision et une analyse globale de leurs risques sans entrer dans le dtail de linfrastructure et du fonctionnement des systmes dinformation et de communication.

    MEHARI-Pro est une mthodologie base sur les mmes processus danalyse et dvaluation des risques que lensemble des variantes de MEHARI en utilisant une base de connaissances spcifiques adapte la cible vise.

    Ses domaines dapplication, sont principalement :

    La gestion permanente des risques auxquels lorganisation est confronte

    Lanalyse ponctuelle des risques induits par une nouvelle application, de nouvelles fonctionnalits dun systme dinformation ou la mise en place dun nouveau systme dinformation;

    Le premier objectif de MEHARI-Pro est de fournir une mthode danalyse et de gestion des risques et, plus particulirement pour le domaine de la scurit de linformation, une mthode conforme aux exigences de la norme ISO/IEC 27005:2008, avec lensemble des outils et moyens requis pour :

    Identifier de manire prcise et exhaustive les situations de risque auxquelles lorganisation doit faire face.

    Permettre une analyse directe et individualise des situations de risque dcrites par des scnarios de risque.

    Proposer des mesures de scurit permettant de rduire les risques jugs inacceptables et permettre den valuer leffet sur les niveaux de risques rsiduels.

    cet objectif premier sajoute lobjectif complmentaire de fournir une gamme doutils adapte la gestion de la scurit de linformation, et ce, quels que soient les types dactions envisags.

    Compte-tenu de ces objectifs, MEHARI-Pro propose un ensemble mthodologique cohrent, faisant appel des bases de connaissances adaptes et capables daccompagner les responsables de la scurit dans leurs diffrentes dmarches et actions, incluant des acteurs impliqus dans la gestion des risques.

    Principes directeurs

    Cette dclinaison de MEHARI, comme toutes les autres, respecte les principes directeurs suivants :

    Identifier les situations de risque par une dmarche structure et arborescente partant des activits de lorganisation et en recherchant les dysfonctionnements possibles et leurs

    causes.

  • MHARI-Pro 2/13

    valuer les consquences dun risque potentiel partir dune classification des actifs, elle-mme base sur les impacts maximum des risques sur les processus daffaires de lorganisation.

    valuer la probabilit de survenance dun risque partir de la potentialit initiale doccurrence de lvnement.

    Tenir compte, dans lvaluation dun risque, non seulement des mesures de scurit existantes mais aussi de leur niveau de qualit et defficacit.

    Appuyer lvaluation de la qualit des mesures de scurit en place (ou prvues) sur une base de connaissance apportant lexpertise requise.

    Vue densemble de MEHARI-Pro

    MEHARI-Pro consiste :

    procder lanalyse des enjeux et la classification des actifs de lorganisation (DIC);

    procder un diagnostic de la qualit des services de scurit en place (vulnrabilit);

    identifier les scnarios de risques plausibles pouvant altrer la qualit (DIC) ou le fonctionnement des actifs impliqus;

    identifier les mesures de scurit mettre en place pour rduire la gravit des risques non acceptables et dcider des actions entreprendre sur les autres risques;

    laborer un plan daction priorisant les mesures ayant le plus grand effet sur lattnuation des risques.

    Le schma ci-dessous rsume la dmarche.

    Les forces de lapproche actuelle de MEHARI-Pro :

    Simplicit de lapplication de la mthode;

    Rigueur de lapproche mthodologique;

    Phase 1 Phase 4

    Analyse des risques

    Analyse des enjeux et classification

    Diagnostic des services de scurit

    Phase 2

    Phase 3

    laboration

    des plans

    de scurit

  • MHARI-Pro 3/13

    Richesse et cohrence de sa base de connaissances qui est une extraction de celle de MEHARI-EXPERT;

    Prise en compte des niveaux de qualit des mesures de scurit pour valuer les risques rsiduels (en effet, lefficacit des mesures de scurit pour rduire les risques dpend des mcanismes adopts et de leur robustesse)

    Prise en compte des niveaux defficacit dune mesure de scurit pour diminuer les risques (en effet, certaines mesures de scurit apportent plus de valeur ajoute);

    Facilit, pour un non-spcialiste, de bien analyser les situations et de proposer des mesures tenant compte de la maturit et de la capacit de lorganisation mettre en uvre les solutions proposes;

    Simplicit dillustration de la progression en matire de gestion de risques de lorganisation.

    MEHARI-Pro se caractrise comme suit :

    Pour les actifs (voir annexe A1)

    6 actifs de type donnes et informations soit :

    Fichiers informatiques (applicatifs)

    Donnes informatiques isoles quelles soient stockes, temporaires ou en transit

    Fichiers bureautiques

    Courrier lectronique

    Documents non informatiques, imprims ou manuscrits

    Informations publies ou services accessibles sur un serveur Internet

    4 actifs de type services soit :

    Services informatiques et de tlcommunication

    quipements mis la disposition des utilisateurs (ordinateurs, imprimantes locales, priphriques, interfaces spcifiques, etc.)

    Services offerts sur sites Internet

    Environnement de travail des utilisateurs

    Pour les services de scurit

    43 services de scurit caractriss par 377 questions

    74 scnarios de risques rpartis comme suit :

    38 scnarios en disponibilit

    15 scnarios en intgrit

    21 scnarios en confidentialit

  • MHARI-Pro 4/13

    La liste des services de scurit est donne lannexe A2 alors que les scnarios de risques sont dcrits dans le fichier Excel de MEHARI-Pro.

    1.1. Lanalyse des enjeux Quelles que soient les orientations ou la politique, en matire de scurit de linformation, il y a un principe sur lequel tous les gestionnaires saccordent, cest celui de la juste proportion entre les moyens investis dans la scurit et la hauteur des enjeux de cette mme scurit.

    Lobjectif de lanalyse des enjeux est de rpondre cette double question :

    Que peut-on redouter et, si cela devait arriver, serait-ce grave? (lorganisation serait-elle

    en mesure dy faire face?)

    Tout comme pour MEHARI-Expert, MEHARI-Pro intgre un module danalyse des enjeux, qui aboutit deux types de rsultats :

    1. Une chelle de valeurs des dysfonctionnements.

    2. Une classification des informations et des actifs du systme dinformation.

    chelle de valeurs des dysfonctionnements

    La recherche des dysfonctionnements gnraux dans les processus oprationnels ou des vnements que lon peut redouter est une dmarche qui sexerce partir des activits de lorganisation. Une telle dmarche mne :

    Une description des types de dysfonctionnements redouts pouvant affecter la disponibilit, lintgrit ou la confidentialit.

    Une dfinition des paramtres qui influencent la gravit de chaque dysfonctionnement.

    Lvaluation des seuils dimpact ou de criticit de ces paramtres qui font passer la gravit des dysfonctionnements dun niveau un autre, cet ensemble de rsultats constitue une chelle de valeurs des dysfonctionnements.

    Classification des informations et des actifs

    Il est dusage, dans le domaine de la scurit de linformation, de parler de la classification des informations et des actifs du systme dinformation.

    Cette classification consiste dfinir pour chaque type de processus daffaires, linformation indispensable (actif primaire) et, pour chaque information, les systmes dinformation les supportant (actif de soutien) et, pour chacun des critres de classification (soit la Disponibilit, lIntgrit et la Confidentialit), des indicateurs reprsentatifs de la gravit dune atteinte ce critre pour cette information ou cet actif.

    La classification des informations et actifs est la traduction, pour les systmes dinformation, de lchelle de valeurs des dysfonctionnements, dfinie prcdemment, en indicateurs de sensibilit associs aux actifs du systme dinformation (aussi appel Sensibilit DIC ).

    Expression des enjeux de la scurit

  • MHARI-Pro 5/13

    Lchelle de valeurs des dysfonctionnements et la classification des actifs sont deux manires distinctes dexprimer les enjeux de la scurit.

    La premire est plus dtaille et fournit plus de renseignements pour des responsables de scurit alors que la seconde est plus globale et facilite la communication sur le degr de sensibilit DIC des actifs, avec moins de prcision.

    1.2. Les diagnostics des services de scurit MEHARI-Pro intgre des questionnaires de diagnostic extraits de MEHARI-Expert et tient compte de plusieurs mesures de scurit qui sont inspires dISO 270022. Les questionnaires permettent de mesurer la qualit des services effectivement en place de mme que le niveau de qualit des mcanismes et solutions mis en place pour rduire les risques.

    1.2.1 Le diagnostic de scurit, lment cl dune analyse des risques

    Disons simplement, ce niveau, que le modle de risque prend en compte des facteurs de rduction de risque qui sont concrtiss par lexistence des services de scurit en place.

    Le diagnostic de ces services sera donc, lors de lanalyse des risques, un lment important

    dassurance que les services en place remplissent bien leur rle, ce qui est essentiel pour quune analyse de risque soit crdible et fiable.

    MEHARI-Pro sappuie sur une base de diagnostic reconnue dvaluation de la qualit des mesures de scurit en place ou planifies, ce qui en fait une mthode crdible lors de lvaluation des risques et de la planification des plans daction.

    1.3. Lanalyse (ou apprciation) des risques Lanalyse de risques est cite dans beaucoup douvrages sur la scurit de linformation, et notamment dans les normes ISO/IEC de la srie 27000, comme devant tre la base de lexpression des besoins de scurit.

    MEHARI propose, depuis plus de 15 ans, une approche structure du risque3 qui repose sur quelques lments simples.

    Pour lessentiel, une situation risque peut tre caractrise par divers facteurs :

    Des facteurs structurels qui ne dpendent pas des mesures de scurit, mais du domaine daffaires de lentreprise, de son environnement et de son contexte.

    Des facteurs de rduction de risques qui sont, eux, directement fonction des mesures de scurit mises en place.

    Prcisons simplement quune analyse des enjeux est ncessaire pour dterminer la gravit maximale des consquences dune situation risque, ce qui est typiquement un facteur structurel,

    _______________________________ 2 Les mesures de scurit sont groupes par sous-services, qui sont regroups par services de scurit puis

    par domaines de scurit. 3 Le dtail du modle de risques est disponible dans le document Principes fondamentaux et spcifications

    fonctionnelles de MEHARI .

  • MHARI-Pro 6/13

    alors que des diagnostics de scurit sont ncessaires pour valuer les facteurs de rduction de risques.

    MEHARI-Pro permet dvaluer ces facteurs et de porter un jugement sur le niveau de risques. MEHARI sappuie, pour cela, sur des outils (critres dapprciation, mthodes de calcul, etc.) et des bases de connaissances (en particulier pour les diagnostics de scurit) qui savrent indispensables en complment du cadre minimum propos par la norme ISO 27005.

    1.3.1 Lanalyse systmatique des situations de risques

    Pour rpondre la question quels risques lorganisation est-elle expose et ces risques sont-ils acceptables? , une mthode structure consiste valuer toutes les situations de risque potentielles, identifier individuellement les plus critiques, puis dcider des actions mener afin de les ramener un niveau acceptable.

    MEHARI-Pro permet de raliser cette analyse et les bases de connaissance ont t dveloppes afin datteindre cet objectif. Dans cette utilisation de MEHARI, laccent est mis sur lassurance que les situations critiques les plus souvent rencontres ont t prises en compte et sont bien couvertes par un plan daction.

    Cette mthode sappuie sur une base de connaissances de situations de risques et sur des mcanismes dvaluation des facteurs caractrisant chaque risque et permettant den apprcier le niveau. La mthode fournit, en outre, des aides pour dfinir les plans de traitement adapts.

    Actuellement, avec la base de connaissance, le processus dapprciation des risques est soutenu par un ensemble de fonctions de la base de connaissances (Microsoft Excel) permettant dintgrer les rsultats des divers modules de MEHARI (classification des actifs rsultant de lanalyse des enjeux et diagnostics de scurit des diffrents services de scurit). Ces fonctions permettent dvaluer les niveaux de risques actuels et de proposer des mesures additionnelles pour rduire la gravit des scnarios de risques.

    Ultrieurement, il sera possible dutiliser un outil logiciel offrant une assistance volue et permettant de faire des simulations, des visualisations et des optimisations.

    1.4. Le plan daction en scurit de l information lissue de la phase danalyse des risques et des prises de dcision concernant le traitement des risques, lorganisation doit statuer sur un certain nombre dactions mener qui relve, selon le type de traitement retenu :

    De la mise en place de services de scurit, avec pour chacun, un objectif de niveau de qualit.

    De mesures structurelles visant rduire certaines expositions aux risques.

    De mesures organisationnelles visant viter certains risques.

    Ceci tant dit, il doit tre clair que toutes ces actions ne seront sans doute pas menes simultanment ni toutes engages immdiatement, pour diverses raisons telles que la limitation des ressources budgtaires, lindisponibilit des ressources humaines, etc.

    Dans ces conditions, la phase dlaboration des plans daction doit inclure les tapes suivantes :

    le choix des objectifs prioritaires, en termes de services de scurit mettre en uvre (ou amliorer) et loptimisation de ce choix reposant sur les risques les plus levs attnuer et sur la capacit de lorganisation les mettre en uvre;

    la transformation des choix de services de scurit ( implanter ou amliorer) en plans

  • MHARI-Pro 7/13

    daction concrets;

    le choix des mesures structurelles ventuelles et des mesures dvitement des risques;

    la validation des dcisions prcdentes par la haute direction.

    1.5. Contrle et pilotage de la gestion directe des risques Les contrles effectuer pour piloter la gestion directe des risques sont multiples et sont reprsents par le schma suivant :

    Le premier niveau de contrle effectuer vise sassurer que les mcanismes et solutions de scurit planifis et dcids correspondent bien au niveau de qualit des services retenus et en phase de traitement des risques.

    Le deuxime contrle est un contrle de mise en uvre.

    1.5.1 Contrle du niveau de qualit des services retenus

    Ce contrle cherche savoir comment le personnel technique en charge de dfinir les mcanismes et solutions mettre en uvre va pouvoir le faire avec une connaissance suffisante de limpact de leurs dcisions sur le niveau de qualit du service qui sera obtenu une fois implant.

    Par ailleurs, un contrle a posteriori sera ncessaire et ce contrle devra tre effectu par du personnel qui ne sera pas obligatoirement un technicien confirm et dexprience.

    Cela conduit la ncessit dune base dexpertise ou base daudit des services de scurit qui permettra des choix appropris lors de la phase de dfinition des mcanismes et des solutions mettre en uvre, dune part, et un contrle a posteriori, dautre part.

    Justification de la ncessit dune base daudit des services de scurit

    Dans les principes de MEHARI, et bien entendu dans ses bases de connaissances, la qualit des services de scurit comprend trois aspects que sont leur efficacit, leur robustesse et leur mise sous contrle.

    Traitementdes risques

    Services de scurit dployer et

    niveaux objectifs

    Choix des mcanismes et

    solutions

    Contrle de niveau : solutions vs objectif

    Dploiement des solutions

    Contrle de mise en uvre

  • MHARI-Pro 8/13

    Pour pouvoir vrifier chacun de ces aspects, des questions spcifiques devront tre poses.

    Il est alors ncessaire quil y ait une ligne directrice et un rpertoire des questions poser et qu ces questions soit associ un systme de cotation des rponses pour pouvoir qualifier de manire fiable et reproductive la qualit de chaque service de scurit.

    MEHARI-Pro comprend une base de questionnaires (qui est un extrait adapt de la base de MEHARI-Expert 2010) ainsi quun systme de pondration dcrit dans le Guide du diagnostic de ltat des services de scurit et reposant sur les mmes prmisses.

    1.5.2 Contrle de la mise en uvre des services de scurit

    Il est bien clair que la mise en uvre effective des services de scurit dfinis prcdemment devra tre contrle.

    On sera souvent amen constater des situations dans lesquelles des services de scurit ont t partiellement dploys et o leur mise en uvre nest pas totalement conforme aux dcisions prises au pralable.

    Du point de vue de la gestion des risques la conduite tenir dans de tels cas est explicite dans la documentation daccompagnement de la mthode.

    1.5.3 Pilotage global associ la gestion des risques

    Le pilotage global de la gestion directe des risques ressemble tout pilotage de projet et comprend :

    Des indicateurs et un tableau de bord;

    Un systme de rapport;

    Un systme de revue priodique et de prise de dcision relative aux actions correctives ncessaires.

  • MHARI-Pro 9/13

    Annexe A1

    Typologie dactifs (T1) de la base de connaissances de MEHARI-Pro

  • MHARI-Pro 10/13

    Tableau T1

    Processus mtier, domaine applicatif ou

    domaine d'activit

    Services communs particulariser

    Informations

    ou services

    offerts sur

    Internet

    Equipements

    mis la

    disposition des

    utilisateurs

    Services

    offerts sur

    sites

    Internet

    Services

    gnraux

    environnement

    de travail

    Types d'actifs D01 D01 D01 D02 D02 D02 D03 D03 D03 D04 D04 D04 D05 D05 D06 S01 S01 S02 S03 G01

    Processus mtiers

    Domaine 1 :

    Domaine 2 :

    Domaine 3 :

    Domaine 4 :

    Domaine 5 :

    Domaine 6 :

    Domaine 7 :

    /

    Domaine N

    Processus transverses

    Classification pour l'ensemble

    Classification pour le primtre choisi

    Actifs de type service

    Services

    informatiques et de

    tlcommunication

    Actifs de type donnes

    Fichiers

    informatiques

    Donnes

    informatiques

    isoles, en

    transit

    Courrier

    lectronique

    Fichiers

    bureautiques

    Documents

    non

    informatiques,

    imprims ou

    manuscrits

  • MHARI-Pro 11/13

    Annexe A2

    Liste des 43 services de scurit appels par MEHARI-Pro

    (377 questions et descriptions)

  • MHARI-Pro 12/13

    SERVICES ET SOUS-SERVICES DE SCURIT

    01 Organisation de la scurit (01 Org) A - Rles et structures de la scurit

    1A01 Organisation et pilotage de la scurit des systmes d'information

    1A02 Systme gnral de dclaration et de gestion des incidents

    1A03 Gestion des prestataires ou fournisseurs de services externes

    B - Gestion des ressources humaines et des prestataires

    1B01 Prise en compte de la scurit dans les relations avec le personnel informatique (salaris et presta-

    taires)

    02 Scurit physique (02 Phy) A - Protection contre les risques environnementaux divers

    2A01 Analyse et traitement des risques environnementaux divers

    2A02 Continuit de la fourniture d'nergie

    2A03 Scurit des quipements de servitude

    B - Contrle des accs physiques

    2B01 Contrle des accs aux locaux sensibles

    2B02 Dtection des intrusions dans les locaux sensibles

    2B03 Surveillance des locaux sensibles

    C - Protection de l'information crite

    2C01 Conservation et protection des documents et supports amovibles importants

    2C02 Scurisation du circuit de cration, de diffusion et de destruction des documents

    03 Scurit des systmes et de leur architecture (03 Sys) A - Contrle d'accs aux systmes, applications et donnes informatiques

    3A01 Contrle des accs internes aux systmes, aux applications et donnes (gestion des droits, authentifi-cation et filtrage)

    3A02 Contrle des accs externes au rseau interne

    B - Scurit de l'architecture

    3B01 Sret de fonctionnement des lments d'architecture

    3B02 Scurit des serveurs de site Internet

    04 Exploitation des systmes d'information et de communication (04 Exp) A - Scurit des procdures d'exploitation des systmes d'information et de communication

    4A01 Contrle de la mise en production de nouveaux systmes ou d'volutions de systmes existants

    4A02 Prise en compte de la confidentialit lors des oprations de maintenance sur les systmes et les postes utilisateurs

    B - Gestion des supports informatiques de donnes et programmes

    4B01 Scurit physique des supports

    C - Continuit de fonctionnement

    4C01 Organisation de la maintenance des systmes (matriel et logiciel)

    4C02 Procdures et plans de reprise des applications sur incidents d'exploitation

    4C03 Sauvegarde des configurations logicielles (logiciels de base et applicatifs et paramtres de configura-tion, configurations des postes utilisateurs)

    4C04 Sauvegarde des donnes (des serveurs applicatifs et bureautiques)

    4C05 Plans de Reprise d'Activit des services informatiques

    4C06 Protection antivirale des serveurs et des postes de travail

    4C07 Maintien des comptes d'accs

    4C08 Gestion des personnels critiques (vis--vis de la continuit des oprations)

    D - Surveillance des actions sensibles

    4D01 Surveillance des actions sensibles

  • MHARI-Pro 13/13

    05 Scurit applicative et continuit de l'activit (05 App) A - Contrle de l'intgrit des donnes

    5A01 Scellement des donnes sensibles

    5A02 Protection de l'intgrit des donnes changes

    5A03 Contrles permanents (vraisemblance...) sur les donnes et traitements

    5A04 Contrle des fonctions de calcul ou des programmes utilisateurs

    B - Contrle de la confidentialit des donnes

    5B01 Chiffrement des changes

    5B02 Chiffrement des donnes stockes

    C - Disponibilit des donnes

    5C01 Gestion des contrles d'accs aux donnes

    D - Continuit de fonctionnement

    5D01 Plans de continuit de l'activit

    5D02 Plans de Reprise de l'Environnement de Travail (PRET)

    06 Protection des postes de travail utilisateurs (06 Mic)

    A - Protection des postes de travail

    6A01 Contrle d'accs au poste de travail

    6A02 Travail en dehors des locaux de l'entreprise

    B - Protection des donnes du poste de travail

    6B01 Protection de la confidentialit des donnes contenues sur le poste de travail ou sur un serveur de don-nes (disque logique pour le poste de travail)

    6B02 Protection de l'intgrit des fichiers contenus sur le poste de travail ou sur un serveur de donnes (disque logique pour le poste de travail)

    6B03 Scurit de la messagerie lectronique (courriels) et des changes lectroniques d'information

    6B04 Sauvegarde des donnes utilisateurs stockes sur les postes de travail


MEHARI 2010 Guide de la démarche d’analyse et de ...meharipedia.x10host.com/wp/wp-content/uploads/2016/12/MEHARI-20… · Présentation générale de l’ensemble de la démarche

E-MEHARI 0316 FR 28P · 4 VRAIES PLACES POUR DES LOISIRS ENTRE AMIS Conçue pour tous les usages, CITROËN E-MEHARI ... • Kit de dépannage provisoire des pneumatiques

Etude Methodes Analyse de Risques EBIOS - MEHARI - IsO 17799

ISO 30300 - 30301 - ademec.comademec.com/sites/default/files/livre_blanc_4.pdf · ISO 30300 - 30301 : métadonnées pour les documents d’activité. Principes directeurs, vue conceptuelle

22 Septembre2014 Hôtel El Mehari, Yasmine El HammametLe déploiment de la fibre optique Stratégies de mutualisation des infrastructures 22 Septembre2014 Hôtel El Mehari, Yasmine

Catalogue pièces détachées 2cv Dyane Acadiane Mehari Ami 6 Ami 8

Comparaison Ebios Mehari

Gestion de projets. 05-03-18 2 Claude Decoste (2005) Agenda Vue d'ensemble4 Introduction5 Définitions6 Historique12 Principes 16 Conception18 Planification

Indices de satisfaction Clients. HOTEL G.Y. MEHARI HAMMAMET Commentaires Clients du 03 Janvier 2009

Mehari Report Vue2704

Vue d’ensemble et principes directeursmeharipedia.x10host.com/wp/wp-content/uploads/2014/05/Vue-et... · la gestion de la sécurité de l’information, et ce, ... de plusieurs

MA BESTIOLE VUE DE TOUS LES CÔTÉS… · 2020. 2. 20. · MA BESTIOLE VUE DE TOUS LES CÔTÉS… « Mise en œuvre, en deux et trois dimensions, de principes d’organisation et

MEHARI - Standard Guide de la gestion des Projets de Sécuritémeharipedia.x10host.com/wp/wp-content/uploads/2017/10/MEHARI-Standard... · Les modes de sélection de ces options se

Catalogue Mehari 2014

3974 DU 2 5 AVR. 2012 - Gallilex : Gallilex · 2012-05-07 · 2.LES SANCTIONS D'UN POINT DE VUE PÉDAGOGIQUE ... principes du droit, la traduction de principes fondamentaux en règles

Mehari 2010 Enjeux

MEHARI (MEthode Harmonis ee d’Analyse des …tran.pat.free.fr/Exam_m2/Mehari/cours-mehari.pdfMEHARI (MEthode Harmonis ee d’Analyse des RIsques) Aur elien CEDEYN [email protected]

COMMENT L’ALLÉGORIE DES EFFETS DU BON GOUVERNEMENT … · de lecture. Vue de loin, on perçoit la matrice, les grands principes du programme de transition. Vue de près, on s’attache

MEHARI 2010meharipedia.x10host.com/wp/wp-content/uploads/2016/12/MEHARI-20… · recommandés par la norme ISO/IEC 27002 ... répondant aux exigences d’un système de gestion de

PRINCIPES CONSTRUCTIFS - Lignatec · 2014. 10. 30. · PrinciPes généraux 04 systèmes de construction 07 01 tyPes de vue en Plan Pour KlH – bs 01 08 02 tyPes de vue en Plan Pour

SECTION 1 VUE DENSEMBLE DES PRINCIPES DE DECAISSEMENT Module 2 Section 1 – Tr.no.1

Session 1.2. Vue d'ensemble : Objectif, principes et …. Aperçu... · IJARA MWINGI TAITATAVETA LAIKIPIA KWALE MOYALE MALINDI KILIFI MAKUENI WESTPOKOT MACHAKOS BARINGO N W E S

Méhari Calvente Côte Atlantique - aquitaine-mehari …aquitaine-mehari-2cv.info/divers/Pieces-detachees-Mehari-2CV.pdf · pare-chocsarriÈrepourmÉhari-réf.306 visseriedepare-chocsarriÈrepourmÉhari-réf.741

L'architecture MVC : Modèle – Vue - Contrôleur · MVC et Swing Look-and-feel : principes Apparence personnalisable ("look and feel") Affichage d'un composant délégué à une

Principes de prise en charge des couples sérodiscordants en vue dune procréation DES 22 mars 2010 Audrey Hedde Parison

Transformation capote-2cv 2cv mehari club cassis

CITROËN E-MEHARI

Livret - 12rmdiscala.free.fr/informatique/livrets/Livret_12_SGBD.pdfouvrages écrits sur Merise ou sur UML. vue vue Implanté physiquement Livret 12 : Principes des bases de données-(

Catalogue pièces détachées freinage 2cv Dyane Acadiane Mehari Ami 6 Ami 8 brake parts catalog

Les principes comptablesLes principes comptablesddata.over-blog.com/.../41/COMPTA-FRANCAISE/COURS/PRINCIPES … · Principes comptablesPrincipes comptables • Prudence : • Les

La Commission scolaire de langue française...La Commission scolaire de langue française Retour à l’école Septembre 2020 Vue d'ensemble Principes directeurs: L'apprentissage se

DP 7 vue proche vue I DP 8 lointaine vue 3 DP 7 vue pro ... · DP 7 vue proche vue I DP 8 lointaine vue 3 DP 7 vue pro-che . vue 2 DP 7 8 Vues proches et vue lointaine

Mehari 2010-manuel-de-reference-2-14

2 CV - DYANE 6 - ACADIANE - MEHARI

Catalogue special pieces moteur 2cv Dyane Acadiane Mehari Ami 6 Ami 8 engine and gearbox spare parts catalog