vue et principes mehari-pro_v13_novembre 2013
TRANSCRIPT
-
MEHARI-Pro
Vue densemble et principes directeurs
Version 1,3
Novembre 2013
Club de la Scurit de lInformation du Qubec Tlphone : + 1 (418) 564-9244 Tlcopieur : + 1 (418) 614-0842
Courriel : [email protected]
-
MHARI-Pro i
Remerciements
LASIQ1 tient mettre ici lhonneur les personnes qui ont rendu possible la ralisation de ce docu-ment, tout particulirement :
Sylvain
Simon
Dominique
Olivier
Colette
Martine
Christophe
Jean-Philippe
Bertrand
Borduas
Buc
Corbier
Fournier
Gagn
Jolivet
Jouas
Hydro Qubec
Conseiller en gestion de risque
BUC S.A.
Docapost Responsable de lEspace Mthodes du Clusif
Hydro Qubec
Conseillre en gestion de risque
Pr4gm4
Fondateur de la mthode et membre honoraire de lASIQ
Chantale
Jean-Louis
Pineault
Roule
AGRM Protection de linformation
Responsable du Groupe de Travail Documentation de MEHARI, au sein du Clusif
Claude Taillon Conseiller en scurit de linformation
MEHARI est une marque dpose par le CLUSIF.
MEHARI-Pro a t dvelopp par lASIQ, en collaboration avec le Clusif
_______________________________
1 ASIQ : Association de scurit de linformation du Qubec
-
MEHARI-Pro ii
Sommaire
Introduction ................................................................................................................................................ 1
Principes directeurs ........................................................................................................................................... 1
Vue densemble de MEHARI-Pro ..................................................................................................................... 2
1.1. Lanalyse des enjeux .......................................................................................................................... 4
1.2. Les diagnostics des services de scurit ......................................................................................... 5
1.2.1 Le diagnostic de scurit, lment cl dune analyse des risques ................................... 5
1.3. Lanalyse (ou apprciation) des risques .......................................................................................... 5
1.3.1 Lanalyse systmatique des situations de risques .............................................................. 6
1.4. Le plan daction en scurit de linformation ................................................................................ 6
1.5. Contrle et pilotage de la gestion directe des risques ................................................................... 7
1.5.1 Contrle du niveau de qualit des services retenus ........................................................... 7
1.5.2 Contrle de la mise en uvre des services de scurit ...................................................... 8
1.5.3 Pilotage global associ la gestion des risques ................................................................. 8
Annexe A1 : Typologie dactifs (T1) de la base de connaissances de MEHARI-Pro ................................ 9
Annexe A2 : Liste des 43 services de scurit appels par MEHARI-Pro ............................................... 11
-
MHARI-Pro 1/13
Introduction
MEHARI-Pro fait partie de lensemble des mthodes danalyse de risques dveloppes partir du modle danalyse de risques cr par Jean-Philippe Jouas et Albert Harari en 1992, modle utilis par le CLUSIF, pour MEHARI, depuis 1996.
MEHARI-Pro est une mthode rigoureuse de gestion de risque destine aux professionnels de la scurit. Elle vise principalement les petites ou moyennes organisations, prives ou publiques, ou encore les organisations plus importantes qui souhaitent, au moins dans un premier temps, avoir une vision et une analyse globale de leurs risques sans entrer dans le dtail de linfrastructure et du fonctionnement des systmes dinformation et de communication.
MEHARI-Pro est une mthodologie base sur les mmes processus danalyse et dvaluation des risques que lensemble des variantes de MEHARI en utilisant une base de connaissances spcifiques adapte la cible vise.
Ses domaines dapplication, sont principalement :
La gestion permanente des risques auxquels lorganisation est confronte
Lanalyse ponctuelle des risques induits par une nouvelle application, de nouvelles fonctionnalits dun systme dinformation ou la mise en place dun nouveau systme dinformation;
Le premier objectif de MEHARI-Pro est de fournir une mthode danalyse et de gestion des risques et, plus particulirement pour le domaine de la scurit de linformation, une mthode conforme aux exigences de la norme ISO/IEC 27005:2008, avec lensemble des outils et moyens requis pour :
Identifier de manire prcise et exhaustive les situations de risque auxquelles lorganisation doit faire face.
Permettre une analyse directe et individualise des situations de risque dcrites par des scnarios de risque.
Proposer des mesures de scurit permettant de rduire les risques jugs inacceptables et permettre den valuer leffet sur les niveaux de risques rsiduels.
cet objectif premier sajoute lobjectif complmentaire de fournir une gamme doutils adapte la gestion de la scurit de linformation, et ce, quels que soient les types dactions envisags.
Compte-tenu de ces objectifs, MEHARI-Pro propose un ensemble mthodologique cohrent, faisant appel des bases de connaissances adaptes et capables daccompagner les responsables de la scurit dans leurs diffrentes dmarches et actions, incluant des acteurs impliqus dans la gestion des risques.
Principes directeurs
Cette dclinaison de MEHARI, comme toutes les autres, respecte les principes directeurs suivants :
Identifier les situations de risque par une dmarche structure et arborescente partant des activits de lorganisation et en recherchant les dysfonctionnements possibles et leurs
causes.
-
MHARI-Pro 2/13
valuer les consquences dun risque potentiel partir dune classification des actifs, elle-mme base sur les impacts maximum des risques sur les processus daffaires de lorganisation.
valuer la probabilit de survenance dun risque partir de la potentialit initiale doccurrence de lvnement.
Tenir compte, dans lvaluation dun risque, non seulement des mesures de scurit existantes mais aussi de leur niveau de qualit et defficacit.
Appuyer lvaluation de la qualit des mesures de scurit en place (ou prvues) sur une base de connaissance apportant lexpertise requise.
Vue densemble de MEHARI-Pro
MEHARI-Pro consiste :
procder lanalyse des enjeux et la classification des actifs de lorganisation (DIC);
procder un diagnostic de la qualit des services de scurit en place (vulnrabilit);
identifier les scnarios de risques plausibles pouvant altrer la qualit (DIC) ou le fonctionnement des actifs impliqus;
identifier les mesures de scurit mettre en place pour rduire la gravit des risques non acceptables et dcider des actions entreprendre sur les autres risques;
laborer un plan daction priorisant les mesures ayant le plus grand effet sur lattnuation des risques.
Le schma ci-dessous rsume la dmarche.
Les forces de lapproche actuelle de MEHARI-Pro :
Simplicit de lapplication de la mthode;
Rigueur de lapproche mthodologique;
Phase 1 Phase 4
Analyse des risques
Analyse des enjeux et classification
Diagnostic des services de scurit
Phase 2
Phase 3
laboration
des plans
de scurit
-
MHARI-Pro 3/13
Richesse et cohrence de sa base de connaissances qui est une extraction de celle de MEHARI-EXPERT;
Prise en compte des niveaux de qualit des mesures de scurit pour valuer les risques rsiduels (en effet, lefficacit des mesures de scurit pour rduire les risques dpend des mcanismes adopts et de leur robustesse)
Prise en compte des niveaux defficacit dune mesure de scurit pour diminuer les risques (en effet, certaines mesures de scurit apportent plus de valeur ajoute);
Facilit, pour un non-spcialiste, de bien analyser les situations et de proposer des mesures tenant compte de la maturit et de la capacit de lorganisation mettre en uvre les solutions proposes;
Simplicit dillustration de la progression en matire de gestion de risques de lorganisation.
MEHARI-Pro se caractrise comme suit :
Pour les actifs (voir annexe A1)
6 actifs de type donnes et informations soit :
Fichiers informatiques (applicatifs)
Donnes informatiques isoles quelles soient stockes, temporaires ou en transit
Fichiers bureautiques
Courrier lectronique
Documents non informatiques, imprims ou manuscrits
Informations publies ou services accessibles sur un serveur Internet
4 actifs de type services soit :
Services informatiques et de tlcommunication
quipements mis la disposition des utilisateurs (ordinateurs, imprimantes locales, priphriques, interfaces spcifiques, etc.)
Services offerts sur sites Internet
Environnement de travail des utilisateurs
Pour les services de scurit
43 services de scurit caractriss par 377 questions
74 scnarios de risques rpartis comme suit :
38 scnarios en disponibilit
15 scnarios en intgrit
21 scnarios en confidentialit
-
MHARI-Pro 4/13
La liste des services de scurit est donne lannexe A2 alors que les scnarios de risques sont dcrits dans le fichier Excel de MEHARI-Pro.
1.1. Lanalyse des enjeux Quelles que soient les orientations ou la politique, en matire de scurit de linformation, il y a un principe sur lequel tous les gestionnaires saccordent, cest celui de la juste proportion entre les moyens investis dans la scurit et la hauteur des enjeux de cette mme scurit.
Lobjectif de lanalyse des enjeux est de rpondre cette double question :
Que peut-on redouter et, si cela devait arriver, serait-ce grave? (lorganisation serait-elle
en mesure dy faire face?)
Tout comme pour MEHARI-Expert, MEHARI-Pro intgre un module danalyse des enjeux, qui aboutit deux types de rsultats :
1. Une chelle de valeurs des dysfonctionnements.
2. Une classification des informations et des actifs du systme dinformation.
chelle de valeurs des dysfonctionnements
La recherche des dysfonctionnements gnraux dans les processus oprationnels ou des vnements que lon peut redouter est une dmarche qui sexerce partir des activits de lorganisation. Une telle dmarche mne :
Une description des types de dysfonctionnements redouts pouvant affecter la disponibilit, lintgrit ou la confidentialit.
Une dfinition des paramtres qui influencent la gravit de chaque dysfonctionnement.
Lvaluation des seuils dimpact ou de criticit de ces paramtres qui font passer la gravit des dysfonctionnements dun niveau un autre, cet ensemble de rsultats constitue une chelle de valeurs des dysfonctionnements.
Classification des informations et des actifs
Il est dusage, dans le domaine de la scurit de linformation, de parler de la classification des informations et des actifs du systme dinformation.
Cette classification consiste dfinir pour chaque type de processus daffaires, linformation indispensable (actif primaire) et, pour chaque information, les systmes dinformation les supportant (actif de soutien) et, pour chacun des critres de classification (soit la Disponibilit, lIntgrit et la Confidentialit), des indicateurs reprsentatifs de la gravit dune atteinte ce critre pour cette information ou cet actif.
La classification des informations et actifs est la traduction, pour les systmes dinformation, de lchelle de valeurs des dysfonctionnements, dfinie prcdemment, en indicateurs de sensibilit associs aux actifs du systme dinformation (aussi appel Sensibilit DIC ).
Expression des enjeux de la scurit
-
MHARI-Pro 5/13
Lchelle de valeurs des dysfonctionnements et la classification des actifs sont deux manires distinctes dexprimer les enjeux de la scurit.
La premire est plus dtaille et fournit plus de renseignements pour des responsables de scurit alors que la seconde est plus globale et facilite la communication sur le degr de sensibilit DIC des actifs, avec moins de prcision.
1.2. Les diagnostics des services de scurit MEHARI-Pro intgre des questionnaires de diagnostic extraits de MEHARI-Expert et tient compte de plusieurs mesures de scurit qui sont inspires dISO 270022. Les questionnaires permettent de mesurer la qualit des services effectivement en place de mme que le niveau de qualit des mcanismes et solutions mis en place pour rduire les risques.
1.2.1 Le diagnostic de scurit, lment cl dune analyse des risques
Disons simplement, ce niveau, que le modle de risque prend en compte des facteurs de rduction de risque qui sont concrtiss par lexistence des services de scurit en place.
Le diagnostic de ces services sera donc, lors de lanalyse des risques, un lment important
dassurance que les services en place remplissent bien leur rle, ce qui est essentiel pour quune analyse de risque soit crdible et fiable.
MEHARI-Pro sappuie sur une base de diagnostic reconnue dvaluation de la qualit des mesures de scurit en place ou planifies, ce qui en fait une mthode crdible lors de lvaluation des risques et de la planification des plans daction.
1.3. Lanalyse (ou apprciation) des risques Lanalyse de risques est cite dans beaucoup douvrages sur la scurit de linformation, et notamment dans les normes ISO/IEC de la srie 27000, comme devant tre la base de lexpression des besoins de scurit.
MEHARI propose, depuis plus de 15 ans, une approche structure du risque3 qui repose sur quelques lments simples.
Pour lessentiel, une situation risque peut tre caractrise par divers facteurs :
Des facteurs structurels qui ne dpendent pas des mesures de scurit, mais du domaine daffaires de lentreprise, de son environnement et de son contexte.
Des facteurs de rduction de risques qui sont, eux, directement fonction des mesures de scurit mises en place.
Prcisons simplement quune analyse des enjeux est ncessaire pour dterminer la gravit maximale des consquences dune situation risque, ce qui est typiquement un facteur structurel,
_______________________________ 2 Les mesures de scurit sont groupes par sous-services, qui sont regroups par services de scurit puis
par domaines de scurit. 3 Le dtail du modle de risques est disponible dans le document Principes fondamentaux et spcifications
fonctionnelles de MEHARI .
-
MHARI-Pro 6/13
alors que des diagnostics de scurit sont ncessaires pour valuer les facteurs de rduction de risques.
MEHARI-Pro permet dvaluer ces facteurs et de porter un jugement sur le niveau de risques. MEHARI sappuie, pour cela, sur des outils (critres dapprciation, mthodes de calcul, etc.) et des bases de connaissances (en particulier pour les diagnostics de scurit) qui savrent indispensables en complment du cadre minimum propos par la norme ISO 27005.
1.3.1 Lanalyse systmatique des situations de risques
Pour rpondre la question quels risques lorganisation est-elle expose et ces risques sont-ils acceptables? , une mthode structure consiste valuer toutes les situations de risque potentielles, identifier individuellement les plus critiques, puis dcider des actions mener afin de les ramener un niveau acceptable.
MEHARI-Pro permet de raliser cette analyse et les bases de connaissance ont t dveloppes afin datteindre cet objectif. Dans cette utilisation de MEHARI, laccent est mis sur lassurance que les situations critiques les plus souvent rencontres ont t prises en compte et sont bien couvertes par un plan daction.
Cette mthode sappuie sur une base de connaissances de situations de risques et sur des mcanismes dvaluation des facteurs caractrisant chaque risque et permettant den apprcier le niveau. La mthode fournit, en outre, des aides pour dfinir les plans de traitement adapts.
Actuellement, avec la base de connaissance, le processus dapprciation des risques est soutenu par un ensemble de fonctions de la base de connaissances (Microsoft Excel) permettant dintgrer les rsultats des divers modules de MEHARI (classification des actifs rsultant de lanalyse des enjeux et diagnostics de scurit des diffrents services de scurit). Ces fonctions permettent dvaluer les niveaux de risques actuels et de proposer des mesures additionnelles pour rduire la gravit des scnarios de risques.
Ultrieurement, il sera possible dutiliser un outil logiciel offrant une assistance volue et permettant de faire des simulations, des visualisations et des optimisations.
1.4. Le plan daction en scurit de l information lissue de la phase danalyse des risques et des prises de dcision concernant le traitement des risques, lorganisation doit statuer sur un certain nombre dactions mener qui relve, selon le type de traitement retenu :
De la mise en place de services de scurit, avec pour chacun, un objectif de niveau de qualit.
De mesures structurelles visant rduire certaines expositions aux risques.
De mesures organisationnelles visant viter certains risques.
Ceci tant dit, il doit tre clair que toutes ces actions ne seront sans doute pas menes simultanment ni toutes engages immdiatement, pour diverses raisons telles que la limitation des ressources budgtaires, lindisponibilit des ressources humaines, etc.
Dans ces conditions, la phase dlaboration des plans daction doit inclure les tapes suivantes :
le choix des objectifs prioritaires, en termes de services de scurit mettre en uvre (ou amliorer) et loptimisation de ce choix reposant sur les risques les plus levs attnuer et sur la capacit de lorganisation les mettre en uvre;
la transformation des choix de services de scurit ( implanter ou amliorer) en plans
-
MHARI-Pro 7/13
daction concrets;
le choix des mesures structurelles ventuelles et des mesures dvitement des risques;
la validation des dcisions prcdentes par la haute direction.
1.5. Contrle et pilotage de la gestion directe des risques Les contrles effectuer pour piloter la gestion directe des risques sont multiples et sont reprsents par le schma suivant :
Le premier niveau de contrle effectuer vise sassurer que les mcanismes et solutions de scurit planifis et dcids correspondent bien au niveau de qualit des services retenus et en phase de traitement des risques.
Le deuxime contrle est un contrle de mise en uvre.
1.5.1 Contrle du niveau de qualit des services retenus
Ce contrle cherche savoir comment le personnel technique en charge de dfinir les mcanismes et solutions mettre en uvre va pouvoir le faire avec une connaissance suffisante de limpact de leurs dcisions sur le niveau de qualit du service qui sera obtenu une fois implant.
Par ailleurs, un contrle a posteriori sera ncessaire et ce contrle devra tre effectu par du personnel qui ne sera pas obligatoirement un technicien confirm et dexprience.
Cela conduit la ncessit dune base dexpertise ou base daudit des services de scurit qui permettra des choix appropris lors de la phase de dfinition des mcanismes et des solutions mettre en uvre, dune part, et un contrle a posteriori, dautre part.
Justification de la ncessit dune base daudit des services de scurit
Dans les principes de MEHARI, et bien entendu dans ses bases de connaissances, la qualit des services de scurit comprend trois aspects que sont leur efficacit, leur robustesse et leur mise sous contrle.
Traitementdes risques
Services de scurit dployer et
niveaux objectifs
Choix des mcanismes et
solutions
Contrle de niveau : solutions vs objectif
Dploiement des solutions
Contrle de mise en uvre
-
MHARI-Pro 8/13
Pour pouvoir vrifier chacun de ces aspects, des questions spcifiques devront tre poses.
Il est alors ncessaire quil y ait une ligne directrice et un rpertoire des questions poser et qu ces questions soit associ un systme de cotation des rponses pour pouvoir qualifier de manire fiable et reproductive la qualit de chaque service de scurit.
MEHARI-Pro comprend une base de questionnaires (qui est un extrait adapt de la base de MEHARI-Expert 2010) ainsi quun systme de pondration dcrit dans le Guide du diagnostic de ltat des services de scurit et reposant sur les mmes prmisses.
1.5.2 Contrle de la mise en uvre des services de scurit
Il est bien clair que la mise en uvre effective des services de scurit dfinis prcdemment devra tre contrle.
On sera souvent amen constater des situations dans lesquelles des services de scurit ont t partiellement dploys et o leur mise en uvre nest pas totalement conforme aux dcisions prises au pralable.
Du point de vue de la gestion des risques la conduite tenir dans de tels cas est explicite dans la documentation daccompagnement de la mthode.
1.5.3 Pilotage global associ la gestion des risques
Le pilotage global de la gestion directe des risques ressemble tout pilotage de projet et comprend :
Des indicateurs et un tableau de bord;
Un systme de rapport;
Un systme de revue priodique et de prise de dcision relative aux actions correctives ncessaires.
-
MHARI-Pro 9/13
Annexe A1
Typologie dactifs (T1) de la base de connaissances de MEHARI-Pro
-
MHARI-Pro 10/13
Tableau T1
Processus mtier, domaine applicatif ou
domaine d'activit
Services communs particulariser
Informations
ou services
offerts sur
Internet
Equipements
mis la
disposition des
utilisateurs
Services
offerts sur
sites
Internet
Services
gnraux
environnement
de travail
Types d'actifs D01 D01 D01 D02 D02 D02 D03 D03 D03 D04 D04 D04 D05 D05 D06 S01 S01 S02 S03 G01
Processus mtiers
Domaine 1 :
Domaine 2 :
Domaine 3 :
Domaine 4 :
Domaine 5 :
Domaine 6 :
Domaine 7 :
/
Domaine N
Processus transverses
Classification pour l'ensemble
Classification pour le primtre choisi
Actifs de type service
Services
informatiques et de
tlcommunication
Actifs de type donnes
Fichiers
informatiques
Donnes
informatiques
isoles, en
transit
Courrier
lectronique
Fichiers
bureautiques
Documents
non
informatiques,
imprims ou
manuscrits
-
MHARI-Pro 11/13
Annexe A2
Liste des 43 services de scurit appels par MEHARI-Pro
(377 questions et descriptions)
-
MHARI-Pro 12/13
SERVICES ET SOUS-SERVICES DE SCURIT
01 Organisation de la scurit (01 Org) A - Rles et structures de la scurit
1A01 Organisation et pilotage de la scurit des systmes d'information
1A02 Systme gnral de dclaration et de gestion des incidents
1A03 Gestion des prestataires ou fournisseurs de services externes
B - Gestion des ressources humaines et des prestataires
1B01 Prise en compte de la scurit dans les relations avec le personnel informatique (salaris et presta-
taires)
02 Scurit physique (02 Phy) A - Protection contre les risques environnementaux divers
2A01 Analyse et traitement des risques environnementaux divers
2A02 Continuit de la fourniture d'nergie
2A03 Scurit des quipements de servitude
B - Contrle des accs physiques
2B01 Contrle des accs aux locaux sensibles
2B02 Dtection des intrusions dans les locaux sensibles
2B03 Surveillance des locaux sensibles
C - Protection de l'information crite
2C01 Conservation et protection des documents et supports amovibles importants
2C02 Scurisation du circuit de cration, de diffusion et de destruction des documents
03 Scurit des systmes et de leur architecture (03 Sys) A - Contrle d'accs aux systmes, applications et donnes informatiques
3A01 Contrle des accs internes aux systmes, aux applications et donnes (gestion des droits, authentifi-cation et filtrage)
3A02 Contrle des accs externes au rseau interne
B - Scurit de l'architecture
3B01 Sret de fonctionnement des lments d'architecture
3B02 Scurit des serveurs de site Internet
04 Exploitation des systmes d'information et de communication (04 Exp) A - Scurit des procdures d'exploitation des systmes d'information et de communication
4A01 Contrle de la mise en production de nouveaux systmes ou d'volutions de systmes existants
4A02 Prise en compte de la confidentialit lors des oprations de maintenance sur les systmes et les postes utilisateurs
B - Gestion des supports informatiques de donnes et programmes
4B01 Scurit physique des supports
C - Continuit de fonctionnement
4C01 Organisation de la maintenance des systmes (matriel et logiciel)
4C02 Procdures et plans de reprise des applications sur incidents d'exploitation
4C03 Sauvegarde des configurations logicielles (logiciels de base et applicatifs et paramtres de configura-tion, configurations des postes utilisateurs)
4C04 Sauvegarde des donnes (des serveurs applicatifs et bureautiques)
4C05 Plans de Reprise d'Activit des services informatiques
4C06 Protection antivirale des serveurs et des postes de travail
4C07 Maintien des comptes d'accs
4C08 Gestion des personnels critiques (vis--vis de la continuit des oprations)
D - Surveillance des actions sensibles
4D01 Surveillance des actions sensibles
-
MHARI-Pro 13/13
05 Scurit applicative et continuit de l'activit (05 App) A - Contrle de l'intgrit des donnes
5A01 Scellement des donnes sensibles
5A02 Protection de l'intgrit des donnes changes
5A03 Contrles permanents (vraisemblance...) sur les donnes et traitements
5A04 Contrle des fonctions de calcul ou des programmes utilisateurs
B - Contrle de la confidentialit des donnes
5B01 Chiffrement des changes
5B02 Chiffrement des donnes stockes
C - Disponibilit des donnes
5C01 Gestion des contrles d'accs aux donnes
D - Continuit de fonctionnement
5D01 Plans de continuit de l'activit
5D02 Plans de Reprise de l'Environnement de Travail (PRET)
06 Protection des postes de travail utilisateurs (06 Mic)
A - Protection des postes de travail
6A01 Contrle d'accs au poste de travail
6A02 Travail en dehors des locaux de l'entreprise
B - Protection des donnes du poste de travail
6B01 Protection de la confidentialit des donnes contenues sur le poste de travail ou sur un serveur de don-nes (disque logique pour le poste de travail)
6B02 Protection de l'intgrit des fichiers contenus sur le poste de travail ou sur un serveur de donnes (disque logique pour le poste de travail)
6B03 Scurit de la messagerie lectronique (courriels) et des changes lectroniques d'information
6B04 Sauvegarde des donnes utilisateurs stockes sur les postes de travail