Upload
mohamed-khaldi
View
124
Download
4
Embed Size (px)
Citation preview
GérersesrisquesaveclaméthodeMEHARIconformeàISO27005
2
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
ISO27005donnedeslignesdirectricespourdesméthodesd’analysederisque.
MEHARI,méthodologiedegesOondirecteetindividuelledesrisques,yapportedescompléments:
Unmodèlederisqueprécis
Unebasedeconnaissances: SituaOonsderisques
Servicesdesécuritéetbased’audit ÉvaluaOondesscénariosderisque
Capacitéàpouvoirgérerlesrisques
GérersesrisquesavecMEHARI2010conformeàlanormeISO27005:2008
3
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
ObjecOfsréaffirmésdeMEHARI2010:LesobjecOfsfondamentauxd’unegesOondesrisquessont:
IdenOfiertouslesrisquesauxquelsl’entrepriseestexposée. QuanOfierleniveaudechaquerisque. Prendre,pourchaquerisqueconsidérécommeinadmissible,desmesurespourquelerisquesoitramenéàunniveauacceptable.
RéviserlapoliOquedesécurité,sinécessaire. S’assurerquechaquerisqueestbienprisenchargeetafaitl’objetd’unedécisiondetraitement:
acceptaFon,réducFon,évitementoutransfert.
4
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
EvaluerlesrisquespourISO27005etMEHARI
Etapesprévuesparlanorme:
§8.2.1.2lesacFfs §8.2.1.3lesmenaces
§8.2.1.4lesmesuresdesécuritéexistantes §8.2.1.5lesvulnérabilités §8.2.1.6lesconséquences
…etlanormeprécise,enintroducOon,quecesacOvitéspeuventêtreeffectuéesdansunordredifférentselonlaméthodologieappliquée.
5
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
EtapesprévuesparlanormeISO27005etMEHARI:
Établir le contexte
Analyser les risques
Identifier les risques
Traiter les risques
Évaluer les risques CO
MM
UN
IQU
ER
C
ON
TRO
LER
ET A
NA
LYS
ER
Juger les risques
6
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Décider les plans d’action
Plans d’action basés sur l’audit
des vulnérabilités
Plans d’action basés sur l’analyse des
risques
Gestion des risques des
projets
Plans d’action basés sur l’analyse
des enjeux
Analyse des enjeux – Classification
Audit des services de sécurité
Détection des risques critiques
Analyse des situations de risque
UOliserMEHARI:comment?Les modules de MEHARI sont in(ter)dépendants, peuvent être utilisés de diverses manières et avec des objectifs variés
7
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
disponiblesurlesiteduCLUSIF(www.clusif.asso.fr):
PrésentaOongénérale Guidedeladémarche
PrincipesfondamentauxetspécificaOonsfoncOonnelles Guidedel’analysedesenjeuxetdelaclassificaOon GuidedudiagnosOcdel’étatdesservicesdesécurité Guidedel’analyseetdutraitementdesrisques ÉvoluOonsparrapportauxversionsprécédentes Manuelderéférencedesservicesdesécurité destraducFonsexistentenplusieurslangues
DocumentaOondeMEHARI2010
8
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Gérerlesrisques:commentsinonavecuneméthode?
Anaimwithoutamethodisnonsense.EdwardDeming
9
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Menaces
LesobjecFfsd’uneorganisaFon
setraduisentenenjeuxets’appuientsurdesacFfs
Echelledegravité
10
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
disponibleentéléchargementlibresurlesiteduCLUSIF(www.clusif.asso.fr):
Manuelderéférencedelabase BaseauformatMicrosoiExcelou
BaseauformatOpenOffice(Calc)(version3.1ou+)
OuOlpartenaire:RISICARE2010(BUCSA)
LasuitedelaprésentaOonmontrelesautomaOsmesmisenœuvreparMEHARI2010.IlestaiséderépéterladémonstraOon.
Basedeconnaissance
11
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Feuillesdelabasedeconnaissance2010
12
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
T1 T3T2
Gravitéintrinsèque
Enjeuxd’affaires Menaces vulnérabilités
PotenOalitéImpact
Servicesdesécurité
ISO27002
Services
Gravitéactuelle
Gravitésplanifiées
Obj_PA
Analyseretévaluer
lesrisque
s
Traiterlesrisque
s
Risk%event
Risk%acOf
Plans_acOon
Commentnaviguerdanslefichierbasedeconnaissance?
Classif
Expo
Obj_Projets
SélecFondesscénarios
Transférer
Eviter
Accepter
Réduire
Thèmes
13
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
AnalysedesenjeuxetclassificaOondesacOfs
DysfoncFonnementsredoutés
AcFvitéfondamentaleréaliséeavecl’équipededirecFonVoir:Guidedel’analysedesenjeuxetdelaclassificaOon
14
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
EchelledevaleurdesdysfoncOonnements
Exempledetablesur4niveaux
15
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
ClassificaOondesacOfs
MEHARIpartdesbesoinsdechaqueacOvité
T2:besoindeservices T1:besoind’informaFon(oudonnées)nécessaireàl’accomplissementdesservices
T3:besoindeconformité(desprocessusetcomportements)àdesréférenOels(éthique,réglementaire,légal,etc.)
16
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
DéfiniOonscomplémentairesnécessaires:LesacFfsPourgaranOrquetouslesrisquesserontidenOfiés,MEHARI2010précisecommentcesbesoinsouacOfsprimairessematérialisent: Sousquellesformesousurquelssupports EndépendantdequellesconOngences
LarechercheexhausOvedesbesoinsetdeleursmatérialisaOonspermetd’idenOfierlesacOfs«primaires»et«secondaires»del’entrepriseoudel’organisme
17
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
DysfoncFonsdesprocessusméFers
FeuilleT1classificaFondesdonnées(exempleparOel)
18
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
DysfoncFonsdesprocessusméFersFeuilleT2classificaFondesservices(exempleparOel)
19
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
FeuilleClassif
20
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
FeuillePlans_acFon:gravitéintrinsèque
21
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
MenacesetexposiFonnaturelle
Menaces
22
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Lesmenaces
ladescripOondelamenacedoitcomprendretoussesélémentscaractérisOques. L’événementdéclencheur L’acteurdéclenchantcetévénement
Lescirconstancesdanslesquellessurvientcetévénement
L’idenFficaFondesrisquesdoits’appuyersurunerecherchedel’ensembledeceséléments.
23
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
FeuilleExpo:43événementsdéclencheursàvalider
24
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Vulnérabilités(non‐qualité desservicesdesécurité)
25
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
LesvulnérabilitésDéfiniOondonnéeparl’ISO27000:«FailledansunacFfoudansunemesuredesécuritéquipeutêtreexploitéeparunemenace».
L’idenFficaFondesrisquesdoits’appuyersurlarecherchedesvulnérabilitésintrinsèques
26
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Feuille08Exs
27
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Feuilleservices:qualitédesmesuresdesécurité
28
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Qualitédesservicesdesécurité
29
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Analysederisque:scénarios
Menaces
800scénariosderisque
30
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Etatintrinsèquedesrisques(pasdemesuresenplace)
31
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
EsFmerettraiterlesrisques
confinementpalliaFon
prévenFondissuasion
32
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
LemodèlederisqueMEHARIrépondàcebesoin.
L’esFmaFondesrisques
33
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Etatactueldesrisques(qualitéde08D05:2,7/4)
34
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Scénarios:gravitéetmesurescorrecFves
35
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
RéducFondesrisquesAssistancedirecte:feuillesPlansd’acFonetObj_PAPermetuneréflexionenfoncFondesobjecFfs,desmoyensetdu%descénariosàaméliorer
36
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
RéducFondesrisques
Assistanceauxprojets:feuilleObj_projets
Tableaudeborddesservicesàtraiteravecleséchéancesetlesbesoinscouverts.
IndicaFonsreportéesdanslafeuillescénariospourbâFrdesindicateursdeprogrès.
‐>AnFcipaFonetsuividesniveauxderisque
37
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
38
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule
Basedeconnaissance=gainàl’uFlisaFon
LagesOondirecteetindividualiséedesrisquesdoits’appuyersurlemodèlederisqueetimposeenoutrequel’onsachefixerdesobjecOfsentermesde: Servicesdesécuritéàaméliorer
Niveauxdequalitéciblespourcesservicesetquel’onsachemesurerl’ateintedesobjecOfs.
Ceciestdifficilementenvisageablesansunebasedeconnaissancecomprenantunebased’auditdesservicesdesécurité.
39
CommentgérersesrisquesavecMEHARI
CQSI2010 Octobre2010CLUSIFJean‐LouisRoule