39
Gérer ses risques avec la méthode MEHARI conforme à ISO 27005

Clusif 20101019 Colloque Quebecois Si Mehari 27005

Embed Size (px)

Citation preview

Page 1: Clusif 20101019 Colloque Quebecois Si Mehari 27005

GérersesrisquesaveclaméthodeMEHARIconformeàISO27005

Page 2: Clusif 20101019 Colloque Quebecois Si Mehari 27005

2

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

ISO27005donnedeslignesdirectricespourdesméthodesd’analysederisque.

MEHARI,méthodologiedegesOondirecteetindividuelledesrisques,yapportedescompléments:

 Unmodèlederisqueprécis

 Unebasedeconnaissances: SituaOonsderisques

 Servicesdesécuritéetbased’audit ÉvaluaOondesscénariosderisque

 Capacitéàpouvoirgérerlesrisques

GérersesrisquesavecMEHARI2010conformeàlanormeISO27005:2008

Page 3: Clusif 20101019 Colloque Quebecois Si Mehari 27005

3

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

ObjecOfsréaffirmésdeMEHARI2010:LesobjecOfsfondamentauxd’unegesOondesrisquessont:

  IdenOfiertouslesrisquesauxquelsl’entrepriseestexposée. QuanOfierleniveaudechaquerisque. Prendre,pourchaquerisqueconsidérécommeinadmissible,desmesurespourquelerisquesoitramenéàunniveauacceptable.

 RéviserlapoliOquedesécurité,sinécessaire. S’assurerquechaquerisqueestbienprisenchargeetafaitl’objetd’unedécisiondetraitement:

acceptaFon,réducFon,évitementoutransfert.

Page 4: Clusif 20101019 Colloque Quebecois Si Mehari 27005

4

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

EvaluerlesrisquespourISO27005etMEHARI

Etapesprévuesparlanorme:

 §8.2.1.2lesacFfs §8.2.1.3lesmenaces

 §8.2.1.4lesmesuresdesécuritéexistantes §8.2.1.5lesvulnérabilités §8.2.1.6lesconséquences

…etlanormeprécise,enintroducOon,quecesacOvitéspeuventêtreeffectuéesdansunordredifférentselonlaméthodologieappliquée.

Page 5: Clusif 20101019 Colloque Quebecois Si Mehari 27005

5

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

EtapesprévuesparlanormeISO27005etMEHARI:

Établir le contexte

Analyser les risques

Identifier les risques

Traiter les risques

Évaluer les risques CO

MM

UN

IQU

ER

C

ON

TRO

LER

ET A

NA

LYS

ER

Juger les risques

Page 6: Clusif 20101019 Colloque Quebecois Si Mehari 27005

6

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Décider les plans d’action

Plans d’action basés sur l’audit

des vulnérabilités

Plans d’action basés sur l’analyse des

risques

Gestion des risques des

projets

Plans d’action basés sur l’analyse

des enjeux

Analyse des enjeux – Classification

Audit des services de sécurité

Détection des risques critiques

Analyse des situations de risque

UOliserMEHARI:comment?Les modules de MEHARI sont in(ter)dépendants, peuvent être utilisés de diverses manières et avec des objectifs variés

Page 7: Clusif 20101019 Colloque Quebecois Si Mehari 27005

7

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

disponiblesurlesiteduCLUSIF(www.clusif.asso.fr):

 PrésentaOongénérale Guidedeladémarche

 PrincipesfondamentauxetspécificaOonsfoncOonnelles Guidedel’analysedesenjeuxetdelaclassificaOon GuidedudiagnosOcdel’étatdesservicesdesécurité Guidedel’analyseetdutraitementdesrisques ÉvoluOonsparrapportauxversionsprécédentes Manuelderéférencedesservicesdesécurité destraducFonsexistentenplusieurslangues

DocumentaOondeMEHARI2010

Page 8: Clusif 20101019 Colloque Quebecois Si Mehari 27005

8

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Gérerlesrisques:commentsinonavecuneméthode?

Anaimwithoutamethodisnonsense.EdwardDeming

Page 9: Clusif 20101019 Colloque Quebecois Si Mehari 27005

9

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Menaces

LesobjecFfsd’uneorganisaFon

setraduisentenenjeuxets’appuientsurdesacFfs

Echelledegravité

Page 10: Clusif 20101019 Colloque Quebecois Si Mehari 27005

10

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

disponibleentéléchargementlibresurlesiteduCLUSIF(www.clusif.asso.fr):

 Manuelderéférencedelabase BaseauformatMicrosoiExcelou

 BaseauformatOpenOffice(Calc)(version3.1ou+)

OuOlpartenaire:RISICARE2010(BUCSA)

LasuitedelaprésentaOonmontrelesautomaOsmesmisenœuvreparMEHARI2010.IlestaiséderépéterladémonstraOon.

Basedeconnaissance

Page 11: Clusif 20101019 Colloque Quebecois Si Mehari 27005

11

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Feuillesdelabasedeconnaissance2010

Page 12: Clusif 20101019 Colloque Quebecois Si Mehari 27005

12

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

T1 T3T2

Gravitéintrinsèque

Enjeuxd’affaires Menaces vulnérabilités

PotenOalitéImpact

Servicesdesécurité

ISO27002

Services

Gravitéactuelle

Gravitésplanifiées

Obj_PA

Analyseretévaluer

lesrisque

s

Traiterlesrisque

s

Risk%event

Risk%acOf

Plans_acOon

Commentnaviguerdanslefichierbasedeconnaissance?

Classif

Expo

Obj_Projets

SélecFondesscénarios

Transférer

Eviter

Accepter

Réduire

Thèmes

Page 13: Clusif 20101019 Colloque Quebecois Si Mehari 27005

13

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

AnalysedesenjeuxetclassificaOondesacOfs

DysfoncFonnementsredoutés

AcFvitéfondamentaleréaliséeavecl’équipededirecFonVoir:Guidedel’analysedesenjeuxetdelaclassificaOon

Page 14: Clusif 20101019 Colloque Quebecois Si Mehari 27005

14

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

EchelledevaleurdesdysfoncOonnements

Exempledetablesur4niveaux

Page 15: Clusif 20101019 Colloque Quebecois Si Mehari 27005

15

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

ClassificaOondesacOfs

MEHARIpartdesbesoinsdechaqueacOvité

 T2:besoindeservices T1:besoind’informaFon(oudonnées)nécessaireàl’accomplissementdesservices

 T3:besoindeconformité(desprocessusetcomportements)àdesréférenOels(éthique,réglementaire,légal,etc.)

Page 16: Clusif 20101019 Colloque Quebecois Si Mehari 27005

16

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

DéfiniOonscomplémentairesnécessaires:LesacFfsPourgaranOrquetouslesrisquesserontidenOfiés,MEHARI2010précisecommentcesbesoinsouacOfsprimairessematérialisent: Sousquellesformesousurquelssupports EndépendantdequellesconOngences

LarechercheexhausOvedesbesoinsetdeleursmatérialisaOonspermetd’idenOfierlesacOfs«primaires»et«secondaires»del’entrepriseoudel’organisme

Page 17: Clusif 20101019 Colloque Quebecois Si Mehari 27005

17

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

DysfoncFonsdesprocessusméFers

FeuilleT1classificaFondesdonnées(exempleparOel)

Page 18: Clusif 20101019 Colloque Quebecois Si Mehari 27005

18

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

DysfoncFonsdesprocessusméFersFeuilleT2classificaFondesservices(exempleparOel)

Page 19: Clusif 20101019 Colloque Quebecois Si Mehari 27005

19

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

FeuilleClassif

Page 20: Clusif 20101019 Colloque Quebecois Si Mehari 27005

20

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

FeuillePlans_acFon:gravitéintrinsèque

Page 21: Clusif 20101019 Colloque Quebecois Si Mehari 27005

21

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

MenacesetexposiFonnaturelle

Menaces

Page 22: Clusif 20101019 Colloque Quebecois Si Mehari 27005

22

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Lesmenaces

ladescripOondelamenacedoitcomprendretoussesélémentscaractérisOques. L’événementdéclencheur L’acteurdéclenchantcetévénement

 Lescirconstancesdanslesquellessurvientcetévénement

L’idenFficaFondesrisquesdoits’appuyersurunerecherchedel’ensembledeceséléments.

Page 23: Clusif 20101019 Colloque Quebecois Si Mehari 27005

23

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

FeuilleExpo:43événementsdéclencheursàvalider

Page 24: Clusif 20101019 Colloque Quebecois Si Mehari 27005

24

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Vulnérabilités(non‐qualité desservicesdesécurité)

Page 25: Clusif 20101019 Colloque Quebecois Si Mehari 27005

25

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

LesvulnérabilitésDéfiniOondonnéeparl’ISO27000:«FailledansunacFfoudansunemesuredesécuritéquipeutêtreexploitéeparunemenace».

L’idenFficaFondesrisquesdoits’appuyersurlarecherchedesvulnérabilitésintrinsèques

Page 26: Clusif 20101019 Colloque Quebecois Si Mehari 27005

26

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Feuille08Exs

Page 27: Clusif 20101019 Colloque Quebecois Si Mehari 27005

27

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Feuilleservices:qualitédesmesuresdesécurité

Page 28: Clusif 20101019 Colloque Quebecois Si Mehari 27005

28

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Qualitédesservicesdesécurité

Page 29: Clusif 20101019 Colloque Quebecois Si Mehari 27005

29

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Analysederisque:scénarios

Menaces

800scénariosderisque

Page 30: Clusif 20101019 Colloque Quebecois Si Mehari 27005

30

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Etatintrinsèquedesrisques(pasdemesuresenplace)

Page 31: Clusif 20101019 Colloque Quebecois Si Mehari 27005

31

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

EsFmerettraiterlesrisques

confinementpalliaFon

prévenFondissuasion

Page 32: Clusif 20101019 Colloque Quebecois Si Mehari 27005

32

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

LemodèlederisqueMEHARIrépondàcebesoin.

L’esFmaFondesrisques

Page 33: Clusif 20101019 Colloque Quebecois Si Mehari 27005

33

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Etatactueldesrisques(qualitéde08D05:2,7/4)

Page 34: Clusif 20101019 Colloque Quebecois Si Mehari 27005

34

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Scénarios:gravitéetmesurescorrecFves

Page 35: Clusif 20101019 Colloque Quebecois Si Mehari 27005

35

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

RéducFondesrisquesAssistancedirecte:feuillesPlansd’acFonetObj_PAPermetuneréflexionenfoncFondesobjecFfs,desmoyensetdu%descénariosàaméliorer

Page 36: Clusif 20101019 Colloque Quebecois Si Mehari 27005

36

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

RéducFondesrisques

Assistanceauxprojets:feuilleObj_projets

Tableaudeborddesservicesàtraiteravecleséchéancesetlesbesoinscouverts.

IndicaFonsreportéesdanslafeuillescénariospourbâFrdesindicateursdeprogrès.

‐>AnFcipaFonetsuividesniveauxderisque

Page 37: Clusif 20101019 Colloque Quebecois Si Mehari 27005

37

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Page 38: Clusif 20101019 Colloque Quebecois Si Mehari 27005

38

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

Basedeconnaissance=gainàl’uFlisaFon

LagesOondirecteetindividualiséedesrisquesdoits’appuyersurlemodèlederisqueetimposeenoutrequel’onsachefixerdesobjecOfsentermesde: Servicesdesécuritéàaméliorer

 Niveauxdequalitéciblespourcesservicesetquel’onsachemesurerl’ateintedesobjecOfs.

Ceciestdifficilementenvisageablesansunebasedeconnaissancecomprenantunebased’auditdesservicesdesécurité.

Page 39: Clusif 20101019 Colloque Quebecois Si Mehari 27005

39

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule