Mehari 2010-manuel-de-reference-2-14

21
METHODES MEHARI 2010 Manuel de référence de la base de connaissances MEHARI 2010 DB-Mehari_2010_Exc_FR_2-14.xls Pour Excel , LibreOffice ou OpenOffice 30 mars 2012 Espace Méthodes CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS 11, rue de Mogador, 75009 PARIS Tél. : +33 1 53 25 08 80 – Fax : +33 1 53 25 08 88 – e-mail : [email protected] Web : http://www.clusif.asso.fr

Transcript of Mehari 2010-manuel-de-reference-2-14

Page 1: Mehari 2010-manuel-de-reference-2-14

METHODES

MEHARI 2010

Manuel de référence de la base de connaissances MEHARI 2010 DB-Mehari_2010_Exc_FR_2-14.xls

Pour Excel , LibreOffice ou OpenOffice

30 mars 2012

Espace Méthodes

CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS

11, rue de Mogador, 75009 PARIS

Tél. : +33 1 53 25 08 80 – Fax : +33 1 53 25 08 88 – e-mail : [email protected] Web : http://www.clusif.asso.fr

Page 2: Mehari 2010-manuel-de-reference-2-14
Page 3: Mehari 2010-manuel-de-reference-2-14

Remerciements Le CLUSIF tient à mettre ici à l'honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement :

Olivier Corbier Docapost Responsable de l’Espace Méthodes

Jean-Philippe Jouas Responsable du Groupe de Travail Principes, Mécanismes et Bases de connaissances de MEHARI

Jean-Louis Roule Responsable du Groupe de Travail Documentation de MEHARI

Dominique Buc BUC S.A.

Annabelle Travers-Viaud BULL SAS

Louise Doucet Ministère des Services gouvernementaux du Québec

Martine Gagné HydroQuébec

Moïse Hazzan Ministère des Services gouvernementaux du Québec

Chantale Pineault AGRM

Luc Poulin CRIM

Pierre Sasseville Ministère des Services gouvernementaux du Québec

Claude Taillon Ministère de l'Éducation, du Loisir et du Sport du Québec

Marc Touboul BULL SAS

MEHARI est une marque déposée par le CLUSIF. La loi du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple et d'illustration, "toute représentation ou reproduction intégrale, ou partielle, fai-te sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alinéa 1er de l'article 40) Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal

Page 4: Mehari 2010-manuel-de-reference-2-14
Page 5: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 5/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

Sommaire

1 Feuilles de calcul contenues dans le classeur .......................................................................................... 6

2 Description générale des feuilles de calcul utilisées............................................................................... 7

2.1 Appellation des feuilles de calcul ..................................................................................................... 7

2.2 Feuille Intro......................................................................................................................................... 7

2.3 Feuille Dossier .................................................................................................................................... 8

2.4 Feuille Licence .................................................................................................................................... 8

2.5 Feuilles de classification T1(données), T2 (services) et T3(processus de management........... 8

2.6 Feuille Classif ...................................................................................................................................... 9

2.7 Feuilles de diagnostic des services de sécurité ............................................................................... 9

2.8 Feuille Services ................................................................................................................................. 10

2.9 Feuille Thèmes.................................................................................................................................. 11

2.10 Feuille Score ISO ........................................................................................................................... 11

2.11 Feuille Expo.................................................................................................................................... 11

2.12 Feuille Scénarios............................................................................................................................. 12

2.13 Feuille Risk%actif........................................................................................................................... 13

2.14 Feuille Risk%event......................................................................................................................... 14

2.15 Feuille Plans_action ....................................................................................................................... 14

2.16 Feuille Obj_PA............................................................................................................................... 15

2.17 Feuille Obj_Projets ........................................................................................................................ 15

2.18 Feuille Vulnérabilités types ........................................................................................................... 16

2.19 Feuille Grilles_IP ........................................................................................................................... 16

2.20 Feuille Gravité ................................................................................................................................ 16

2.21 Feuille Corr_Services..................................................................................................................... 16

2.22 Feuille Codes .................................................................................................................................. 16

3 Traitements et calculs effectués.............................................................................................................. 17

3.1 Traitements et fonctions utilisées .................................................................................................. 17

3.2 Macros (sous Excel)......................................................................................................................... 19

Page 6: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 6/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

1 Feuilles de calcul contenues dans le classeur

Les feuilles de calcul contenues dans le classeur distribué par le CLUSIF sont de plusieurs types:

— Des feuilles générales de mise en œuvre :

� Intro

� Dossier

� Nav

� Licence

— 4 feuilles relatives aux résultats de l’analyse des enjeux et de la classification des actifs :

� T1, T2 et T3 : exigences de sécurité pour les processus métiers et transverses

� Classif : report des niveaux de classification des actifs à partir de T1, T2 et T3

— Des feuilles relatives au diagnostic des services de sécurité

� 01 Org à 14 ISM : feuilles de questionnaires de diagnostic (une par domaine)

� Services : feuille récapitulative des résultats des diagnostics par service

� Thèmes : feuille récapitulative, par « thème » de sécurité

� Score ISO : résultats des diagnostics selon la classification IS0 27001/27002 et ta-ble de déclaration d’applicabilité (SOA)

— Des feuilles relatives à l’évaluation des risques :

� Expo : feuille d’évaluation de l’exposition naturelle aux risques

� Scénarios : feuille descriptive des scénarios

� Risk%actif et Risk%event : feuilles récapitulatives de la gravité des scénarios par type d’actif et par type d’événement

— Des feuilles relatives à la préparation de plans d’action :

� Plans_d’action : Récapitulatif des scenarios par famille et des plans d’action possi-bles

� Obj_PA : Récapitulatif des objectifs issus des plans d’action

� Obj_Projets : objectifs par projet

— 4 feuilles d’éléments permanents et de paramétrage de la méthode :

� Vulnérabilités types

� 2 feuilles de paramétrage : Grille-IP et Gravité

� 1 feuille de correspondance entre les services de MEHARI 2010 et de MEHARI 2007

� 1 feuille de codes (masquée) servant dans la description des scénarios

Le fichier peut être ouvert soit avec Excel soit avec Open Office (version 3.1 ou plus).

Page 7: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 7/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

2 Description générale des feuilles de calcul utilisées

Conventions utilisées pour ce document: — Texte normal pour la description de la feuille, — Exprime la possibilité d’entrer normalement des données pour effectuer l’analyse de risque

— Exprime une possibilité additionnelle plus experte dans le traitement des résultats.

2.1 Appellation des feuilles de calcul Les feuilles de calcul ont des appellations qui sont reprises dans les descriptions ci-dessous, mais également par les fonctions de calcul utilisées pour la mise à jour des bases. Il est donc demandé de ne pas les changer (sinon il faut intervenir sur les fonctions).

Cependant, il est possible, lors d’un travail d’analyse MEHARI, d’ajouter des feuilles pour décrire des éléments de suivi ou de description des actions et des intervenants impliqués ou de créer un autre fichier (tableur ou autre) destiné à constituer un dossier de la démarche.

Les feuilles sont protégées, sauf pour les cellules pouvant être utilisées pour entrer les résultats, explications ou commentaires obtenus par l’équipe d’analyse de risque. Il est expressément demandé de ne pas retirer la protection des feuilles sans raison majeure.

Par convention, une cellule est désignée par le couple («numéro de ligne», «lettre de colonne»). Exemple : 21,D.

Le nom du classeur lui-même est indifférent.

2.2 Feuille Intro La feuille Intro donne des indications sur les feuilles (ou onglets) et sur l’utilisation de la base.

Sous Excel-Windows, il est possible de masquer, en fonction des phases de travail (enjeux, dia-gnostic, analyse, traitement, paramétrage), certaines feuilles de calcul par groupe.

Nota : Les utilisateurs ayant refusé d’activer les macros au chargement de la base n’ont pas accès à cette fonction. Ils peuvent cependant masquer ou démasquer des feuilles de calcul en utilisant les fonctions standard du tableur.

Page 8: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 8/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

Onglet Objectif

Intro Description et navigation entre les onglets du fichier de la base de connaissance

Licence Rappel de la licence Publique de MEHARI

T1, T2 et T3 Tableaux de classification Classif Classification des actifs

Domaines 01 Org à 14 MSI Questionnaires relatifs aux domaines (01 à 14) de sécurité MEHARI Services Récapitulé de la qualité des services de sécurité (avec variantes)

Thèmes Thèmes de sécurité Mehari : regroupement des services et sous-services en 10 centres d’intérêts et 18 axes de représentation

Score ISO Table de scoring ISO 27002 suite au diagnostic des services Mehari

Expo Tableau des expositions naturelles aux menaces Scénarios Scénarios de risque incluant le calcul des risques Risk%Actif Panorama de gravité des scénarios par type d'actif Risk%event Panorama de gravité des scénarios par type d'événement

Plans_action Sélection de plans de réduction des risques Obj_PA Sélection de plans de réduction des risques Obj_Projets Sélection de plans de réduction des risques

Vulnérabilités types Les onglets qui suivent sont apportés avec la méthode Gravité Détermination de la Gravité du risque en fonction de la Potentialité et de l’Impact Grilles IP Tables de détermination d’Impact et de Potentialité des scénarios

Corr_Services Table de correspondance entre les services de Méhari 2010 et ceux de la version 2007

Feuilles de questionnaires : de 01Org à 14 MsiThèmes et Score ISO

Masquer �

Tableaux de classification : T1, T2, T3 et Classif

Masquer �

Masquer �

Feuilles d'analyse des risques : Evénements types,Risques par actifsou événements

Feuilles des vulnérabilités types, Grilles d'acceptabilité des risques et d'évaluation de I et P,Corr_Services

Masquer �

Module d'analyse de risque (identification, estimat ion et évaluation des risques)

Traitement des risques : options, plans de réductio n et suivi

MEHARI™ 2010 Edition 2-1

Base de connaissances Méhari

Module d'analyse des enjeux et classification des a ctifs:

Module du diagnostic des services de sécurité (ou d 'audit)

Feuilles de traitement :Plans_d'actionObj_PAObj_Projets

Masquer �

Eléments permanents et de paramétrage de la méthode

2.3 Feuille Dossier Cette feuille n’est pas protégée car elle vous permet de décrire les intervenants et les conditions de réalisation de l’analyse de risque.

2.4 Feuille Licence Cette feuille est un rappel de la licence d’utilisation et de redistribution de la base de connaissance de MEHARI.

MEHARI est distribué en mode Open Source. Son utilisation est gratuite mais la redistribution et les additions à la base de connaissance doivent mentionner que le CLUSIF est à l’origine de MEHARI.

2.5 Feuilles de classification T1(données), T2 (services) et T3(processus de management

Ces feuilles sont utilisées pour intégrer les résultats de l’analyse des enjeux et du processus de classification des actifs (voir guide correspondant).

La colonne A de la feuille T1 contient le nom de domaines d’activité, de processus métiers et de processus transverses (gestion des identités et des droits, administration des systèmes et des ré-seaux, assistance aux utilisateurs, etc.)

La colonne B de la feuille T1 contient une description de fonction, ces deux colonnes sont auto-matiquement recopiées dans les mêmes colonnes des feuilles T2 et T3.

La colonne AF (Incl) de la feuille T1, fournie à 1, indique que le processus est inclus dans le pé-rimètre de l’analyse de risque. Il faut forcer la valeur 0 pour exclure le processus.

Page 9: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 9/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

Ligne 3 : indique le critère de sécurité D (Disponibilité), I (Intégrité), C (Confidentialité) or E (Ef-ficience).

Ligne 4 : contient le nom de code de l’actif indiqué en ligne 2.

Les cellules des lignes 5 à 21 de chaque feuille doivent contenir le niveau de classification (de 1 à 4) pour chaque critère de sécurité de chaque actif en fonction de l’analyse des enjeux et de la car-tographie effectuée. (voir le guide de l’analyse des enjeux et d la classification)

Ligne 22 (Classification d’ensemble) : chaque cellule est automatiquement remplie par la méthode avec la valeur la plus élevée des cellules précédentes dans la colonne. En fonction de cette valeur, les cellules sont colorées en vert (2), orange (3) or rouge (4). Cette classification est donnée à titre indicatif, car l’analyse de risque sera effectuée à partir de la ligne ‘’Classification du périmètre’’.

Ligne 23 (Classification du périmètre) : est automatiquement remplie comme pour la ligne précé-dente mais seulement pour les domaines d’activité et les processus inclus dans le périmètre d’analyse de risque par le contenu de la colonne Incl.

Ainsi, il est possible de réaliser une première analyse de risque sur un nombre restreint d’activités et/ou de processus puis d’en considérer plus dans les itérations suivantes. Cela correspond aussi à la facilité de définir les frontières (boundaries) d’un SMSI selon la norme ISO/IEC 27001:2005. La sélection autorisée par la colonne Incl (remplie par défaut avec des 1) permet aussi de préparer la présentation des résultats aux managers. Ainsi il est possible, après l’analyse de risque, de ne sé-lectionner qu’un (ou plusieurs) processus et de visualiser de manière unitaire les niveaux de risque résultants et les améliorations des services de sécurité propres à réduire ces risques.

Attention : du fait de la recopie automatique de la feuille T1 dans T2 et T3, il faut éviter de modi-fier le nombre de lignes des feuilles T1 à T3.

2.6 Feuille Classif Cette feuille reçoit automatiquement les synthèses en provenance de T1, T2 et T3 et contient pour chaque type d’actif et chaque critère de sécurité, la classification de l’actif qui sera utilisée comme Impact Intrinsèque pour l’évaluation des scénarios de risque.

La colonne F est remplie par défaut avec la valeur 1, forcer 0 permet de désélectionner le type d’actif correspondant. La désélection se traduit par le fait que les scénarios correspondant à ce ty-pe d’actif ne sont pas pris en compte dans la feuille scénarios et les feuilles Plans_action, Risk%actif et Risk%event.

Ainsi il est possible de limiter (ou d’exclure) l’analyse de risque à certains actifs (par exemple les réseaux ou la sécurité physique) ou, lors du traitement des résultats, de visualiser les améliorations destinées à traiter ces actifs.

2.7 Feuilles de diagnostic des services de sécurité Ces feuilles, au nombre de 14, sont organisées par domaine et numérotées de 01 Org à 14 Msi

Toutes ces feuilles ont la même organisation :

— Colonne A : numéro de service, de sous-service ou de question

Page 10: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 10/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

— Colonne B : libellé du service, du sous-service ou de la question

— Colonnes C (R-V1) à F (R-V2) : réservées aux réponses possibles pour 4 variantes de domaine maximum dans le schéma d’audit. Le nombre de variantes retenues doit être indiqué sur la première ligne, colonne C (la valeur par défaut étant 1). Les réponses à chaque question doivent être 1 (Oui), 0 (Non) ou X (Sans Objet). Il est possible de déclarer globalement un sous-service comme sans objet en indiquant un X sur la ligne du titre du sous-service, dans la colonne de la variante considérée (cette déclaration est reportée automatiquement dans la feuille Services).

— Colonnes G à I : paramètres de calcul de la qualité de service (voir le guide du diagnostic des services de sécurité)

— Colonne J : paramètre (E pour Efficacité, R pour Robustesse et C pour Continuité) ca-ractéristique de la mesure de sécurité pouvant permettre de faire des sélections de ques-tions (en mode expert).

— Colonne K : Référence au (ou aux) paragraphe de l’ISO/IEC 27002 pertinent pour la question

— Colonne L : réservée pour des commentaires libres de l’auditeur.

Les seules colonnes à remplir lors d’un diagnostic sont C à F et L.

La feuille 14 Msi ne contribue pas à l’analyse de risque mais permet d’évaluer le niveau de réalisation dans le cadre éventuel d’un processus de management de la sécurité de l’information.

2.8 Feuille Services La feuille Services fait la synthèse des diagnostics et permet d’évaluer la qualité des services de sécu-rité. Chaque service est évalué, sur une échelle allant de 0 à 4 et les évaluations concernant la qualité de chaque service, pour chaque variante retenue du schéma d’audit, sont regroupées dans la feuille Services :

— Colonne A : numéro du domaine, compris entre 01 et 14

— Colonnes B et C : numéro et description des services de sécurité (standard MEHARI)

— Colonne D : Indique le thème de sécurité auquel le service répond (voir feuille thèmes).

— E à H : Niveau de qualité calculé des services de sécurité (de 0 à 4). En fonction du schéma d’audit (appelé décomposition cellulaire dans les versions précédentes), plusieurs diagnostics d’un même service peuvent être réalisés pour différentes instances. Les ré-ponses ayant été notées dans des colonnes différentes dans chaque domaine sont utili-sées pour calculer la qualité de chaque service pour chaque variante. Les questions sans objet (notées X) ne sont pas prises en compte pour la pondération. En cas de réponses partielles, pour un service (ou une variante de service), la moyenne pondérée est calculée en prenant les notes des questions auxquelles il a été répondu, mais en divisant par la somme des poids de toutes les questions (sauf questions sans ob-jet avec un X comme réponse).

— Colonne I : minimum des variantes retenues. Par mesure de précaution, ce minimum est utilisé pour l’évaluation des risques. Le minimum est arrondi à la valeur entière la plus proche avec un minimum de 1.

— Colonne J : Objectif de qualité retenu par les divers plans d’action (voir feuilles Plans_action et Obj_PA) ou pour les objectifs fixés par projet (feuille Obj_projets). Il

Page 11: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 11/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

est en effet possible, dans les plans d’action de fixer un objectif aux services de sécurité. De même on peut assigner des objectifs à plusieurs services de sécurité dans des projets. Si un service a fait l’objet de plusieurs décisions, le niveau maximum fixé comme objec-tif est reporté automatiquement dans cette colonne. La valeur de la cellule (2,J), indique la prise en compte de l’objectif (Valeur 1) ou pas (va-leur 0). Cette valeur est remplie automatiquement à partir de paramètres introduits dans la feuille « Plans_action » cellule (2,N).

— Colonne K : colonne de travail utilisée par les plans d’action et la simulation des risques résiduels. Selon l’option retenue, cellule (2,J), cette colonne contient soit la qualité ac-tuelle du service soit sa qualité objectif (plus exactement le maximum de la qualité ac-tuelle et de la qualité objectif).

2.9 Feuille Thèmes Cette feuille indique des « thèmes de sécurité » et, pour chaque thème, les services et sous-services de MEHARI qui pris en compte pour évaluer ce thème.

Les calculs sont effectués (par la moyenne des services concernés) :

- colonne D : en valeur actuelle (compte tenu du diagnostic de l’état des services de sécurité) - colonne E : en valeur future (compte tenu des objectifs retenus, si le paramètre définissant la prise en compte des objectifs a bien été positionné dans la feuille « Plans_action » cellule (2,N)..

2.10 Feuille Score ISO Cette feuille permet d’indiquer un score des points de contrôle de la norme ISO/IEC 27002:2005 en fonction des réponses aux questionnaires d’audit MEHARI.

— Colonnes A à D : introduisent la liste des pratiques (‘’controls’’) de la norme

— Colonne E : questions de MEHARI correspondant strictement au ‘’control’’ de la nor-me

— Cellule (2,F) : si positionnée à 1, les questions référencées en colonne sont sur fond jau-ne dans les feuilles 01 0rg à 13 Man.

— Colonne F : note de 0 à 10, de la ‘’conformance’’ pour le ‘’control’’, résultat de la divi-sion du nombre de réponses positives par le nombre total de questions, multiplié ensuite par 10. Le score est calculé uniquement en fonction de la variante 1 de chaque do-maine.

— Colonne G : remplie par défaut à 1, ce qui indique que le contrôle doit être intégré dans la déclaration d’applicabilité de ISO 27001 (SOA). Forcer 0 permet de retirer l’objectif de contrôle associé lors d’un processus de SMSI selon ISO 27001.

— La colonne H est utilisée pour indiquer la justification de cette décision (maintien ou re-trait).

2.11 Feuille Expo La feuille Expo contient le tableau des événements déclencheurs de scénarios dont la probabilité constitue la Potentialité Intrinsèque des scénarios.

— Colonne A à D : les colonnes A à D contiennent les types d’événements et les codes

Page 12: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 12/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

correspondants

— Colonne E : la colonne E contient la valeur (de 0 à 4) de l’exposition naturelle proposée en standard par le Clusif

— La colonne F permet de forcer une valeur spécifique pour l’entité si la valeur standard ne s’applique pas à sa situation ou à son environnement.

— La colonne G contient par défaut la valeur standard et, si une valeur a été entrée en co-lonne F, cette dernière valeur est prise en compte.

— La colonne H (remplie par défaut avec des 1) permet de désélectionner (valeur 0) des menaces (événements déclencheurs), alors tous les scénarios correspondants sont auto-matiquement désélectionnés aussi.

— La colonne I permet de commenter la valeur décidée pour chaque type d’événement.

2.12 Feuille Scénarios La feuille Scénarios contient les scénarios de risque de la base de connaissances :

— Colonne A : colonne contenant des codes de famille de scénarios utilisés également dans la feuille Plans d’action.

— Colonne B (masquée) : colonne contenant des codes utilisés uniquement pour le libellé littéral du scénario

— Colonne C : type d’actif primaire concerné

— Colonnes D à G : Vulnérabilité exploitée décrite par un type d’actif secondaire, critère (tel que D, I, C ou E, pour Efficience) et un type de dommage subi et un code significa-tif de la vulnérabilité ou de l’exigence de conformité.

— Colonnes H à N : Menace à l’origine du risque, caractérisée par un type d’événement (décrit par des types et sous-types d’événements, des circonstances de lieux, de temps, de type d’accès et de processus et un type d’acteurs, le tout sous forme de code (les co-des sont explicités dans la feuille Codes).

— Colonne O : libellé descriptif du scénario

— Colonne P : Sélection directe et manuelle du scénario, décidée par l’auditeur. Seuls les scénarios sélectionnés, par un 1 (valeur par défaut) dans cette colonne, ont une gravité qui est évaluée et sont pris en compte dans les feuilles de synthèse Plans d’action, Risk%actif et Risk%event. La sélection des scénarios est prise en compte lors de l’étape d’identification des risques.

— Colonnes Q et R : codes permettant de différencier la cause du scénario (A pour acci-dent, E pour Erreur ou M pour Malveillance, V pour acte Volontaire non malveillant) ou sa conséquence (D pour Disponibilité, I pour Intégrité et C pour Confidentialité, L pour Limitable). Ces indications sont utilisées par les formules de calcul de la base de connaissances pour sélectionner les grilles de calcul de potentialité et d’impact.

— Colonnes S et T : Report de l’impact intrinsèque et de l’exposition naturelle (Potentialité intrinsèque) du scénario. Ces indicateurs sont remplis automatiquement à partir des co-lonnes C et D, pour l’impact intrinsèque, et H et I pour l’exposition naturelle.

— Colonne U (Grav.) : évaluation de la Gravité intrinsèque, calculée sans facteur de réduc-tion de risque, à partir de l’impact intrinsèque et de l’exposition naturelle.

Page 13: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 13/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

— Colonnes V à Y : évaluation des divers facteurs de réduction du risque (Dissuasion, Pré-vention, Confinement, Palliation), en fonction de la qualité des services de sécurité. No-ta : en cas de variantes dans le schéma d’audit, c’est le minimum des évaluations des di-verses variantes qui est pris en compte pour calculer les facteurs de réduction de risque.

— Colonne Z : Caractère « confinable » (1) ou non confinable (0) du scénario (valeur stan-dard attribuée par le CLUSIF). Par mesure de précaution, certains scénarios sont consi-dérés, par défaut, comme non confinables malgré l’existence de mesures de confine-ment.

— Colonne AA (Confinabilité décidée) : les cellules de la colonne sont livrées vides, mais une valeur différente de la valeur standard de la colonne Z permet de décider de la prise en compte (ou non) des mesures de confinement .

— Colonnes AB et AC : Impact décidé et Potentialité décidée. Ces colonnes permettent de forcer un impact et/ou une potentialité à une valeur différente de celle qui est automati-quement calculée (voir guide de la gestion des risques).

— Colonnes AD et AE (Impact calculé et Potentialité calculée) : évaluations calculées de l’Impact et de la Potentialité du scénario en fonction de l’impact intrinsèque, de l’exposition natu-relle et des facteurs d’atténuation de risque.

— Colonne AF (Gravité calculée) : Gravité établie en fonction des valeurs de I et de P déci-dées (colonnes AB et AC) ou calculées (colonnes AD et AE) et de la grille de gravité.

— Cellule (1,AA) (Prise en compte des services de sécurité) : la feuille Plans action permet de bas-culer rapidement entre trois vues successives des risques : intrinsèques, actuels et futurs (suite aux mesures additionnelles planifiées). La valeur 0 de cette cellule indique que la colonne AF reprend le résultat de la colonne U Gravité intrinsèque. La valeur 1 donnera la valeur actuelle ou future en fonction de la cellule (2,N) de la feuil-le Plans_action.

— Colonne AG (Scénario accepté ou transféré) : Il est possible d‘indiquer, dans cette colonne, que l’on accepte le risque du scénario, malgré sa gravité ou qu’on le traite par transfert du risque (par l’assurance notamment). Certains scénarios peuvent ainsi être acceptés (A), même si leur gravité est forte, ou considérés comme transférés (T), ils ne sont alors pas comptés dans les récapitulatifs (nombre de scénarios par niveau de gravité) des feuil-les « plans_action », « Risk%actif » ou Risk%event ».

— Colonne AH : colonne de travail (vide si le scénario est accepté ou transféré, gravité cal-culée sinon).

— Colonnes AI à AL : colonnes contenant les formules littérales des facteurs d’atténuation de risque.

— Colonnes AM à AT : colonnes de travail pour les formules.

2.13 Feuille Risk%actif Cette feuille contient un tableau récapitulatif du nombre de scénarios, par niveau de gravité, par type d’actif et par critère de classification (D, I et C ou E).

C’est une vue de synthèse qui permet d’aller directement travailler, dans le Plans d’action, sur une famille de scénarios.

Page 14: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 14/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

A cette fin, des liens hypertexte sont inclus (colonne >) permettant de pointer directement sur une famille de scénarios (et donc un type d’impact) dans la feuille Plans d’action.

La dernière ligne indique le cumul du nombre de scénarios de la colonne (ayant le même niveau de gravité)

2.14 Feuille Risk%event Cette feuille contient un tableau récapitulatif du nombre de scénarios, par niveau de gravité, et par type d’événement.

2.15 Feuille Plans_action Cette feuille contient des indications sur les plans d’action susceptibles de réduire les risques.

Les scénarios y sont traités par famille, chaque famille consistant en un type d’actif et un type d’impact.

Pour chaque famille une synthèse du nombre de scénarios par niveau de gravité est fournie.

Pour visualiser cette synthèse il est possible de sélectionner l’une des trois options suivantes :

— Evaluation de la gravité intrinsèque des scénarios (calculée sans prendre en compte le niveau actuel des services de sécurité), obtenue en mettant 0 dans les cellules 1N et 2N.

— Evaluation de la gravité résiduelle : l’ensemble des calculs prend en compte la qualité ac-tuelle des services de sécurité, telle qu’elle résulte des feuilles de diagnostic, obtenue en mettant 1 dans la cellule 1N et 0 dans la cellule 2N.

— Prise en compte des actions décidées : l’ensemble des calculs est effectué en tenant compte des niveaux d’objectifs attribués aux services de sécurité, en mettant 1 dans les cellules 1N et 2N

Contenu des colonnes :

— Colonne A : nom de la famille de scénarios.

— Colonnes B à F : nombre de scénarios par niveau de gravité et nombre total de scénarios de la famille (ayant un niveau de gravité calculé).

— Colonne G : type des mesures proposées par chaque plan d’action, s’il est sélectionné.

— Colonne H : indication de l’efficacité (valeur de A à E) du plan d’action, basée sur le nombre de scénarios de la famille touchés par ce plan.

— Colonne I (décision) : la valeur 1, indique que le plan d’action de réduction de ris-que utilisant les services de sécurité de la ligne est sélectionné, sinon laisser vide ou mettre un 0.

— Colonnes J, M, P, S, V, Y, AB, AE, AH, AK : services inclus dans le plan.

— Colonnes K, N, Q, T, W, AC, AF, AI et AL: Valeurs actuelles des niveaux des services de sécurité (établies suite à la phase de diagnostic)

— Colonnes L, O, R, U, AD, AG, AJ et AM : objectif de niveau de qualité (cible) assigné au service à améliorer. Cette colonne est modifiable manuellement afin de permettre à l’auditeur d’envisager plusieurs alternatives.

Fixation d’objectifs de niveaux aux services de sécurité

Page 15: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 15/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

Les services de sécurité pertinents pour la famille de scénarios sont regroupés par ensembles ho-mogènes et par type d’effet. Sur une ligne, les divers services concernés sont affichés avec un ni-veau d’objectif a priori susceptible de réduire significativement le risque.

Il est proposé alors de sélectionner l’ensemble des services de cette ligne et leurs niveaux objectifs correspondants, en forçant un 1 dans la colonne « décision » (I). Il est possible de modifier le ni-veau objectif de chaque service individuellement. Nota : pour exclure un service d’un plan d’action, fixer son objectif à 1.

Il est ainsi possible de faire des simulations sur l’effet de telle ou telle décision et de décider des actions à mener en conséquence.

2.16 Feuille Obj_PA Cette feuille est une feuille de travail qui récapitule les objectifs assignés aux services de sécurité par les plans d’action évoqués au paragraphe précédent.

— Colonne A à C : recopie des colonnes A à C de la feuille Services.

— Colonne D : Récapitulatif des objectifs maximaux de niveaux de qualité assignés aux services de sécurité par les plans d’action des colonnes suivantes. Cette colonne sert à calculer les cibles d’objectifs de sécurité dans la colonne J de la feuille Services.

— Colonnes E à BC: utilisées pour indiquer (par type d’actif et par critère de sécurité) le niveau de qualité objectif global en fonction des divers plans sélectionnés dans la feuille Plans_action, .

2.17 Feuille Obj_Projets Cette feuille permet de définir des projets avec, pour chaque projet, une date d’achèvement, des services améliorés et un objectif de qualité (de 1 à 4) pour chaque service.

Cette feuille contient également, en colonne I, une évaluation d’un « besoin de service de sécuri-té ».

— Colonnes A à C : recopie des colonnes A à C de la feuille Services.

— Colonnes D à H (normalement cachées) : Indication d’un besoin de qualité de service en fonction des types de plans faisant appel à chaque service (en fonction de leur efficaci-té). On tient compte, pour ce calcul du nombre de scénarios de gravité 3 (avec un coef-ficient de 1) ou 4 (avec un coefficient 8), pour chaque famille de scénarios et on fait la somme de ces besoins pour l’ensemble des familles.

— Colonne I : synthèse des besoins précédents (calculée avec une fonction logarithme). A priori, plus cette valeur est forte, plus le besoin d’améliorer ce service est élevé.

— Colonne J : Synthèse des objectifs assignés aux services de sécurité par des projets (dé-crits colonnes suivantes). La cellule (4,J) doit contenir une date de référence, au format « aa mm » (millésime sur deux chiffres, puis un espace, puis mois sur deux chiffres). Seuls les projets ayant une da-te d’achèvement antérieure à cette date de référence seront pris en compte pour les ob-jectifs des services de sécurité.

Page 16: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 16/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

— Colonnes K à AX : Ces colonnes sont utilisées pour décrire des projets : La ligne 3 fournit une courte description du projet La ligne 4 mentionne la date planifiée de terminaison du projet (au format aa mm) Chaque cellule de la colonne indique le niveau de qualité du service atteint lors de la ter-minaison du projet. Note : si aucune date n’est mentionnée en ligne 4, la méthode considère que le projet sera terminé avant la date de référence donnée dans la cellule (4,J).

2.18 Feuille Vulnérabilités types La feuille Vulnérabilités types contient la liste, pour chaque type d’actif secondaire, des domma-ges potentiels subis et des vulnérabilités exploitables. Ce tableau peut être utilisé pour analyser et écarter certaines vulnérabilités qui ne seraient pas à retenir dans le contexte propre de l’entité.

Il convient alors de désélectionner ces vulnérabilités, dans la colonne G, en introduisant un 0, à la place du 1 fourni en valeur standard.

Les scénarios faisant appel à ces vulnérabilités seront automatiquement désélectionnés.

2.19 Feuille Grilles_IP La feuille Grilles-IP contient les grilles de décision utilisées pour évaluer l’impact et la gravité ré-siduels en fonction de l’impact intrinsèque, de la potentialité intrinsèque et des facteurs de réduc-tion de risque (voir guide de la gestion des risques).

En mode expert, les valeurs contenues dans ces grilles peuvent éventuellement être modifiées (après avoir retiré la protection de la feuille)

2.20 Feuille Gravité La feuille Gravité contient la grille d’acceptabilité des risques utilisée pour décider du niveau de gravité des risques en fonction de l’impact et de la potentialité résiduels.

En mode expert, les valeurs contenues dans cette grille peuvent éventuellement être modifiées (après avoir retiré la protection de la feuille)

A défaut la grille standard Clusif fournie dans la base devrait être validée par les parties prenantes.

2.21 Feuille Corr_Services Cette feuille indique la correspondance entre services de MEHARI 210 et services de MEHARI 2007, en précisant les services nouveaux, modifiés ou supprimés.

2.22 Feuille Codes Cette feuille (masquée) contient des libellés utilisés dans la description et n’ont pour seul objectif que de faciliter la maintenance et la traduction de ces libellés

Page 17: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 17/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

3 Traitements et calculs effectués Les traitements effectués pour calculer la qualité des services, l’impact, la potentialité ou la gravité des scénarios dépendent de formules contenues dans les feuilles du fichier .xls (pour Excel ou OpenOffice).

Ces formules sont mises en place à l’aide de macros qui n’ont pas à être utilisées en dehors de la maintenance de la base et ne sont pas disponibles dans la version publique de la base.

3.1 Traitements et fonctions utilisées

Feuille Services Cotation des services La cotation est faite pour 4 variantes de schéma d’audit maximum. La cotation des services de sécurité, en fonction des réponses aux questionnaires (feuilles 01 Org à 14 Msi), vérifie qu’un service n’a pas été déclaré « X» (Sans Objet) sur la ligne de titre du service (et pour la variante considérée) dans la feuille de questionnaires. On teste ensuite s’il y a au moins une réponse (1 ou 0) avec un poids non nul (sinon la cotation n’est pas remplie). Enfin la cotation calcule la moyenne pondérée (sans tenir compte des réponses X), puis vérifie l’existence d’un seuil « MIN » ou d’un seuil « MAX » et affiche le résultat final. Les seuils MIN et MAX sont calculés dans des colonnes cachées des différents domaines. Les fonctions standard d’Excel et OpenOffice utilisées sont SI, NON, MIN, MAX et SOMME.SI Calcul du min des services Le minimum des services est calculé et arrondi à l’entier le plus proche, après des tests pour reve-nir à 1 si le service n’a aucune réponse ou une réponse « X » (Sans objet) Fonctions standard utilisées : MIN, SI, OU et ARRONDI Calcul de l’objectif L’objectif de qualité de service fixé dans la feuille « Plans d’action » est calculé en prenant l’objectif le plus élevé (on n’affiche rien s’il n’y a pas d’objectif fixé). Fonctions standard utilisées : MAX et SI Calcul du service avec objectifs La valeur affichée dans cette colonne dépend du choix effectué dans la feuille « Plans d’action », choix qui se traduit par un 1 ou un 0 dans la cellule 2,J. Si on tient compte des objectifs fixés, soit par des plans d’action, soit par des projets, la valeur affichée est le maximum de l’objectif et de la valeur actuelle du service. Fonctions standard utilisées : MAX et SI Feuille Score ISO

Page 18: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 18/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

Les scores sont calculés avec des fonctions SOMME, en ne tenant compte que du nombre de ré-ponses positives, sans tenir compte de leur poids dans les questionnaires MEHARI. Feuille Thèmes Les calculs sont effectués avec la fonction standard : MOYENNE. Feuille Scénarios Recherche de la classification, de l’exposition naturelle et texte des scénarios La classification est recherchée, dans la feuille « Classif » (en fait dans une table déclarée dans cet-te feuille) en fonction du type d’actif et du type de dommage. L’exposition naturelle est recherchée, dans la feuille Evénements types (en fait, dans une table déclarée dans cette feuille) en fonction des événements déclarés dans le scénario. Les libellés de scénarios sont eux-mêmes déduits des codes d’actifs, de vulnérabilités et de mena-ces. Fonctions standard utilisées : RECHERCHEV et SI Calculs des facteurs de réduction de risque (dissuasion, prévention, confinement et pal-liation) Les calculs emploient les fonctions MAX et MIN reflétant les formules littérales et font référence aux services de sécurité par leur nom (variables déclarées). Fonctions standard utilisées : MAX et MIN Calculs de P (Potentialité), I (Impact) et G (Gravité) P et I sont calculés en faisant appel aux grilles IP (nommées par des tables déclarées) en fonction des paramètres du scénario. La gravité est calculée soit à partir des I et P calculés soit à partir des I et P décidés. Fonctions standard utilisées : SI, ET, OU, NON et INDEX

Feuilles Plans d’action et Risk%event Le nombre de scénarios par famille est calculé pour chaque niveau de gravité. Emploi de la fonction standard NB.SI

Feuille Obj_PA Calcul de l’objectif pour chaque catégorie de plan d’action Pour chaque catégorie de plans d’actions, si un plan est sélectionné, on affiche, pour chaque ser-vice contenu dans le plan, l’objectif correspondant. La formule permet de tenir compte du fait qu’un service peut être appelé 2 fois (avec 2 objectifs différents) dans la même catégorie de plans d’action. Fonctions standard utilisées : INDEX et SI Synthèse des objectifs en fonction des différents plans Utilisation de la fonction MAX Feuille OBJ_Projets Calcul de l’objectif d’un service pour différents projets Le calcul test de fin d’achèvement de projet par rapport à la date de référence est fait dans des co-lonnes cachées. Fonctions standards utilisées: SI et MAX

Page 19: Mehari 2010-manuel-de-reference-2-14

MEHARI 2010 : Manuel de référence 19/21 © CLUSIF 2012 de la base de connaissances 2-14 30 mars 2012

Feuille Expo L’exposition naturelle est sélectionnée entre la valeur par défaut et une valeur décidée (cette der-nière prévalant) Fonctions standard utilisées : MAX et SI

3.2 Macros (sous Excel) Les macros utilisées couramment sont uniquement celles de masquage de feuilles.

D’autres macros sont utilisées, en mode maintenance, pour mettre à jour les codes de fonctions et surtout les champs de cellules auxquels les fonctions font référence.

Page 20: Mehari 2010-manuel-de-reference-2-14
Page 21: Mehari 2010-manuel-de-reference-2-14

L ’ E S P R I T D E L ’ É C H A N G E

CLUB DE LA SÉCURITÉ DE L'INFORMATION FRANÇAIS 11, rue de Mogador

75009 Paris

� 01 53 25 08 80

[email protected]

Téléchargez les productions du CLUSIF sur

www.clusif.asso.fr