Você está na página 1de 34

METHODES

MEHARI 2010
Guide de la dmarche danalyse et de traitement des risques

Version 2 : Avril 2011

Espace Mthodes

CLUB DE LA SECURITE DE LINFORMATION FRANAIS


11, rue de Mogador, 75009 PARIS
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr

Date
Janvier 2010
Avril 2011

Calendrier des rvisions


Origine (avec Mehari 2010 V1)
version 2 ; prenant en compte les amnagements apports par Mehari 2010 V2 mis en ligne en novembre
2010 et clarifiant les corrlations avec la norme ISO/IEC 27001:2005

MEHARI est une marque dpose par le CLUSIF.


La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal

Sommaire
Introduction .................................................................................................................................................. 5
1.

Phase prparatoire .......................................................................................................................... 6

1.1
La prise en compte du contexte................................................................................................. 7
1.1.1 Prise en compte du contexte stratgique................................................................................7
1.1.2 Prise en compte du contexte technique .................................................................................8
1.1.3 Prise en compte du contexte organisationnel........................................................................9
1.2
Le cadrage de la mission danalyse et de traitement des risques..........................................10
1.2.1 Le primtre technique de lanalyse et du traitement des risques.....................................10
1.2.2 Le primtre organisationnel de lanalyse et du traitement des risques...........................11
1.2.3 La structure de pilotage de la mission ..................................................................................12
1.3
La fixation des paramtres techniques de lanalyse des risques...........................................13
1.3.1 La dtermination de la grille dacceptabilit des risques ....................................................13
1.3.2 La dtermination de la grille des expositions naturelles.....................................................14
1.3.3 La dtermination des grilles dapprciation des Potentialits et Impacts rsiduels........15
2.

Phase oprationnelle danalyse des risques................................................................................16

2.1
Lanalyse des enjeux et la classification des actifs..................................................................17
2.1.1 chelle de valeur des dysfonctionnements..........................................................................17
2.1.2 Classification des actifs ...........................................................................................................18
2.1.3 Tableau dimpact intrinsque.................................................................................................20
2.2
Le diagnostic de la qualit des services de scurit ...............................................................21
2.2.1 tablissement du schma daudit ..........................................................................................21
2.2.2 Diagnostic de la qualit des services de scurit .................................................................22
2.3
Lapprciation des risques.........................................................................................................23
2.3.1 Slection des scnarios de risque...........................................................................................23
2.3.2 Estimation des risques ............................................................................................................24
3.

Phase de planification et de traitement des risques..................................................................25

3.1
La planification des actions immdiates .................................................................................26
3.1.1 Slection des risques traiter en priorit absolue ...............................................................26
3.1.2 Choix des mesures mettre en uvre immdiatement .....................................................27
3.2
La planification des actions dcider dans le cadre courant ...............................................28
3.2.1 Stratgie de traitement et priorits ........................................................................................28
3.2.2 Choix des mesures et planification .......................................................................................29
3.3
La mise en place du pilotage du traitement des risques........................................................30
3.3.1 Organisation du pilotage ........................................................................................................30
3.3.2 Choix des Indicateurs et du tableau de bord.......................................................................31

MEHARI 2010 : Guide de la dmarche V2

3/34

CLUSIF 20111

Remerciements
Le CLUSIF tient remercier ici les membres de lespace mthodes qui ont rendu possible la ralisation de ce document.

MEHARI 2010 : Guide de la dmarche V2

4/34

CLUSIF 20111

Introduction
Ce guide prsente lensemble de la dmarche danalyse et de traitement des risques de Mhari et
en dtaille les diffrentes tapes.
Il est bas sur lutilisation de la base de connaissances de Mhari 2010.
Prsentation gnrale de lensemble de la dmarche
La dmarche Mhari comprend trois phases, conformment au schma ci-dessous.

Phase prparatoire
Prise en
compte du
contexte

Cadrage

Paramtrage

Phase oprationnelle danalyse des risques


Analyse des
enjeux et
classification

Diagnostic
des services
de scurit

Analyse des
risques

Phase de planification du traitement des risques


Plan de
mesures
immdiates

Plan de
mesures
planifies

Mise en place
du pilotage

Nous dcrivons, dans les chapitres et paragraphes suivants chacune de ces phases.
Conformit avec la norme ISO/IEC 27001:2005
Il est noter que la dmarche danalyse et de traitement des risques utilise par Mehari est
complte et conforme au processus damlioration continue prsent par la norme ISO/IEC
27001:2005 ; par ailleurs, Mehari rpond aux recommandations de la norme ISO/IEC
27005:2008.
La description des tapes faite dans ce guide peut tre rapproche de celle figurant dans la norme
ISO/IEC 27003 mais elle est ralise de manire plus concrte et utilisable directement par
lorganisme dans le cadre de sa gestion des risques ou de son SMSI en sappuyant sur Mehari.
Par ailleurs, les bases de connaissance contiennent un domaine 14 Msi qui, dans le cas dun
systme de management de la scurit, permet de diagnostiquer si sa ralisation est satisfaisante.
Comme le fichier base de connaissance, charg depuis le site du CLUSIF, ne peut dcrire
lavance les actions effectivement ralises et les responsabilits lors de lanalyse et du traitement
des risques, certains des livrables dfinis dans ce document peuvent contribuer la cration dun
dossier propre aux activits et aux engagements pris lors de lanalyse de risque et enregistrer
lappropriation de la mthode ralise par lorganisme qui met en uvre la mthode.

MEHARI 2010 : Guide de la dmarche V2

5/34

CLUSIF 20111

1. Phase prparatoire
La phase prparatoire comprend elle-mme trois tapes principales, quil est prfrable de mener
successivement, sans que cela soit absolument ncessaire.
Ces tapes sont :
1.1 La prise en compte du contexte
1.1.1 Contexte stratgique
1.1.2 Contexte technique
1.1.3 Contexte organisationnel
1.2 Le cadrage de la mission danalyse et de traitement des risques
1.2.1 Primtre technique
1.2.2 Primtre organisationnel
1.2.3 Structure de pilotage de la mission
1.3 La fixation des principaux paramtres de lanalyse des risques
1.3.1 Grille dacceptabilit des risques
1.3.2 Grille des Expositions Naturelles
1.3.3 Grilles dapprciation des risques

MEHARI 2010 : Guide de la dmarche V2

6/34

CLUSIF 20111

1.1 La prise en compte du contexte


1.1.1 Prise en compte du contexte stratgique
Objectifs
Formaliser un certain nombre de points qui mritent dtre claircis et pris en compte pour
lanalyse et le traitement des risques.
Les points suivants devraient tre abords :

Le positionnement stratgique de lentit sur son march (pour les entreprises


commerciales) ou de lorganisation dans son contexte politique (pour les entreprises ou
services publics) :






Position sur le march (dominante ou non)


Caractre concurrentiel de lactivit
Criticit des services fournis
Mdiatisation des vnements et incidents de fonctionnement
Etc.

Les contraintes pesant sur le fonctionnement et lorganisation de lentit


 Contraintes lgales
 Contraintes rglementaires
 Les normes respecter

La politique de scurit de linformation


 Objectifs de scurit (sils existent)
 Rle de lanalyse et du traitement des risques dans la politique de scurit
 Donneur dordre de lanalyse et du traitement des risques
 Support de la Direction

Conditions pralables
Il importe, pour dmarrer cette tche que la mission danalyse et de traitement des risques ait t
prcise par un ordre de mission.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables dactivit

La Direction gnrale

La Direction juridique (contraintes lgales)

Le RSSI

Livrable
Le livrable est constitu dun document de synthse reprenant les divers points cits en objectifs.

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

MEHARI 2010 : Guide de la dmarche V2

7/34

CLUSIF 20111

Recueil des divers lments disponibles sur les aspects cits en objectifs

tablissement dune synthse

Validation en Comit de Direction ou directement auprs de la Direction Gnrale

1.1.2 Prise en compte du contexte technique


Objectifs
Formaliser et recueillir un certain nombre de donnes et renseignements techniques qui seront
ncessaires pour lanalyse et le traitement des risques.
Les points suivants devraient tre traits :

Larchitecture du systme dinformation







Architecture des rseaux


Architecture systmes
Architecture applicative
Cartographie densemble.

Plans (ou risques) dvolutions techniques court, moyen et long terme


 Plans dvolutions
 Prennit des solutions oprationnelles

Fournisseurs et prestataires externes critiques


 Fournisseurs de services oprationnels (fournisseurs daccs, services rseaux,
infogrance, etc.)
 Fournisseurs de logiciels
 Prestataires de services occasionnels (maintenance, assistance, etc.)

Conditions pralables
Existence pralable dune cartographie ou, a minima, dun inventaire jour des quipements,
systmes et applications informatiques

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques, ou
un membre de son quipe.
Sont parties prenantes :

La DSI (Direction des Systmes dInformation)

La Direction des rseaux (si diffrente de la DSI)

Livrable
Le livrable est constitu dune cartographie synthtique et de listes annexes (quipements,
applications, etc.).

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

Recueil des divers lments techniques disponibles.

tablissement dune synthse

Validation auprs de la DSI

MEHARI 2010 : Guide de la dmarche V2

8/34

CLUSIF 20111

1.1.3 Prise en compte du contexte organisationnel


Objectifs
Formaliser et recueillir un certain nombre de donnes et renseignements relatifs lorganisation
de lentit qui seront ncessaires pour lanalyse et le traitement des risques.
Les points suivants devraient tre traits :

Lorganigramme complet de lentit


 Rattachements hirarchiques
 Liens et rattachements fonctionnels

Rpartition des responsabilits en ce qui concerne la scurit


 Notes et descriptions de fonction
 Rpartition des responsabilits entre responsable de site, responsables dactivits,
DSI et RSSI

Structures de pilotage
 Processus de proposition et de validation des plans daction
 Composition et modes de fonctionnement des structures de pilotage

Conditions pralables
Existence pralable dun organigramme complet et dtaill et de notes de dfinition de fonction.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques, ou
un membre de son quipe.
Sont parties prenantes :

La DRH (Direction des Ressources Humaines) ou la Direction de lorganisation (si elle


existe)

La Direction Financire et Administrative

Le RSSI

Livrable
Le livrable est constitu dune note de synthse sur lorganisation et les responsabilits, en ce qui
concerne la scurit de linformation et la mise en place des plans daction ventuellement
ncessaires.

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

Recueil des divers lments organisationnels disponibles.

tablissement dune synthse

Validation auprs de la Direction Gnrale

MEHARI 2010 : Guide de la dmarche V2

9/34

CLUSIF 20111

1.2 Le cadrage de la mission danalyse et de traitement des risques


1.2.1 Le primtre technique de lanalyse et du traitement des risques
Objectifs
Formaliser les limites techniques de lanalyse et du traitement des risques pour la mission en
cours de lancement.
Les points suivants devraient tre traits :

Primtre gographique
 Sites et localisations
 Pays ventuellement

Systmes dinformation concerns


 Systmes dinformation gnraux
 Exclusion ou non des systmes de gestion de processus industriels
 Exclusion ou non des systmes de conception assiste
 Etc.

Types de supports dinformation concerns


 Mdias informatiques
 Mdias papiers
 Voix et supports audio

Conditions pralables
Existence pralable de la synthse sur la cartographie du systme dinformation.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

La Direction Gnrale ou le donneur dordre

Le RSSI

Livrable
Le livrable est constitu dune note de synthse sur le primtre technique de la mission danalyse
et de traitement des risques.

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

Recueil des diverses options et des choix du donneur dordre.

tablissement dune synthse

Validation auprs de la Direction Gnrale

MEHARI 2010 : Guide de la dmarche V2

10/34

CLUSIF 20111

1.2.2 Le primtre organisationnel de lanalyse et du traitement des risques


Objectifs
Formaliser les limites organisationnelles de lanalyse et du traitement des risques pour la mission
en cours de lancement.
Les points suivants devraient tre traits :

Primtre dactivit
 Activits concernes
 Filiales, Dpartements ou Services ventuellement

Types de risques inclus dans la mission


 Tous les risques lis linformation
 Limitation un ou plusieurs types de risques (divulgation dinformation, fraude, par
exemple)

Conditions pralables
Existence pralable de la synthse sur lorganisation de lentit.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

La Direction Gnrale ou le donneur dordre

Le RSSI

Livrable
Le livrable est constitu dune note de synthse sur le primtre organisationnel de la mission
danalyse et de traitement des risques.

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

Recueil des diverses options et des choix du donneur dordre.

tablissement dune synthse

Validation auprs de la Direction Gnrale

MEHARI 2010 : Guide de la dmarche V2

11/34

CLUSIF 20111

1.2.3 La structure de pilotage de la mission


Objectifs
Formaliser la structure de pilotage de la mission et les relations entre lquipe danimation de
lanalyse et du traitement des risques avec le donneur dordre et la Direction Gnrale.
Les points suivants devraient tre traits :

Structure et fonctionnement du Comit de Pilotage de la mission


 Membres participants
 Frquence de runion

Supports et modes de validation des livrables

Conditions pralables
Existence pralable de la synthse sur lorganisation de lentit.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

La Direction Gnrale ou le donneur dordre

Le RSSI

Livrable
Le livrable est constitu dune note de synthse sur la structure de pilotage de la mission danalyse
et du traitement des risques. Une runion de lancement, avec le Comit de Pilotage, devrait tre
organise.

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

Recueil des diverses options et des choix du donneur dordre.

tablissement dune synthse

Validation auprs de la Direction Gnrale

MEHARI 2010 : Guide de la dmarche V2

12/34

CLUSIF 20111

1.3 La fixation des paramtres techniques de lanalyse des risques


Les paramtres fixer avant lanalyse de risques proprement dite sont :

La grille dacceptabilit des risques

La grille des potentialits intrinsques ou grille dexpositions naturelles

Les grilles dapprciation des risques

1.3.1 La dtermination de la grille dacceptabilit des risques


Objectifs
Formaliser la grille dacceptabilit des risques qui servira dterminer si un scnario de risque
donn est acceptable ou non.
Cette grille est prsente et introduite dans MEHARI 2010 - Principes fondamentaux et spcifications
fonctionnelles .

Conditions pralables
Existence pralable de la synthse sur la structure de pilotage de lanalyse et du traitement des
risques.
En outre, le Comit de pilotage, qui est une partie prenante essentielle de cette tche, doit avoir,
au pralable, bien compris le modle de risque Mhari.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

La Direction Gnrale ou le donneur dordre

Le comit de pilotage de la mission

Le RSSI

Livrable
Le livrable est constitu de la grille dacceptabilit des risques et de la terminologie associe
chaque catgorie de risque, applicable lorganisme.

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

laboration dun projet de grille dacceptabilit des risques.

Validation auprs de la Direction Gnrale


Nota : le livrable est constitu partir de la grille gnrale propose dans la base de connaissances
Mhari, feuille Gravit . La validation par la Direction Gnrale est ncessaire.

MEHARI 2010 : Guide de la dmarche V2

13/34

CLUSIF 20111

1.3.2 La dtermination de la grille des expositions naturelles


Objectifs
Formaliser la grille des expositions naturelles ou grille des potentialits intrinsques qui servira
dterminer la potentialit intrinsque des scnarios de risque de la base de connaissances.
Cette grille est prsente et introduite dans le guide de lanalyse et du traitement des risques et dans le
document Mhari 2010 Principes fondamentaux et spcifications fonctionnelles .

Conditions pralables
Le Comit de pilotage, qui est une partie prenante essentielle de cette tche, doit avoir, au
pralable, bien compris le modle de risque Mhari.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Le comit de pilotage de la mission

Le RSSI

Les services gnraux, les responsables mtiers, la DRH, la DSI selon les types
dvnements considrs.

Livrable
Le livrable est constitu de la grille des expositions naturelles retenue par lorganisme.
Nota : cette grille est trs sensible des variations de lenvironnement interne comme externe et
devra tre reconsidre en consquence.

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

laboration dun projet de grille des Expositions Naturelles.

Validation auprs du Comit de Pilotage


Nota : le livrable est constitu partir de la grille gnrale des Expositions Naturelles propose
dans la base de connaissances Mhari (feuille Expo ) et donne, titre dexemple, dans
le document : Mhari 2010 Guide de lanalyse et du traitement des risques . La validation par le
Comit de Pilotage est ncessaire.

MEHARI 2010 : Guide de la dmarche V2

14/34

CLUSIF 20111

1.3.3 La dtermination des grilles dapprciation des Potentialits et Impacts rsiduels


Objectifs
Formaliser les grilles permettant dapprcier (dvaluer) la potentialit et limpact rsiduels en
fonction de la potentialit et de limpact intrinsques et des facteurs de rduction de risque de
chaque scnario de la base de connaissances.
Ces grilles sont prsentes et introduite dans le guide de lanalyse et du traitement des risques et dans
le document Mhari 2010 Principes fondamentaux et spcifications fonctionnelles .

Conditions pralables
Le Comit de pilotage, qui est une partie prenante essentielle de cette tche, doit avoir, au
pralable, bien compris le modle de risque Mhari.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Le comit de pilotage de la mission

Le RSSI

Livrable
Le livrable est constitu des grilles dapprciation des risques.

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

laboration de projets de grilles (3 pour lapprciation de la potentialit rsiduelle et 4 pour


celle de limpact rsiduel).

Validation auprs du Comit de Pilotage


Nota : le rsultat peut tre constitu des grilles gnrales proposes dans la base de connaissances
Mhari (feuille Grilles_IP) et donnes, titre dexemple, dans le document : Mhari 2010 Guide
de lanalyse et du traitement des risques . La validation par le Comit de Pilotage est souhaitable.

MEHARI 2010 : Guide de la dmarche V2

15/34

CLUSIF 20111

2. Phase oprationnelle danalyse des risques


La phase danalyse des risques comprend elle-mme trois tapes principales.
Ces tapes sont :
2.1 Lanalyse des enjeux et la classification des actifs
2.1.1 chelle de valeur des dysfonctionnements
2.1.2 Classification des actifs
2.1.3 Tableau dimpact intrinsque
2.2 Le diagnostic de la qualit des services de scurit
2.2.1 tablissement du schma daudit
2.2.2 Diagnostic de la qualit des services de scurit
2.3 Lapprciation des risques
2.3.1 Slection des scnarios de risque
2.3.2 Estimation des risques

MEHARI 2010 : Guide de la dmarche V2

16/34

CLUSIF 20111

2.1 Lanalyse des enjeux et la classification des actifs


2.1.1 chelle de valeur des dysfonctionnements
Objectifs
Formaliser les enjeux de chaque activit de lentit, enjeux de scurit qui seront utiliss pour
classifier les actifs.
La finalit et les objectifs de lchelle de valeur des dysfonctionnements sont dcrits dans le
Guide Mhari 2010 Analyse des enjeux et classification des actifs .
Lchelle de valeur des dysfonctionnements permet de mettre en vidence, pour chaque activit :

Les dysfonctionnements redouts

Les critres qualitatifs ou quantitatifs permettant dapprcier le niveau dimpact rsultant de


ces dysfonctionnements, selon une chelle 4 niveaux.

Conditions pralables
Il importe, pour dmarrer cette tche, que la mission danalyse des enjeux ait t prcise par un
ordre de mission.
Il est souhaitable que cette tche dbute par une runion de lancement en prcisant le
droulement et les attentes de la Direction.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables dactivit

La Direction gnrale

Le RSSI

Livrable
Le livrable est constitu de lchelle de valeur des dysfonctionnements.

Processus conseils de mise en uvre


Le processus, qui est largement dcrit dans le guide de lanalyse des enjeux et de la classification,
comprend les lments suivants :

Runion de lancement

Runions avec les responsables dactivit permettant de mettre en vidence les


dysfonctionnements potentiels et les critres dapprciation de leur gravit

Synthse par activit

Synthse pour lensemble de lentit

Validation en Comit de Direction ou directement auprs de la Direction Gnrale

MEHARI 2010 : Guide de la dmarche V2

17/34

CLUSIF 20111

2.1.2 Classification des actifs


Objectifs
Dterminer la sensibilit de chaque classe dactifs, sous forme dune classification.
Les classes dactifs utilises par la base de connaissances de Mhari 2010 sont des regroupements,
par domaine dactivit, des types dactifs primaires tels que dfinis dans le document Mhari
2010 Principes fondamentaux et spcifications fonctionnelles .
La classification est faire avec un niveau de 1 4 pour les critres de Disponibilit, dIntgrit,
de Confidentialit et dEfficience exige.
La classification a pour objectif de remplir les tableaux de classification T1, T2 et T3 de la base de
connaissance ainsi quindiqu dans le document Mhari 2010 Guide de lanalyse des enjeux et de la
classification . Chaque cellule de ce tableau devra ainsi indiquer le degr maximal de gravit que
pourrait reprsenter le dommage subi suite la perte de disponibilit, dintgrit ou de
confidentialit pour ce type dactif ou pour le non respect de lexigence defficience vis vis dune
loi ou dune rglementation, pour lactivit concerne (prcise sur chaque ligne des tableaux).

Conditions pralables
Il est fortement souhaitable, voire indispensable, que lchelle de valeur des dysfonctionnements
ait t dtermine au pralable. Une classification directe des actifs peut introduire des biais
prjudiciables lanalyse des risques.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables dactivit

La DSI

Le RSSI

La Direction juridique (pour le tableau T3)

Livrables
Les livrables sont constitus des tableaux de classification T1, T2 et T3.

Processus conseils de mise en uvre


Le processus, qui est dcrit dans le guide de lanalyse des enjeux et de la classification , comprend les
lments suivants :

Indication, dans les tableaux T1 et T2, des processus correspondant aux divers domaines
dactivit pris en compte lors de llaboration de lchelle de valeur des dysfonctionnements.
Remplissage de ces 2 tableaux, par domaine dactivit, et cellule par cellule :
Chaque cellule ou case du tableau reprsentant le niveau du dommage subi suite la
perte de disponibilit, dintgrit ou de confidentialit) par un type dactif (indiqu en
tte de colonne), pour une activit donne (prcise sur chaque ligne du tableau), on
recherchera :
 Si ce dommage peut conduire un ou plusieurs dysfonctionnements indiqus dans
lchelle de valeur des dysfonctionnements.
 Si tel est le cas, quel niveau dimpact maximal peut tre atteint et ce niveau
constituera alors la classification reporter dans la cellule du tableau

MEHARI 2010 : Guide de la dmarche V2

18/34

CLUSIF 20111

 Si tel nest pas le cas, un 1 (plus faible niveau dimpact) sera report dans la cellule
du tableau

Indication dans le tableau T3, qui comporte une colonne pour chaque exigence indique en
tte de colonne (E pour Efficience), du niveau dimpact quaurait une non-conformit pour
chacun des processus mtier et transversaux cits. Ceci est faire avec les responsables
dactivit assists de la Direction Juridique et de la Direction de la Communication

Remplissage, sur le mme principe, des lignes des 3 tableaux correspondant la prise en
compte des processus transversaux sajoutant aux processus propres chaque activit mtier
(qui peuvent indiquer un impact plus important que la synthse des besoins de chaque
activit mtier)

Validation en Comit de Direction

MEHARI 2010 : Guide de la dmarche V2

19/34

CLUSIF 20111

2.1.3 Tableau dimpact intrinsque


Objectifs
Le tableau dimpact intrinsque, qui sera utilis pour apprcier les risques de la base de
connaissances, est rempli par les automatismes de la mthode.
La base de connaissances des scnarios de risque de Mhari (voir le guide danalyse et de traitement
des risques de Mhari) contient des scnarios (plus de 800 dans la base 2010) qui font
explicitement rfrence un type dactif et, pour leur apprciation, un impact intrinsque qui
dpend du type dactif.
Le tableau qui contient les valeurs des impacts intrinsques des scnarios de la base de
connaissances est le tableau dimpact intrinsque.

Conditions pralables
Il est ncessaire davoir au pralable rempli les tableaux de classification T1, T2 et T3 (voir
paragraphe prcdent).

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques ou
un membre de son quipe.
Sont parties prenantes :

Les responsables dactivit

La Direction juridique

La Direction de la communication

Le RSSI

Livrables
Le livrable est constitu du tableau dimpact intrinsque (onglet Classif de la base).

Processus conseils de mise en uvre


Loption de base, dcrite ci-dessous consiste remplir le tableau dimpact intrinsque standard.
Le processus comprend les lments suivants :

Pour les deux premires parties du tableau dimpact intrinsque (actifs de type services ou
donnes), chaque ligne du tableau dimpact intrinsque correspond un type dactif et
comporte jusqu 3 valeurs dimpact (pour D, I et C) remplir. Chaque valeur correspond
au maximum dune des colonnes de lun des tableaux T1 ou T2 (la colonne ayant le mme
type de dommage pour le mme type dactif). Les automatismes de calcul de Mehari 2010
permettent deffectuer automatiquement les oprations de remplissage du tableau dimpact
intrinsque en reportant la valeur maximum de chaque colonne partir de T1 et T2.

Pour la dernire partie, qui ne comporte quune colonne (E pour Efficience), le mme mode
de calcul est ralis automatiquement partir du tableau T3.

Validation en Comit de Direction

MEHARI 2010 : Guide de la dmarche V2

20/34

CLUSIF 20111

2.2 Le diagnostic de la qualit des services de scurit


2.2.1 tablissement du schma daudit
Objectifs
Les services de scurit sont des fonctions dont la matrialisation, limplmentation, peuvent
revtir des formes varies dans la mme entit, que lon doit considrer alors comme autant de
variantes dun mme service ncessitant des diagnostics diffrencis.
Lobjectif de cette tape est didentifier les variantes pour lesquelles il convient de faire des
diagnostics spars.

Conditions pralables
Il est ncessaire davoir au pralable une bonne connaissance du contexte technique et
organisationnel (tapes 1.1.2 et 1.1.3)

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques ou
un membre de son quipe.
Sont parties prenantes :

Le donneur dordre

Le responsable des services gnraux

La DSI

Le RSSI

Livrables
Le livrable est constitu du schma daudit qui comprend le nombre de variantes par domaine de
diagnostic.

Processus conseils de mise en uvre


Les considrations relatives au schma daudit et les conseils dlaboration du schma sont dcrits
dans le document : Mhari 2010 Guide du diagnostic de ltat des services de scurit .
Le processus comprend les lments suivants :

Analyse, pour chaque domaine du nombre de variantes ncessaires.

Validation du schma daudit complet avec lanimateur de la mission danalyse de risques

MEHARI 2010 : Guide de la dmarche V2

21/34

CLUSIF 20111

2.2.2 Diagnostic de la qualit des services de scurit


Objectifs
Dresser un tat de la qualit de chaque variante de service de scurit. Ce diagnostic densemble
sera utilis pour valuer les facteurs de rduction de risque lors des tapes danalyse et
dapprciation des risques.

Conditions pralables
Il est ncessaire davoir au pralable une bonne connaissance du contexte technique et
organisationnel (tapes 1.1.2 et 1.1.3) et davoir tabli le schma daudit.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables de domaines techniques (services gnraux, Systmes dinformation,


Rseaux, Tlcommunication, Parc de microordinateurs, Scurit applicative,
dveloppements applicatifs, etc.) ou de domaines de management (Juridique, Organisation,
etc.)

La DSI

Le RSSI

Livrables
Le livrable est constitu de fichiers de diagnostics (un par domaine de diagnostic et par variante
de domaine), selon la base de connaissances de Mhari qui comprend 14 domaines de diagnostic
(version 2010).
La feuille Services de la base de connaissance est automatiquement constitue par les rsultats des
diagnostics pour chaque variante et par sous-service de scurit.
Ces fichiers peuvent tre accompagns de synthses aux fins de communication (synthses
graphiques, en particulier).

Processus conseils de mise en uvre


Les conseils relatifs au processus de diagnostic sont donns dans le document : Mhari 2010
Guide du diagnostic de ltat des services de scurit .
Le processus comprend les lments suivants :

Diagnostic de chaque variante de domaine de diagnostic avec le responsable concern.

Corrections et adaptations ventuelles avec les responsables de domaines

tablissement de synthses

Validation en Comit de Direction

MEHARI 2010 : Guide de la dmarche V2

22/34

CLUSIF 20111

2.3 Lapprciation des risques


2.3.1 Slection des scnarios de risque
Objectifs
Faire une slection de scnarios de risques parmi les 800 figurant dans la base de connaissance
afin de limiter lanalyse aux situations pouvant savrer critiques

Conditions pralables
Il est ncessaire davoir effectu au pralable les tapes de la phase prparatoire et la classification
des actifs.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables dactivit

Le RSSI

Livrables
Le livrable est constitu dune fiche de synthse rsumant les options prises et dune liste de
scnarios analyser en dtail (il est possible de soustraire des scnarios en forant la valeur 0 dans
la colonne slection directe de la feuille de calcul Scnarios de la base de connaissances
Mhari 2010).

Processus conseils de mise en uvre


Les indications relatives la slection de scnarios sont donnes dans le document : Mhari 2010
Guide de lanalyse et du traitement des risques .
Le processus comprend les lments suivants :

Dtermination dune stratgie de slection :


 Scnarios dont limpact intrinsque est suprieur une limite (3, par exemple)
 Scnarios dont la gravit intrinsque est suprieure une limite (idem)
 Slection touchant des types dactifs particuliers

Validation en Comit de Direction

Slection effective des scnarios dans la base

MEHARI 2010 : Guide de la dmarche V2

23/34

CLUSIF 20111

2.3.2 Estimation des risques


Objectifs
Dresser un bilan de la gravit des scnarios de risques slectionns, en fonction des facteurs de
rduction de risque dcoulant de ltat des services de scurit.

Conditions pralables
Il est ncessaire davoir au pralable effectu lensemble des tapes prcdemment dcrites.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Est partie prenante :

Le RSSI

Livrables
Le livrable principal est constitu par la base de connaissances Mhari complte, remplie et
finalise.
Cette base contient des synthses, par type dactif et par type dvnements
Des prsentations complmentaires peuvent y tre ajoutes, montrant, par exemple une
cartographie des risques (dans un plan I, P) ou toute autre forme de reprsentation synthtique.

Processus conseils de mise en uvre


Les conseils relatifs au processus destimation des risques sont donns sont donnes dans le
document : Mhari 2010 Guide de lanalyse et du traitement des risques .
Le processus comprend les lments suivants :

Incorporation automatique dans la feuille scnarios, par les formules de la mthode, des
rsultats des diagnostics de ltat des services de scurit.

Possibilit de visualiser rapidement les consquences de valeurs diffrentes pour lImpact


intrinsque (obtenu en 2.1.3) et/ou lexposition naturelle (obtenue en 1.3.2), en forant
dautres valeurs dans les colonnes I dcid et P dcide de la feuille scnarios.

Analyse des scnarios et corrections ventuelles des facteurs de rduction de risques si des
anomalies sont mises en vidence

tablissement de synthses

Prsentation en Comit de Direction

MEHARI 2010 : Guide de la dmarche V2

24/34

CLUSIF 20111

3. Phase de planification et de traitement des risques


La phase de planification et de traitement des risques comprend elle-mme trois tapes
principales.
Ces tapes sont :
3.1 La planification des actions immdiates
3.1.1 Slection des risques traiter en priorit absolue
3.1.2 Choix des mesures mettre en uvre immdiatement
3.2 La planification des mesures dcider dans le cadre courant
3.2.1 Stratgie de traitement et priorits
3.2.2 Choix des mesures et planification
3.3 La mise en place du pilotage du traitement des risques
3.3.1 Organisation du pilotage
3.3.2 Indicateurs et tableau de bord

MEHARI 2010 : Guide de la dmarche V2

25/34

CLUSIF 20111

3.1 La planification des actions immdiates


3.1.1 Slection des risques traiter en priorit absolue
Objectifs
Faire une slection de scnarios de risques devant tre traits en priorit et en dehors du cycle de
dcision habituel.
Le critre de choix prendre en compte est essentiellement le niveau de gravit le plus lev
(niveau 4), mais dautres critres peuvent tre dcids.

Conditions pralables
Il est ncessaire davoir effectu au pralable les tapes de la phase danalyse des risques.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables dactivit

Le RSSI

Livrables
Le livrable est constitu dune fiche rcapitulant les risques intolrables traiter en priorit.

Processus conseils de mise en uvre


Les indications relatives la slection de scnarios sont donnes dans le document : Mhari 2010
Guide de lanalyse et du traitement des risques .
Le processus comprend les lments suivants :

Dtermination dune stratgie de slection :


 Scnarios dont la gravit intrinsque atteint le niveau maximal (4)
 Autres critres ventuels retenus

Validation auprs des Responsables dactivit

Slection effective des scnarios dans la base

MEHARI 2010 : Guide de la dmarche V2

26/34

CLUSIF 20111

3.1.2 Choix des mesures mettre en uvre immdiatement


Objectifs
Proposer la Direction Gnrale des actions immdiates pour rduire les risques considrs
comme intolrables. Lobjectif nest pas forcment de rendre directement acceptables les risques
rsiduels mais au moins de les faire passer du stade dintolrable (gravit de niveau 4) au stade
dinadmissible (niveau 3) quitte grer, dans une phase ultrieure, leur passage du niveau 3 un
niveau infrieur.

Conditions pralables
Il est ncessaire davoir effectu au pralable les tapes de la phase danalyse des risques.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables dactivit

Le RSSI

La Direction Gnrale

Livrables
Le livrable est constitu de plans daction : un plan par risque intolrable rduire.

Processus conseils de mise en uvre


Pour ces risques trs critiques, lessentiel est de pouvoir agir rapidement.
Le processus comprend les lments suivants :

Dtermination dune stratgie daction :


 Transfert ou Acceptation (signifis par la lettre T ou A dans la colonne (Scn.
Accept ou transfr) de la feuille Scnarios). La gravit des scnarios correspondants
devenant automatiquement nulle.
 vitement (par des mesures organisationnelles)
 Rduction (par des mesures techniques ou organisationnelles)

Choix de mesures rapides mettre en uvre.

Planification et chiffrement des dpenses engager

Validation prliminaire avec les Responsables dactivit

Validation en Comit de Direction ou auprs de la Direction Gnrale

MEHARI 2010 : Guide de la dmarche V2

27/34

CLUSIF 20111

3.2 La planification des actions dcider dans le cadre courant


3.2.1 Stratgie de traitement et priorits
Objectifs
Faire un choix dans les stratgies de traitement possibles, et les critres prendre en compte pour
fixer des priorits, en considrant que lon ne pourra gnralement pas sattaquer tous les
risques inadmissibles simultanment.
Au-del dun premier niveau de slection li la gravit des risques (on considre en priorit les
risques de niveau 3), les aspects considrer peuvent tre :

La rapidit de mise en uvre (permettant dobtenir rapidement des rsultats et de motiver


lencadrement)

Loptimisation des cots

Loptimisation des dlais

Loptimisation des moyens humains ncessaires la mise en uvre des plans daction

Limpact (favorable ou dfavorable) sur les utilisateurs

Le choix de thmes particuliers (secours, sauvegardes, contrle daccs, etc.) pour leur
impact sur la sensibilisation des utilisateurs,

Etc.

Conditions pralables
Il est ncessaire davoir effectu au pralable les tapes de la phase danalyse des risques.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables dactivit

La DSI

Le RSSI

Livrables
Le livrable est constitu dune fiche rcapitulant la stratgie de traitement et les priorits.

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

valuation des avantages et inconvnients de chaque option

Dbat et arbitrage prliminaire avec les responsables dactivit, et les acteurs concerns

Validation en Comit de Direction

MEHARI 2010 : Guide de la dmarche V2

28/34

CLUSIF 20111

3.2.2 Choix des mesures et planification


Objectifs
Proposer au Comit de Direction des plans daction (gnralement pluriannuels) pour rduire ou
viter les risques considrs comme inadmissibles (niveau 3).
Lobjectif nest pas forcment de sattaquer simultanment tous les risques inadmissibles mais
davoir un plan densemble, ventuellement sur plusieurs annes, en fonction des priorits
prcdemment dcides.

Conditions pralables
Il est ncessaire davoir effectu au pralable les tapes de la phase danalyse des risques.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables dactivit

La DSI

Le RSSI

La Direction Gnrale

Livrables
Le livrable est constitu de plans daction, gnralement regroups par projets.

Processus conseils de mise en uvre


Pour ces risques inadmissibles, lessentiel est de pouvoir dcider, selon le cycle habituel de
dcision, les actions engager..
Le processus comprend les lments suivants :

Choix de mesures mettre en uvre (lors du droulement de ce processus, plusieurs


dmarches sont possibles : voir le guide de lanalyse et du traitement des risques).

Planification et chiffrement des dpenses engager

Prsentation des objectifs en terme de risques et dvolution des risques dans le temps

Validation prliminaire avec les Responsables dactivit et la DSI

Validation en Comit de Direction (selon le cycle habituel darbitrage)

MEHARI 2010 : Guide de la dmarche V2

29/34

CLUSIF 20111

3.3 La mise en place du pilotage du traitement des risques


3.3.1 Organisation du pilotage
Objectifs
Mettre en place lorganisation de suivi et de pilotage du traitement des risques et, notamment :

Les membres du Comit de pilotage

Sa prsidence

La frquence des runions de pilotage

Les missions du Comit

Conditions pralables
Il est ncessaire davoir effectu au pralable les tapes de la phase de planification puis de
dploiement.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables dactivit

La DSI

Le RSSI

Livrables
Le livrable est constitu dune fiche rcapitulant lorganisation du pilotage du traitement des
risques.

Processus conseils de mise en uvre


Le processus comprend les lments suivants :

Proposition dorganisation labore par le responsable de la mission, avec le RSSI

Choix des membres du Comit

Validation en Comit de Direction

MEHARI 2010 : Guide de la dmarche V2

30/34

CLUSIF 20111

3.3.2 Choix des Indicateurs et du tableau de bord


Objectifs
Proposer au Comit de Pilotage un ensemble dindicateurs et un tableau de bord permettant de :

Vrifier le dploiement des mesures dcides et lavancement des projets

Vrifier lvolution des niveaux de risques

Dcider des actions correctrices ncessaires

Conditions pralables
Il est ncessaire davoir dfini au pralable les missions du Comit de pilotage et sa composition.

Acteurs et parties prenantes


Lanimateur de la tche est le responsable de la mission danalyse et de traitement des risques.
Sont parties prenantes :

Les responsables dactivit

La DSI

Le RSSI

Livrables
Le livrable est constitu dun projet de tableau de bord et de la liste des indicateurs qui seront
utiliss.

Processus conseils de mise en uvre


Les indicateurs devraient tre choisis de manire permettre tant un suivi court terme
(avancement, difficults rencontres, suivi du budget, etc.) quune vision globale et moyen et
long terme (nombre de situations de risques par niveau, prvisions pluriannuelles, etc.)
Le processus comprend les lments suivants :

Choix des indicateurs.

Dfinition du tableau de bord.

Validation prliminaire avec les Responsables dactivit et la DSI

Validation en Comit de Direction

MEHARI 2010 : Guide de la dmarche V2

31/34

CLUSIF 20111

Annexe A
Table de correspondance Mehari 2010 - ISO/IEC 27001:2005
Objectifs :
o Rappeler la liste de contrle des activits de lanalyse de risque Mehari.
o Pouvoir suivre ainsi la progression des tapes de lanalyse de risque.
o Mettre cette liste en regard des activits requises pour implmenter un SMSI

N
1
1.1
1.1.1
1.1.2
1.1.3
1.2
1.2.1
1.2.2
1.2.3
1.3
1.3.1
1.3.2
1.3.3
2
2.1
2.1.1
2.1.2
2.1.3
2.2
2.2.1
2.2.2
2.3
2.3.1
2.3.2
3
3.1
3.1.1
3.1.2
3.2

Dmarche Mehari 2010


Etape
Phase prparatoire
Prise en compte du contexte
Contexte stratgique
Contexte technique
Contexte organisationnel
Cadrage de la mission
Primtre technique
Primtre organisationnel
Structure de pilotage
Fixation des paramtres techniques
Grille dacceptabilit des risques
Grille des expositions naturelles
Grille des potentialits et des impacts
rsiduels
Phase oprationnelle
Analyse des enjeux et classification des
actifs
Echelle de valeur des dysfonctionnements
Classification des actifs
Tableau dimpact intrinsque
Diagnostic de la qualit des services de
scurit
Etablissement du schma daudit
Diagnostic de la qualit des services de
scurit
Apprciation des risques
Slection des scnarios de risque
Estimation des risques
Phase de planification et de traitement des
risques
Planification des actions immdiates
Slection des risques traiter en priorit
absolue
Choix des mesures mettre en uvre
immdiatement
Planification des mesures dcider dans le

MEHARI 2010 : Guide de la dmarche V2

32/34

ISO/IEC 27001

PDCA

4.2.1.b
4.2.1.a
4.2.1.c

P
P
P

4.2.1.a
4.2.1.a
5.1

P
P

4.2.1.e
4.2.1.d
4.2.1.e

P
P
P

4.2.1.e
4.2.1.d
4.2.1.e

P
P
P

Absent
4.2.3.e

C
C

Absent
4.2.1.d

P
P

Absent

4.2.1.f, 4.2.1.g

CLUSIF 20111

Dmarche Mehari 2010


Etape
cadre courant
3.2.1 Stratgie de traitement et priorits

ISO/IEC 27001

PDCA

4.2.1.f, 4.2.2
partiel
4.2.1.g, 4.2.1.i,
4.2.2 partiel

3.2.2 Choix des mesures et planification


Mise en place du pilotage du traitement des
risques
3.3.1 Organisation du pilotage
3.3.2 Indicateurs et tableau de bord

P, D
P, D

3.3

4.2.3 partiel
4.2.4 partiel

C
A

Par ailleurs, les lments du SMSI concernant la documentation ( 4.3 de la norme ISO 27001) et
les responsabilits du management ( 5 de la norme) sont abords dans chacune des tapes de
Mehari (en particulier lors de la phase danalyse et lors du diagnostic des services de scurit)

MEHARI 2010 : Guide de la dmarche V2

33/34

CLUSIF 20111

LESPRIT DE LCHANGE

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS


11, rue de Mogador
75009 Paris
 01 53 25 08 80
clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur

www.clusif.asso.fr