Des méthodes de management de risque

Il existe divers types de normes de sécurité informatique qui spécifient les méthodes de management de risque ; Ces normes proviennent principalement d‘organismes de normalisation internationaux et gouvernementaux, d’universités ou de milieux associatifs ou privés.

Chaque norme donne lieu à des outils d’analyse, généralement des logiciels gratuits ou payants, assistant la vérification des normes. Nous allons voir Méhari, une des principales normes, et en donner une description.

Mehari (MEthode Harmonisée d’Analyse de RIsques) est développée depuis 1995 par le CLUSIF, elle dérive des méthodes Melisa et Marion. Elle est utilisée par de nombreuses entreprises publiques et privées dans sa version française et anglaise.
Mehari est basée sur des spécifications s’articulant sur trois grands axes complémentaires :
- L’identification des risques : Qui comprend l’identification des actifs, des menaces, des mesures existantes, des vulnérabilités et des conséquences. Cela se fait suivant un processus défini comme suit :

Le « besoin de l’activité », point de départ du processus repose sur l’identification des besoins de services, de données (nécessaires aux services) ainsi qu’au besoin de conformité des comportements au référentiel. Après l’identification des actifs dits « primaires », on identifie leurs différentes formes et contingence qui donnent les actifs « secondaires » pour lesquels s’applique le reste du processus jusqu’à préciser les risques à évaluer.
- L’estimation des risques : Elle tient compte des facteurs structurels (liés à l’activité de l’organisme), des mesures de sécurité mises en œuvre et de la qualité de ces mesures.
Elle combine l’analyse des causes et des conséquences possibles pour évaluer la gravité d’un scénario suivant sa potentialité et son impact.

- La gestion des risques : Elle s’appuie sur les différentes étapes précédentes et vise à répondre aux objectifs déterminés (Services de sécurité à améliorer, niveaux de qualité cibles, etc.…)

Mehari est basée sur trois types de livrables :
- Le Plan Stratégique de Sécurité (PSS) fixe les objectifs ainsi que les métriques qui permettent de les mesurer. Il définit la politique et les grands axes de sécurité du SI pour ses utilisateurs.
- Les Plans Opérationnels de Sécurité (POS) décrivent les mesures de sécurité spécifiques à mettre en œuvre, en élaborant des scénarios de compromission et via un audit des services du SI. Ceci permet d’évaluer chaque risque (probabilité – impact) et par la suite d’exprimer les besoins de sécurité et les mesures de protections.
- Le Plan Opérationnel d’Entreprise (POE) assure le management de risque par la conception d’indicateurs sur les risques identifiés et des scénarios contre lesquels il faut se protéger.

Mehari repose sur un modèle de risque donnant lieu à des métriques pour estimer les paramètres liés aux risques :

- Niveaux de qualité des services.
- Facteurs de réduction de risques.
- Effets de la combinaison des services.
- Estimation de la gravité du risque.
- …

Cependant, il est à souligner que le CLUSIF spécifie le concept de “confiance raisonnée” pour Méhari : Les mécanismes de calcul peuvent donner une fausse impression de précision, le modèle reposant sur un principe de prudence…

En plus de Mehari, il existe plusieurs normes utilisées dont Ebios (DCSSI – 1995), Octave (Carnegie Mellon University – 1999), Cramm (Siemens – 1986). Ces normes intègrent de plus en plus des normes externes dans leurs plus récentes versions. Ainsi Mehari a intégré la norme ISO 27005 dans sa version 2010.

Bibliographie:
- Projet de sécurité des réseaux, Marc Rozenberg, Université Val D’Essonne.
- http://cyberzoide.developpez.com/securite/methodes-analyse-risques
- Site CLUSIF : http://www.clusif.asso.fr , Mehari téléchargeable gratuitement.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>