Etude du “logiciel” MEHARI

Contrairement au logiciel EBIOS qui nécessite une installation complète et qui utilise la technologie Adobe Air, l’outil proposé par MEHARI se présente comme un fichier de calcul Excel/OpenOffice permettant de couvrir tous les aspects de l’audit de sécurité. Ce dernier est accompagné d’un guide, le « Manuel de référence de la base de connaissances MEHARI 2010 » expliquant comment utiliser chaque feuille de calcul.

En effet, pour chacun des aspects de l’audit, on a une feuille de calcul associée.

Feuille de presentation

Feuille de calcul de présentation de l’outil

On navigue donc entre ces feuilles afin de remplir toutes les données nécessaires à l’audit de sécurité.

Aperçu des onglets d’accès aux feuilles de calcul

L’onglet « nav » nous présente notamment la structure de la base de connaissances MEHARI qui fait partie de l’outil.

Schéma de l’organisation de la base des connaissances MEHARI

Analyse des enjeux et de la classification des actifs

Les premières données à entrer dans l’outil tiennent au remplissage des onglets T1, T2 et T3 qui permettent d’entrer les exigences de sécurité respectivement  pour les types de données, les services et les processus de management issus de l’analyse des enjeux et du processus de la classification des actifs.

Les niveaux de classification des actifs à auditer sont ensuite référencés via l’onglet noté « classif », dans lequel on peut décider d’exclure certains actifs de l’audit et en conséquence de ne pas considérer les scénarios de risques associés à ces actifs.

Diagnostic des services de sécurité

On commence ensuite l’audit à proprement parler puisque les onglets suivants, numérotés de 1 à 14 constituent les questionnaires d’audit.

Les résultats de ces questionnaires sont synthétisés dans trois feuilles : les résultats des diagnostics par service, le récapitulatif par « thème » de sécurité et le score ISO, c’est-à-dire les résultats des diagnostics selon la classification ISO 27001/27002.

Evaluation des risques

Pour évaluer les risques, on commence par une évaluation de l’exposition naturelle aux risques, puis on envisage les différents scenarios à prendre en compte pour notre système.

Exemple de l’onglet Risk%actif

Via les onglets Risk%actif et Risk%event, on étudie la gravité des scénarios respectivement par type d’actif et par type d’évènement.

Préparation des plans d’actions

Après l’analyse, l’action ! Les onglets suivant permettent en effet de préparer les mesures à mettre en œuvre pour pallier aux manques de notre système. On a donc un récapitulatif des scénarios et des plans d’action que l’on peut mettre en place, puis, une fois la décision des plans à mettre en place prise, on revoit les objectifs de chaque plan et de chaque projet.

Exemples des vulnérabilités, grilles de paramétrage, etc.

Enfin, on a des onglets « annexes » permettant d’accéder à des conseils ou des exemples supplémentaires pour optimiser notre audit.

Conclusion.
Le “logiciel” MEHARI permet d’établir le contexte (délimitation du périmètre et cadrage de l’étude), d’apprécier les risques (identification, estimation et comparaison) et de planifier et suivre le traitement des risques (mesures et risques résiduels). C’est un outil utile pour appliquer la méthode MEHARI, méthode reconnue de gestion des risques de sécurité des systèmes d’information (SSI).

La norme ISO 17799 et les méthodes d’audit

Avant de vous parler des différentes méthodes d’audit et d’amélioration de la sécurité des systèmes d’informations, nous allons découvrir ensemble la norme ISO 17799 qui constitue les « best practice », les règles de bonnes conduites à suivre et les objectifs à atteindre pour avoir une bonne sécurité informatique.

Présentation de la norme ISO 17799

Internationale, la norme ISO 17799, crée en 2005, établit des lignes directrices et des principes généraux pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l’information au sein d’un organisme.

Ce code de bonne pratique est subdivisé en différentes 10 chapitres (cf ci-dessous).

Chapitre 1 : Politique de sécurité

La politique de sécurité donne des définitions claires de la sécurité de l’information (SI), une explication des principes de sécurité, évoque l’implication de la direction de l’organisme et les modalités de déclaration des incidents de sécurité.

On retiendra que les facteurs clé de succès de la mise en œuvre d’une politique de sécurité de l’information sont :

  • la mise en œuvre de la gestion de la SI compatible avec la culture de l’organisation
  • un soutien et un engagement réel et visible de la direction de l’organisme
  • une bonne compréhension des exigences de sécurité
  • une bonne communication interne (auprès des employés et des responsables) (présentation – formations – campagnes de sensibilisation)
  • une bonne communication externe de la politique de SI (auprès des fournisseurs par exemple)
  • un système de mesures pour évaluer l’efficacité de la gestion de la sécurité

Chapitre 2 : Organisation de la sécurité

Des groupes de travail devront être mis en œuvre, avec l’appui de la direction, pour approuver la politique de sécurité de l’information, pour assigner des rôles de sécurité et pour coordonner la sécurité dans l’organisme.

Chapitre 3 : Classification et contrôle des actifs

La norme préconise qu’un propriétaire soit identifié pour chaque actif principal (exemple: Données client, données achat, …) de façon à s’assurer qu’un niveau de protection approprié de cet actif soit mis en œuvre. Ce propriétaire d’information sera responsable de la mise en œuvre des contrôles appropriés et même si la réalisation des contrôles peut être déléguée, la responsabilité finale vis-à-vis de cet actif devra demeurer chez le propriétaire désigné.

Le processus de réalisation de l’inventaire des actifs est un aspect important de la gestion des risques. Un organisme doit pouvoir identifier ses actifs, ainsi que leur valeur et importance relatives.

Chapitre 4 : Sécurité liée au personnel

La norme ne se réduit pas à une norme technique, elle met beaucoup l’accent sur la culture de la sécurité de l’entreprise et notamment celle liée à son personnel, notamment lors de la procédure de recrutement, des contrats d’embauche et de la formation à la sécurité (connexions et déconnexion aux applicatifs, politique de mots de passe, signalement des incidents de sécurité, processus disciplinaire).

Chapitre 5 : Sécurité physique et de l’environnement

Sécurité Physique :

La sécurité physique est un sujet de fond dans la sécurité de l’information. La norme préconise la création de différents niveaux de sécurisation de zone, la mise en place de systèmes de contrôle d’accès, la séparation des zones de livraison…

Sécurité du matériel informatique :

La norme aborde les thèmes liés à la sécurité des serveurs et de leur environnement (gestion des alimentations électriques, politique pour limiter l’utilisation de boisson et de nourriture, procédure de sortie des matériels informatiques des locaux…)

Des points plus sensibles sont abordés comme par exemple : comment effacer définitivement les données ?

Chapitre 6 : Sécurité de l’exploitation et des réseaux

Dans ce chapitre, deux grands thèmes sont décrits :

  • les thèmes liés à la sécurisation de l’exploitation de l’information (évolutions des systèmes d’information, gérer les incidents de sécurité, séparation des fonctions à risques…)
  • la sécurité des réseaux au sens large véhiculant l’information, notamment toute la sécurité des échanges et les moyens associés (scellement, cryptographie, signature électronique…)

Chapitre 7 : Contrôles d’accès logique

Ce chapitre décrit la politique à mettre en œuvre pour structurer la gestion des accès au système d’information pour les utilisateurs de l’organisme, mais également pour les systèmes externes qui se connectent automatiquement à des applications.

Deux thèmes sont abordés :

  • la gestion des mots de passe
  • la gestion des accès logiques

Chapitre 8 : Développement et maintenance des systèmes d’information

Ce chapitre traite des infrastructures informatiques, des applications de l’entreprise et également des applications développées par les utilisateurs. Mais aussi de la politique sur l’utilisation des mesures cryptographiques : cette partie décrit l’ensemble du processus organisationnel à mettre en œuvre pour assurer une bonne utilisation du cryptage, des signatures numériques, des services de non répudiation et de la gestion des clés.

Chapitre 9 : Continuité d’activité

Quelles que soient les probabilités de risques, les dirigeants doivent pouvoir engager des moyens pour garantir la continuité de l’activité et en particulier, la permanence de la relation client. Sans système d’information, l’entreprise a en effet bien du mal à réorganiser ses processus. Cette conception dépasse la reprise sur le seul sinistre du système d’information : elle vise à réunir pour chaque collaborateur un emplacement de travail, un téléphone, et un poste de travail.

Chapitre 10 : La gestion de la conformité

Comme l’ISO 177999 est une norme internationale, l’identification de la législation applicable au pays est la première tâche. Il convient ensuite de définir explicitement et documenter les exigences légales, réglementaires et contractuelles pour chaque système d’information. (propriété intellectuelle, droits d’auteur, copyright des logiciels, protection des données personnelles…)

Présentation de la méthode EBIOS
(Expression des besoins et identification des objectifs de sécurité)

La méthode EBIOS a été développée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Les réflexions de cette méthode sont menées à un niveau davantage fonctionnel que technique et elle fournit les éléments nécessaires à la validation formelle par une autorité de la gestion, la surveillance et la revue des risques.

La méthode se présente en cinq étapes :

  1. L’étude du contexte
  2. L’étude des évènements redoutés
  3. L’étude des scénarios de menaces
  4. L’étude des risques
  5. L’étude des mesures de sécurité

1 – Étude du contexte

Objectif : définir précisément le contexte de l’étude et ses enjeux.

Cette étape permet de formaliser le cadre de gestion des risques, d’identifier, de délimiter et de décrire le périmètre de l’étude, ses enjeux, son contexte d’utilisation, ses contraintes spécifiques

Cette étape se décompose en trois sous-activités :
– Définir le cadre de la gestion des risques
– Préparer les métriques
– Identifier les biens

2 – Étude des évènements redoutés

Objectif : identifier de manière systématique les scénarios génériques que l’on souhaite éviter concernant le périmètre de l’étude.

Il permet tout d’abord de faire émerger tous les évènements redoutés en identifiant et combinant chacune de leurs composantes : on estime ainsi la valeur de ce que l’on souhaite protéger (les besoins de sécurité des biens essentiels), on met en évidence les sources de menaces auxquelles on est confronté et les conséquences (impacts) des sinistres.  Il permet également de recenser les éventuelles mesures de sécurité existantes et ré-estimer la gravité des évènements redoutés, une fois les mesures de sécurité appliquées.

3 – Étude des scénarios de menaces

Objectif : identifier de manière systématique les modes opératoires génériques qui peuvent porter atteinte à la sécurité des informations du périmètre de l’étude (scénarios de menaces).

Il permet tout d’abord de faire émerger tous les scénarios de menaces : on met en évidence les différentes menaces qui pèsent sur le périmètre de l’étude, les failles exploitables pour qu’elles se réalisent (les vulnérabilités des biens supports). Il permet également de recenser les éventuelles mesures de sécurité existantes et ré-estimer la vraisemblance des scénarios de menaces, une fois les mesures de sécurité appliquées.

4 – Étude des risques

Objectif : mettre en évidence de manière systématique les risques pesant sur le périmètre de l’étude, puis de choisir la manière de les traiter en tenant compte des spécificités du contexte.

Il s’agit ici d’identifier les scénarios réellement pertinents vis-à-vis du périmètre de l’étude. Il permet en outre de les qualifier explicitement en vue de les hiérarchiser et de choisir les options de traitement adéquates.

Cette étape est constitué de deux sous-activités :
– Apprécier les risques
– Identifier les objectifs de sécurité

5 – Étude des mesures de sécurité

Objectif : déterminer les moyens de traiter les risques et de suivre leur mise en œuvre.

Il permet de trouver un consensus sur les mesures de sécurité destinées à traiter les risques, d’en démontrer la bonne couverture, et enfin, d’effectuer la planification, la mise en œuvre et la validation du traitement.

Cette étape est constitué de deux sous-activités :
– Formaliser les mesures de sécurité à mettre en œuvre
– Mettre en œuvre les mesures de sécurité

De plus, cette méthode propose un certain nombre d’outils : Des guides pratiques pour mettre en oeuvre la méthode, un logiciel libre et gratuit, une formation, des études de cas et le club EBIOS, une association à but non lucratif qui permet de favoriser les échanges d’expériences, l’homogénéisation des pratiques et la vérification de la satisfaction des besoins des usagers.

L’année dernière, la méthode MEHARI (Méthode harmonisée d’analyse des risques) avait été étudiée. Faisons une comparaison de la méthode EBIOS et de MEHARI.

MEHARI vs EBIOS

EBIOS

MEHARI

Publié en 1997, créée en 1995

développée depuis 1995

Structure

Étude du contexte

1. L’identification des risques

Étude des événements redoutés

Étude des scénarios de menaces

Étude des risques

2. L’estimation des risques

Étude des mesures de sécurité

3. La gestion des risques

Outils

Guide pratique

Documents pratiques

Logiciel libre et gratuit

Logiciel gratuit

Formation

Vidéos

Etudes de cas

Outils de calculs Excel intégrés au logiciel

Club EBIOS

 

Finalement, on se rend compte que ces deux méthodes abordent les même sujets, mais peut être sous un angle un peu plus fonctionnel pour la méthode EBIOS et plus “managériale” pour la méthode MEHARI.

Un petit mot sur la “méthode” FEROS (Fiche d’Expression Rationnelle des Objectifs de Sécurité )

Lors de nos recherches, nous avons vu la “méthode FEROS” évoquée quasiment au même niveau que les méthodes EBIOS, MEHARI (ou MARION et MELISA, les méthodes “mères” de MEHARI), alors qu’une FEROS est en fait un document obligatoire (dans le cas de systèmes traitant des informations classifiées de défense) ou recommandé qui consiste à formaliser tous les éléments nécessaires à l’acceptation du système par une autorité. Il présente donc non seulement tous les objectifs de  sécurité du système étudié et les risques résiduels, mais aussi la démarche et l’argumentation qui a permis de les identifier.

De plus, la réalisation d’une FEROS est adaptée à l’utilisation de EBIOS, c’est donc ce qu’on pourrait considérer comme une annexe à la méthode EBIOS, même s’il est possible de réaliser une FEROS après avoir utilisé une autre méthode. En décidant de réaliser une FEROS, il faut cependant avoir utilisé une méthode d’audit de sécurité.

Pour conclure, si on sécurise un système d’information grâce à une méthode telle que MEHARI ou EBIOS, l’utilisation de la norme ISO 17799 pourrait faire l’objet d’une utilisation pour la vérification des bonnes pratiques des règles de sécurité établies grâce aux méthodes.

Le lecteur avide de savoir anglophone pourra s’intéresser à la norme OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), mais nous avons trouvé que l’étude de cette méthode n’était pas nécessaire pour cet article.

Sources :
Site de l’agence nationale de la sécurité de l’information
Wikipédia
Projet de sécurité des réseaux, Marc ROZENBERG, université d’Evry
Site du clusif (Club de la Sécurité de l’Information Français)

Plans de sécurité informatique de Jean-Baptiste CLAVEL et Adrien THIERY est mis à disposition selon les termes de la licence Creative Commons Attribution – Pas d’Utilisation Commerciale 3.0 non transposé