METHODESMEHARI 2010Manuel de référence de la base de connaissances MEHARI 2010DB-Mehari_2010_Exc_FR_2-14.xlsPour Excel , L...
RemerciementsLe CLUSIF tient à mettre ici à lhonneur les personnes qui ont rendu possible la réalisation de cedocument, to...
MEHARI 2010 : Manuel de référence 5/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Sommaire1 Feuilles de cal...
MEHARI 2010 : Manuel de référence 6/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 20121 Feuilles de calcul cont...
MEHARI 2010 : Manuel de référence 7/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 20122 Description générale de...
MEHARI 2010 : Manuel de référence 8/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Onglet ObjectifIntro Desc...
MEHARI 2010 : Manuel de référence 9/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Ligne 3 : indique le crit...
MEHARI 2010 : Manuel de référence 10/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012— Colonne B : libellé du...
MEHARI 2010 : Manuel de référence 11/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012est en effet possible, d...
MEHARI 2010 : Manuel de référence 12/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012correspondants— Colonne ...
MEHARI 2010 : Manuel de référence 13/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012— Colonnes V à Y : évalu...
MEHARI 2010 : Manuel de référence 14/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012A cette fin, des liens h...
MEHARI 2010 : Manuel de référence 15/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Les services de sécurité...
MEHARI 2010 : Manuel de référence 16/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012— Colonnes K à AX : Ces ...
MEHARI 2010 : Manuel de référence 17/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 20123 Traitements et calculs...
MEHARI 2010 : Manuel de référence 18/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Les scores sont calculés...
MEHARI 2010 : Manuel de référence 19/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Feuille ExpoL’exposition...
L ’ E S P R I T D E L ’ É C H A N G ECLUB DE LA SÉCURITÉ DE LINFORMATION FRANÇAIS11, rue de Mogador75009 Paris01 53 25 08 ...
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
Prochain SlideShare
Chargement dans…5
×

Mehari 2010-manuel-de-reference-2-14

1 251 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 251
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
35
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Mehari 2010-manuel-de-reference-2-14

  1. 1. METHODESMEHARI 2010Manuel de référence de la base de connaissances MEHARI 2010DB-Mehari_2010_Exc_FR_2-14.xlsPour Excel , LibreOffice ou OpenOffice30 mars 2012Espace MéthodesCLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS11, rue de Mogador, 75009 PARISTél. : +33 1 53 25 08 80 – Fax : +33 1 53 25 08 88 – e-mail : clusif@clusif.asso.frWeb : http://www.clusif.asso.fr
  2. 2. RemerciementsLe CLUSIF tient à mettre ici à lhonneur les personnes qui ont rendu possible la réalisation de cedocument, tout particulièrement :Olivier Corbier Docapost Responsable de l’Espace MéthodesJean-Philippe Jouas Responsable du Groupe de Travail Principes, Mécanismes etBases de connaissances de MEHARIJean-Louis Roule Responsable du Groupe de Travail Documentation de MEHARIDominique Buc BUC S.A.Annabelle Travers-Viaud BULL SASLouise Doucet Ministère des Services gouvernementaux du QuébecMartine Gagné HydroQuébecMoïse Hazzan Ministère des Services gouvernementaux du QuébecChantale Pineault AGRMLuc Poulin CRIMPierre Sasseville Ministère des Services gouvernementaux du QuébecClaude Taillon Ministère de lÉducation, du Loisir et du Sport du QuébecMarc Touboul BULL SASMEHARI est une marque déposée par le CLUSIF.La loi du 11 mars 1957 nautorisant, aux termes des alinéas 2 et 3 de larticle 41, dune part, que les "copies ou reproductionsstrictement réservées à lusage privé du copiste et non destinées à une utilisation collective" et, dautre part, que les analyseset les courtes citations dans un but dexemple et dillustration, "toute représentation ou reproduction intégrale, ou partielle, fai-te sans le consentement de lauteur ou de ayants droit ou ayants cause est illicite" (alinéa 1er de larticle 40)Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par lesarticles 425 et suivants du Code Pénal
  3. 3. MEHARI 2010 : Manuel de référence 5/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Sommaire1 Feuilles de calcul contenues dans le classeur.......................................................................................... 62 Description générale des feuilles de calcul utilisées............................................................................... 72.1 Appellation des feuilles de calcul..................................................................................................... 72.2 Feuille Intro......................................................................................................................................... 72.3 Feuille Dossier.................................................................................................................................... 82.4 Feuille Licence.................................................................................................................................... 82.5 Feuilles de classification T1(données), T2 (services) et T3(processus de management........... 82.6 Feuille Classif...................................................................................................................................... 92.7 Feuilles de diagnostic des services de sécurité ............................................................................... 92.8 Feuille Services .................................................................................................................................102.9 Feuille Thèmes..................................................................................................................................112.10 Feuille Score ISO...........................................................................................................................112.11 Feuille Expo....................................................................................................................................112.12 Feuille Scénarios.............................................................................................................................122.13 Feuille Risk%actif...........................................................................................................................132.14 Feuille Risk%event.........................................................................................................................142.15 Feuille Plans_action.......................................................................................................................142.16 Feuille Obj_PA...............................................................................................................................152.17 Feuille Obj_Projets........................................................................................................................152.18 Feuille Vulnérabilités types...........................................................................................................162.19 Feuille Grilles_IP ...........................................................................................................................162.20 Feuille Gravité ................................................................................................................................162.21 Feuille Corr_Services.....................................................................................................................162.22 Feuille Codes ..................................................................................................................................163 Traitements et calculs effectués..............................................................................................................173.1 Traitements et fonctions utilisées ..................................................................................................173.2 Macros (sous Excel).........................................................................................................................19
  4. 4. MEHARI 2010 : Manuel de référence 6/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 20121 Feuilles de calcul contenues dansle classeurLes feuilles de calcul contenues dans le classeur distribué par le CLUSIF sont de plusieurs types:— Des feuilles générales de mise en œuvre :IntroDossierNavLicence— 4 feuilles relatives aux résultats de l’analyse des enjeux et de la classification des actifs :T1, T2 et T3 : exigences de sécurité pour les processus métiers et transversesClassif : report des niveaux de classification des actifs à partir de T1, T2 et T3— Des feuilles relatives au diagnostic des services de sécurité01 Org à 14 ISM : feuilles de questionnaires de diagnostic (une par domaine)Services : feuille récapitulative des résultats des diagnostics par serviceThèmes : feuille récapitulative, par « thème » de sécuritéScore ISO : résultats des diagnostics selon la classification IS0 27001/27002 et ta-ble de déclaration d’applicabilité (SOA)— Des feuilles relatives à l’évaluation des risques :Expo : feuille d’évaluation de l’exposition naturelle aux risquesScénarios : feuille descriptive des scénariosRisk%actif et Risk%event : feuilles récapitulatives de la gravité des scénarios partype d’actif et par type d’événement— Des feuilles relatives à la préparation de plans d’action :Plans_d’action : Récapitulatif des scenarios par famille et des plans d’action possi-blesObj_PA : Récapitulatif des objectifs issus des plans d’actionObj_Projets : objectifs par projet— 4 feuilles d’éléments permanents et de paramétrage de la méthode :Vulnérabilités types2 feuilles de paramétrage : Grille-IP et Gravité1 feuille de correspondance entre les services de MEHARI 2010 et de MEHARI20071 feuille de codes (masquée) servant dans la description des scénariosLe fichier peut être ouvert soit avec Excel soit avec Open Office (version 3.1 ou plus).
  5. 5. MEHARI 2010 : Manuel de référence 7/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 20122 Description générale des feuillesde calcul utiliséesConventions utilisées pour ce document:— Texte normal pour la description de la feuille,— Exprime la possibilité d’entrer normalement des données pour effectuer l’analyse de risque— Exprime une possibilité additionnelle plus experte dans le traitement des résultats.2.1 Appellation des feuilles de calculLes feuilles de calcul ont des appellations qui sont reprises dans les descriptions ci-dessous, maiségalement par les fonctions de calcul utilisées pour la mise à jour des bases. Il est donc demandéde ne pas les changer (sinon il faut intervenir sur les fonctions).Cependant, il est possible, lors d’un travail d’analyse MEHARI, d’ajouter des feuilles pour décriredes éléments de suivi ou de description des actions et des intervenants impliqués ou de créer unautre fichier (tableur ou autre) destiné à constituer un dossier de la démarche.Les feuilles sont protégées, sauf pour les cellules pouvant être utilisées pour entrer les résultats,explications ou commentaires obtenus par l’équipe d’analyse de risque. Il est expressémentdemandé de ne pas retirer la protection des feuilles sans raison majeure.Par convention, une cellule est désignée par le couple («numéro de ligne», «lettre de colonne»).Exemple : 21,D.Le nom du classeur lui-même est indifférent.2.2 Feuille IntroLa feuille Intro donne des indications sur les feuilles (ou onglets) et sur l’utilisation de la base.Sous Excel-Windows, il est possible de masquer, en fonction des phases de travail (enjeux, dia-gnostic, analyse, traitement, paramétrage), certaines feuilles de calcul par groupe.Nota : Les utilisateurs ayant refusé d’activer les macros au chargement de la base n’ont pas accèsà cette fonction. Ils peuvent cependant masquer ou démasquer des feuilles de calcul en utilisantles fonctions standard du tableur.
  6. 6. MEHARI 2010 : Manuel de référence 8/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Onglet ObjectifIntro Description et navigation entre les onglets du fichier de la base de connaissanceLicence Rappel de la licence Publique de MEHARIT1, T2 et T3 Tableaux de classificationClassif Classification des actifsDomaines 01 Org à 14 MSI Questionnaires relatifs aux domaines (01 à 14) de sécurité MEHARIServices Récapitulé de la qualité des services de sécurité (avec variantes)ThèmesThèmes de sécurité Mehari : regroupement des services et sous-services en 10 centresd’intérêts et 18 axes de représentationScore ISO Table de scoring ISO 27002 suite au diagnostic des services MehariExpo Tableau des expositions naturelles aux menacesScénarios Scénarios de risque incluant le calcul des risquesRisk%Actif Panorama de gravité des scénarios par type dactifRisk%event Panorama de gravité des scénarios par type dévénementPlans_action Sélection de plans de réduction des risquesObj_PA Sélection de plans de réduction des risquesObj_Projets Sélection de plans de réduction des risquesVulnérabilités types Les onglets qui suivent sont apportés avec la méthodeGravité Détermination de la Gravité du risque en fonction de la Potentialité et de l’ImpactGrilles IP Tables de détermination d’Impact et de Potentialité des scénariosCorr_Services Table de correspondance entre les services de Méhari 2010 et ceux de la version 2007Feuilles dequestionnaires :de 01Org à 14 MsiThèmes et Score ISOMasquerTableaux declassification :T1, T2, T3 et ClassifMasquerMasquerFeuilles danalyse desrisques :Evénements types,Risques par actifsou événementsFeuilles desvulnérabilités types,Grilles dacceptabilitédes risques etdévaluation de I et P,Corr_ServicesMasquerModule danalyse de risque (identification, estimation et évaluation des risques)Traitement des risques : options, plans de réduction et suiviMEHARI™ 2010 Edition 2-1Base de connaissances MéhariModule danalyse des enjeux et classification des actifs:Module du diagnostic des services de sécurité (ou daudit)Feuilles de traitement :Plans_dactionObj_PAObj_ProjetsMasquerEléments permanents et de paramétrage de la méthode2.3 Feuille DossierCette feuille n’est pas protégée car elle vous permet de décrire les intervenants et les conditionsde réalisation de l’analyse de risque.2.4 Feuille LicenceCette feuille est un rappel de la licence d’utilisation et de redistribution de la base de connaissancede MEHARI.MEHARI est distribué en mode Open Source. Son utilisation est gratuite mais la redistribution etles additions à la base de connaissance doivent mentionner que le CLUSIF est à l’origine deMEHARI.2.5 Feuilles de classification T1(données), T2 (services) etT3(processus de managementCes feuilles sont utilisées pour intégrer les résultats de l’analyse des enjeux et du processus declassification des actifs (voir guide correspondant).La colonne A de la feuille T1 contient le nom de domaines d’activité, de processus métiers et deprocessus transverses (gestion des identités et des droits, administration des systèmes et des ré-seaux, assistance aux utilisateurs, etc.)La colonne B de la feuille T1 contient une description de fonction, ces deux colonnes sont auto-matiquement recopiées dans les mêmes colonnes des feuilles T2 et T3.La colonne AF (Incl) de la feuille T1, fournie à 1, indique que le processus est inclus dans le pé-rimètre de l’analyse de risque. Il faut forcer la valeur 0 pour exclure le processus.
  7. 7. MEHARI 2010 : Manuel de référence 9/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Ligne 3 : indique le critère de sécurité D (Disponibilité), I (Intégrité), C (Confidentialité) or E (Ef-ficience).Ligne 4 : contient le nom de code de l’actif indiqué en ligne 2.Les cellules des lignes 5 à 21 de chaque feuille doivent contenir le niveau de classification (de 1 à4) pour chaque critère de sécurité de chaque actif en fonction de l’analyse des enjeux et de la car-tographie effectuée. (voir le guide de l’analyse des enjeux et d la classification)Ligne 22 (Classification d’ensemble) : chaque cellule est automatiquement remplie par la méthodeavec la valeur la plus élevée des cellules précédentes dans la colonne. En fonction de cette valeur,les cellules sont colorées en vert (2), orange (3) or rouge (4). Cette classification est donnée à titreindicatif, car l’analyse de risque sera effectuée à partir de la ligne ‘’Classification du périmètre’’.Ligne 23 (Classification du périmètre) : est automatiquement remplie comme pour la ligne précé-dente mais seulement pour les domaines d’activité et les processus inclus dans le périmètred’analyse de risque par le contenu de la colonne Incl.Ainsi, il est possible de réaliser une première analyse de risque sur un nombre restreint d’activitéset/ou de processus puis d’en considérer plus dans les itérations suivantes. Cela correspond aussi àla facilité de définir les frontières (boundaries) d’un SMSI selon la norme ISO/IEC 27001:2005.La sélection autorisée par la colonne Incl (remplie par défaut avec des 1) permet aussi de préparerla présentation des résultats aux managers. Ainsi il est possible, après l’analyse de risque, de ne sé-lectionner qu’un (ou plusieurs) processus et de visualiser de manière unitaire les niveaux de risquerésultants et les améliorations des services de sécurité propres à réduire ces risques.Attention : du fait de la recopie automatique de la feuille T1 dans T2 et T3, il faut éviter de modi-fier le nombre de lignes des feuilles T1 à T3.2.6 Feuille ClassifCette feuille reçoit automatiquement les synthèses en provenance de T1, T2 et T3 et contientpour chaque type d’actif et chaque critère de sécurité, la classification de l’actif qui sera utiliséecomme Impact Intrinsèque pour l’évaluation des scénarios de risque.La colonne F est remplie par défaut avec la valeur 1, forcer 0 permet de désélectionner le typed’actif correspondant. La désélection se traduit par le fait que les scénarios correspondant à ce ty-pe d’actif ne sont pas pris en compte dans la feuille scénarios et les feuilles Plans_action,Risk%actif et Risk%event.Ainsi il est possible de limiter (ou d’exclure) l’analyse de risque à certains actifs (par exemple lesréseaux ou la sécurité physique) ou, lors du traitement des résultats, de visualiser les améliorationsdestinées à traiter ces actifs.2.7 Feuilles de diagnostic des services de sécuritéCes feuilles, au nombre de 14, sont organisées par domaine et numérotées de 01 Org à 14 MsiToutes ces feuilles ont la même organisation :— Colonne A : numéro de service, de sous-service ou de question
  8. 8. MEHARI 2010 : Manuel de référence 10/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012— Colonne B : libellé du service, du sous-service ou de la question— Colonnes C (R-V1) à F (R-V2) : réservées aux réponses possibles pour 4 variantes dedomaine maximum dans le schéma d’audit. Le nombre de variantes retenues doitêtre indiqué sur la première ligne, colonne C (la valeur par défaut étant 1).Les réponses à chaque question doivent être 1 (Oui), 0 (Non) ou X (Sans Objet).Il est possible de déclarer globalement un sous-service comme sans objet en indiquantun X sur la ligne du titre du sous-service, dans la colonne de la variante considérée (cettedéclaration est reportée automatiquement dans la feuille Services).— Colonnes G à I : paramètres de calcul de la qualité de service (voir le guide du diagnostic desservices de sécurité)— Colonne J : paramètre (E pour Efficacité, R pour Robustesse et C pour Continuité) ca-ractéristique de la mesure de sécurité pouvant permettre de faire des sélections de ques-tions (en mode expert).— Colonne K : Référence au (ou aux) paragraphe de l’ISO/IEC 27002 pertinent pour laquestion— Colonne L : réservée pour des commentaires libres de l’auditeur.Les seules colonnes à remplir lors d’un diagnostic sont C à F et L.La feuille 14 Msi ne contribue pas à l’analyse de risque mais permet d’évaluer le niveau deréalisation dans le cadre éventuel d’un processus de management de la sécurité del’information.2.8 Feuille ServicesLa feuille Services fait la synthèse des diagnostics et permet d’évaluer la qualité des services de sécu-rité. Chaque service est évalué, sur une échelle allant de 0 à 4 et les évaluations concernant la qualitéde chaque service, pour chaque variante retenue du schéma d’audit, sont regroupées dans la feuilleServices :— Colonne A : numéro du domaine, compris entre 01 et 14— Colonnes B et C : numéro et description des services de sécurité (standard MEHARI)— Colonne D : Indique le thème de sécurité auquel le service répond (voir feuille thèmes).— E à H : Niveau de qualité calculé des services de sécurité (de 0 à 4). En fonction duschéma d’audit (appelé décomposition cellulaire dans les versions précédentes), plusieursdiagnostics d’un même service peuvent être réalisés pour différentes instances. Les ré-ponses ayant été notées dans des colonnes différentes dans chaque domaine sont utili-sées pour calculer la qualité de chaque service pour chaque variante.Les questions sans objet (notées X) ne sont pas prises en compte pour la pondération.En cas de réponses partielles, pour un service (ou une variante de service), la moyennepondérée est calculée en prenant les notes des questions auxquelles il a été répondu,mais en divisant par la somme des poids de toutes les questions (sauf questions sans ob-jet avec un X comme réponse).— Colonne I : minimum des variantes retenues. Par mesure de précaution, ce minimum estutilisé pour l’évaluation des risques. Le minimum est arrondi à la valeur entière la plusproche avec un minimum de 1.— Colonne J : Objectif de qualité retenu par les divers plans d’action (voir feuillesPlans_action et Obj_PA) ou pour les objectifs fixés par projet (feuille Obj_projets). Il
  9. 9. MEHARI 2010 : Manuel de référence 11/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012est en effet possible, dans les plans d’action de fixer un objectif aux services de sécurité.De même on peut assigner des objectifs à plusieurs services de sécurité dans des projets.Si un service a fait l’objet de plusieurs décisions, le niveau maximum fixé comme objec-tif est reporté automatiquement dans cette colonne.La valeur de la cellule (2,J), indique la prise en compte de l’objectif (Valeur 1) ou pas (va-leur 0). Cette valeur est remplie automatiquement à partir de paramètres introduits dansla feuille « Plans_action » cellule (2,N).— Colonne K : colonne de travail utilisée par les plans d’action et la simulation des risquesrésiduels. Selon l’option retenue, cellule (2,J), cette colonne contient soit la qualité ac-tuelle du service soit sa qualité objectif (plus exactement le maximum de la qualité ac-tuelle et de la qualité objectif).2.9 Feuille ThèmesCette feuille indique des « thèmes de sécurité » et, pour chaque thème, les services et sous-services de MEHARI qui pris en compte pour évaluer ce thème.Les calculs sont effectués (par la moyenne des services concernés) :- colonne D : en valeur actuelle (compte tenu du diagnostic de l’état des services de sécurité)- colonne E : en valeur future (compte tenu des objectifs retenus, si le paramètre définissant laprise en compte des objectifs a bien été positionné dans la feuille « Plans_action » cellule (2,N)..2.10 Feuille Score ISOCette feuille permet d’indiquer un score des points de contrôle de la norme ISO/IEC 27002:2005en fonction des réponses aux questionnaires d’audit MEHARI.— Colonnes A à D : introduisent la liste des pratiques (‘’controls’’) de la norme— Colonne E : questions de MEHARI correspondant strictement au ‘’control’’ de la nor-me— Cellule (2,F) : si positionnée à 1, les questions référencées en colonne sont sur fond jau-ne dans les feuilles 01 0rg à 13 Man.— Colonne F : note de 0 à 10, de la ‘’conformance’’ pour le ‘’control’’, résultat de la divi-sion du nombre de réponses positives par le nombre total de questions, multiplié ensuitepar 10. Le score est calculé uniquement en fonction de la variante 1 de chaque do-maine.— Colonne G : remplie par défaut à 1, ce qui indique que le contrôle doit être intégré dansla déclaration d’applicabilité de ISO 27001 (SOA). Forcer 0 permet de retirer l’objectifde contrôle associé lors d’un processus de SMSI selon ISO 27001.— La colonne H est utilisée pour indiquer la justification de cette décision (maintien ou re-trait).2.11 Feuille ExpoLa feuille Expo contient le tableau des événements déclencheurs de scénarios dont la probabilitéconstitue la Potentialité Intrinsèque des scénarios.— Colonne A à D : les colonnes A à D contiennent les types d’événements et les codes
  10. 10. MEHARI 2010 : Manuel de référence 12/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012correspondants— Colonne E : la colonne E contient la valeur (de 0 à 4) de l’exposition naturelle proposéeen standard par le Clusif— La colonne F permet de forcer une valeur spécifique pour l’entité si la valeur standardne s’applique pas à sa situation ou à son environnement.— La colonne G contient par défaut la valeur standard et, si une valeur a été entrée en co-lonne F, cette dernière valeur est prise en compte.— La colonne H (remplie par défaut avec des 1) permet de désélectionner (valeur 0) desmenaces (événements déclencheurs), alors tous les scénarios correspondants sont auto-matiquement désélectionnés aussi.— La colonne I permet de commenter la valeur décidée pour chaque type d’événement.2.12 Feuille ScénariosLa feuille Scénarios contient les scénarios de risque de la base de connaissances :— Colonne A : colonne contenant des codes de famille de scénarios utilisés également dansla feuille Plans d’action.— Colonne B (masquée) : colonne contenant des codes utilisés uniquement pour le libellélittéral du scénario— Colonne C : type d’actif primaire concerné— Colonnes D à G : Vulnérabilité exploitée décrite par un type d’actif secondaire, critère(tel que D, I, C ou E, pour Efficience) et un type de dommage subi et un code significa-tif de la vulnérabilité ou de l’exigence de conformité.— Colonnes H à N : Menace à l’origine du risque, caractérisée par un type d’événement(décrit par des types et sous-types d’événements, des circonstances de lieux, de temps,de type d’accès et de processus et un type d’acteurs, le tout sous forme de code (les co-des sont explicités dans la feuille Codes).— Colonne O : libellé descriptif du scénario— Colonne P : Sélection directe et manuelle du scénario, décidée par l’auditeur. Seuls lesscénarios sélectionnés, par un 1 (valeur par défaut) dans cette colonne, ont une gravitéqui est évaluée et sont pris en compte dans les feuilles de synthèse Plans d’action,Risk%actif et Risk%event. La sélection des scénarios est prise en compte lors del’étape d’identification des risques.— Colonnes Q et R : codes permettant de différencier la cause du scénario (A pour acci-dent, E pour Erreur ou M pour Malveillance, V pour acte Volontaire non malveillant)ou sa conséquence (D pour Disponibilité, I pour Intégrité et C pour Confidentialité, Lpour Limitable). Ces indications sont utilisées par les formules de calcul de la base deconnaissances pour sélectionner les grilles de calcul de potentialité et d’impact.— Colonnes S et T : Report de l’impact intrinsèque et de l’exposition naturelle (Potentialitéintrinsèque) du scénario. Ces indicateurs sont remplis automatiquement à partir des co-lonnes C et D, pour l’impact intrinsèque, et H et I pour l’exposition naturelle.— Colonne U (Grav.) : évaluation de la Gravité intrinsèque, calculée sans facteur de réduc-tion de risque, à partir de l’impact intrinsèque et de l’exposition naturelle.
  11. 11. MEHARI 2010 : Manuel de référence 13/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012— Colonnes V à Y : évaluation des divers facteurs de réduction du risque (Dissuasion, Pré-vention, Confinement, Palliation), en fonction de la qualité des services de sécurité. No-ta : en cas de variantes dans le schéma d’audit, c’est le minimum des évaluations des di-verses variantes qui est pris en compte pour calculer les facteurs de réduction de risque.— Colonne Z : Caractère « confinable » (1) ou non confinable (0) du scénario (valeur stan-dard attribuée par le CLUSIF). Par mesure de précaution, certains scénarios sont consi-dérés, par défaut, comme non confinables malgré l’existence de mesures de confine-ment.— Colonne AA (Confinabilité décidée) : les cellules de la colonne sont livrées vides, mais unevaleur différente de la valeur standard de la colonne Z permet de décider de la prise encompte (ou non) des mesures de confinement .— Colonnes AB et AC : Impact décidé et Potentialité décidée. Ces colonnes permettent deforcer un impact et/ou une potentialité à une valeur différente de celle qui est automati-quement calculée (voir guide de la gestion des risques).— Colonnes AD et AE (Impact calculé et Potentialité calculée) : évaluations calculées de l’Impactet de la Potentialité du scénario en fonction de l’impact intrinsèque, de l’exposition natu-relle et des facteurs d’atténuation de risque.— Colonne AF (Gravité calculée) : Gravité établie en fonction des valeurs de I et de P déci-dées (colonnes AB et AC) ou calculées (colonnes AD et AE) et de la grille de gravité.— Cellule (1,AA) (Prise en compte des services de sécurité) : la feuille Plans action permet de bas-culer rapidement entre trois vues successives des risques : intrinsèques, actuels et futurs(suite aux mesures additionnelles planifiées). La valeur 0 de cette cellule indique que lacolonne AF reprend le résultat de la colonne U Gravité intrinsèque.La valeur 1 donnera la valeur actuelle ou future en fonction de la cellule (2,N) de la feuil-le Plans_action.— Colonne AG (Scénario accepté ou transféré) : Il est possible d‘indiquer, dans cette colonne,que l’on accepte le risque du scénario, malgré sa gravité ou qu’on le traite par transfertdu risque (par l’assurance notamment). Certains scénarios peuvent ainsi être acceptés(A), même si leur gravité est forte, ou considérés comme transférés (T), ils ne sont alorspas comptés dans les récapitulatifs (nombre de scénarios par niveau de gravité) des feuil-les « plans_action », « Risk%actif » ou Risk%event ».— Colonne AH : colonne de travail (vide si le scénario est accepté ou transféré, gravité cal-culée sinon).— Colonnes AI à AL : colonnes contenant les formules littérales des facteurs d’atténuationde risque.— Colonnes AM à AT : colonnes de travail pour les formules.2.13 Feuille Risk%actifCette feuille contient un tableau récapitulatif du nombre de scénarios, par niveau de gravité, partype d’actif et par critère de classification (D, I et C ou E).C’est une vue de synthèse qui permet d’aller directement travailler, dans le Plans d’action, sur unefamille de scénarios.
  12. 12. MEHARI 2010 : Manuel de référence 14/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012A cette fin, des liens hypertexte sont inclus (colonne >) permettant de pointer directement surune famille de scénarios (et donc un type d’impact) dans la feuille Plans d’action.La dernière ligne indique le cumul du nombre de scénarios de la colonne (ayant le même niveaude gravité)2.14 Feuille Risk%eventCette feuille contient un tableau récapitulatif du nombre de scénarios, par niveau de gravité, etpar type d’événement.2.15 Feuille Plans_actionCette feuille contient des indications sur les plans d’action susceptibles de réduire les risques.Les scénarios y sont traités par famille, chaque famille consistant en un type d’actif et un typed’impact.Pour chaque famille une synthèse du nombre de scénarios par niveau de gravité est fournie.Pour visualiser cette synthèse il est possible de sélectionner l’une des trois options suivantes :— Evaluation de la gravité intrinsèque des scénarios (calculée sans prendre en compte leniveau actuel des services de sécurité), obtenue en mettant 0 dans les cellules 1N et 2N.— Evaluation de la gravité résiduelle : l’ensemble des calculs prend en compte la qualité ac-tuelle des services de sécurité, telle qu’elle résulte des feuilles de diagnostic, obtenue enmettant 1 dans la cellule 1N et 0 dans la cellule 2N.— Prise en compte des actions décidées : l’ensemble des calculs est effectué en tenantcompte des niveaux d’objectifs attribués aux services de sécurité, en mettant 1 dans lescellules 1N et 2NContenu des colonnes :— Colonne A : nom de la famille de scénarios.— Colonnes B à F : nombre de scénarios par niveau de gravité et nombre total de scénariosde la famille (ayant un niveau de gravité calculé).— Colonne G : type des mesures proposées par chaque plan d’action, s’il est sélectionné.— Colonne H : indication de l’efficacité (valeur de A à E) du plan d’action, basée sur lenombre de scénarios de la famille touchés par ce plan.— Colonne I (décision) : la valeur 1, indique que le plan d’action de réduction de ris-que utilisant les services de sécurité de la ligne est sélectionné, sinon laisser videou mettre un 0.— Colonnes J, M, P, S, V, Y, AB, AE, AH, AK : services inclus dans le plan.— Colonnes K, N, Q, T, W, AC, AF, AI et AL: Valeurs actuelles des niveaux des servicesde sécurité (établies suite à la phase de diagnostic)— Colonnes L, O, R, U, AD, AG, AJ et AM : objectif de niveau de qualité (cible) assignéau service à améliorer. Cette colonne est modifiable manuellement afin de permettre àl’auditeur d’envisager plusieurs alternatives.Fixation d’objectifs de niveaux aux services de sécurité
  13. 13. MEHARI 2010 : Manuel de référence 15/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Les services de sécurité pertinents pour la famille de scénarios sont regroupés par ensembles ho-mogènes et par type d’effet. Sur une ligne, les divers services concernés sont affichés avec un ni-veau d’objectif a priori susceptible de réduire significativement le risque.Il est proposé alors de sélectionner l’ensemble des services de cette ligne et leurs niveaux objectifscorrespondants, en forçant un 1 dans la colonne « décision » (I). Il est possible de modifier le ni-veau objectif de chaque service individuellement. Nota : pour exclure un service d’un pland’action, fixer son objectif à 1.Il est ainsi possible de faire des simulations sur l’effet de telle ou telle décision et de décider desactions à mener en conséquence.2.16 Feuille Obj_PACette feuille est une feuille de travail qui récapitule les objectifs assignés aux services de sécuritépar les plans d’action évoqués au paragraphe précédent.— Colonne A à C : recopie des colonnes A à C de la feuille Services.— Colonne D : Récapitulatif des objectifs maximaux de niveaux de qualité assignés auxservices de sécurité par les plans d’action des colonnes suivantes. Cette colonne sert àcalculer les cibles d’objectifs de sécurité dans la colonne J de la feuille Services.— Colonnes E à BC: utilisées pour indiquer (par type d’actif et par critère de sécurité) leniveau de qualité objectif global en fonction des divers plans sélectionnés dans la feuillePlans_action, .2.17 Feuille Obj_ProjetsCette feuille permet de définir des projets avec, pour chaque projet, une date d’achèvement, desservices améliorés et un objectif de qualité (de 1 à 4) pour chaque service.Cette feuille contient également, en colonne I, une évaluation d’un « besoin de service de sécuri-té ».— Colonnes A à C : recopie des colonnes A à C de la feuille Services.— Colonnes D à H (normalement cachées) : Indication d’un besoin de qualité de service enfonction des types de plans faisant appel à chaque service (en fonction de leur efficaci-té). On tient compte, pour ce calcul du nombre de scénarios de gravité 3 (avec un coef-ficient de 1) ou 4 (avec un coefficient 8), pour chaque famille de scénarios et on fait lasomme de ces besoins pour l’ensemble des familles.— Colonne I : synthèse des besoins précédents (calculée avec une fonction logarithme).A priori, plus cette valeur est forte, plus le besoin d’améliorer ce service est élevé.— Colonne J : Synthèse des objectifs assignés aux services de sécurité par des projets (dé-crits colonnes suivantes).La cellule (4,J) doit contenir une date de référence, au format « aa mm » (millésime surdeux chiffres, puis un espace, puis mois sur deux chiffres). Seuls les projets ayant une da-te d’achèvement antérieure à cette date de référence seront pris en compte pour les ob-jectifs des services de sécurité.
  14. 14. MEHARI 2010 : Manuel de référence 16/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012— Colonnes K à AX : Ces colonnes sont utilisées pour décrire des projets :La ligne 3 fournit une courte description du projetLa ligne 4 mentionne la date planifiée de terminaison du projet (au format aa mm)Chaque cellule de la colonne indique le niveau de qualité du service atteint lors de la ter-minaison du projet.Note : si aucune date n’est mentionnée en ligne 4, la méthode considère que le projetsera terminé avant la date de référence donnée dans la cellule (4,J).2.18 Feuille Vulnérabilités typesLa feuille Vulnérabilités types contient la liste, pour chaque type d’actif secondaire, des domma-ges potentiels subis et des vulnérabilités exploitables. Ce tableau peut être utilisé pour analyser etécarter certaines vulnérabilités qui ne seraient pas à retenir dans le contexte propre de l’entité.Il convient alors de désélectionner ces vulnérabilités, dans la colonne G, en introduisant un 0, à laplace du 1 fourni en valeur standard.Les scénarios faisant appel à ces vulnérabilités seront automatiquement désélectionnés.2.19 Feuille Grilles_IPLa feuille Grilles-IP contient les grilles de décision utilisées pour évaluer l’impact et la gravité ré-siduels en fonction de l’impact intrinsèque, de la potentialité intrinsèque et des facteurs de réduc-tion de risque (voir guide de la gestion des risques).En mode expert, les valeurs contenues dans ces grilles peuvent éventuellement être modifiées(après avoir retiré la protection de la feuille)2.20 Feuille GravitéLa feuille Gravité contient la grille d’acceptabilité des risques utilisée pour décider du niveau degravité des risques en fonction de l’impact et de la potentialité résiduels.En mode expert, les valeurs contenues dans cette grille peuvent éventuellement être modifiées(après avoir retiré la protection de la feuille)A défaut la grille standard Clusif fournie dans la base devrait être validée par les parties prenantes.2.21 Feuille Corr_ServicesCette feuille indique la correspondance entre services de MEHARI 210 et services de MEHARI2007, en précisant les services nouveaux, modifiés ou supprimés.2.22 Feuille CodesCette feuille (masquée) contient des libellés utilisés dans la description et n’ont pour seul objectifque de faciliter la maintenance et la traduction de ces libellés
  15. 15. MEHARI 2010 : Manuel de référence 17/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 20123 Traitements et calculs effectuésLes traitements effectués pour calculer la qualité des services, l’impact, la potentialité ou la gravitédes scénarios dépendent de formules contenues dans les feuilles du fichier .xls (pour Excel ouOpenOffice).Ces formules sont mises en place à l’aide de macros qui n’ont pas à être utilisées en dehors de lamaintenance de la base et ne sont pas disponibles dans la version publique de la base.3.1 Traitements et fonctions utiliséesFeuille ServicesCotation des servicesLa cotation est faite pour 4 variantes de schéma d’audit maximum.La cotation des services de sécurité, en fonction des réponses aux questionnaires (feuilles 01 Orgà 14 Msi), vérifie qu’un service n’a pas été déclaré « X» (Sans Objet) sur la ligne de titre du service(et pour la variante considérée) dans la feuille de questionnaires.On teste ensuite s’il y a au moins une réponse (1 ou 0) avec un poids non nul (sinon la cotationn’est pas remplie).Enfin la cotation calcule la moyenne pondérée (sans tenir compte des réponses X), puis vérifiel’existence d’un seuil « MIN » ou d’un seuil « MAX » et affiche le résultat final.Les seuils MIN et MAX sont calculés dans des colonnes cachées des différents domaines.Les fonctions standard d’Excel et OpenOffice utilisées sont SI, NON, MIN, MAX etSOMME.SICalcul du min des servicesLe minimum des services est calculé et arrondi à l’entier le plus proche, après des tests pour reve-nir à 1 si le service n’a aucune réponse ou une réponse « X » (Sans objet)Fonctions standard utilisées : MIN, SI, OU et ARRONDICalcul de l’objectifL’objectif de qualité de service fixé dans la feuille « Plans d’action » est calculé en prenantl’objectif le plus élevé (on n’affiche rien s’il n’y a pas d’objectif fixé).Fonctions standard utilisées : MAX et SICalcul du service avec objectifsLa valeur affichée dans cette colonne dépend du choix effectué dans la feuille « Plans d’action »,choix qui se traduit par un 1 ou un 0 dans la cellule 2,J. Si on tient compte des objectifs fixés, soitpar des plans d’action, soit par des projets, la valeur affichée est le maximum de l’objectif et de lavaleur actuelle du service.Fonctions standard utilisées : MAX et SIFeuille Score ISO
  16. 16. MEHARI 2010 : Manuel de référence 18/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Les scores sont calculés avec des fonctions SOMME, en ne tenant compte que du nombre de ré-ponses positives, sans tenir compte de leur poids dans les questionnaires MEHARI.Feuille ThèmesLes calculs sont effectués avec la fonction standard : MOYENNE.Feuille ScénariosRecherche de la classification, de l’exposition naturelle et texte des scénariosLa classification est recherchée, dans la feuille « Classif » (en fait dans une table déclarée dans cet-te feuille) en fonction du type d’actif et du type de dommage.L’exposition naturelle est recherchée, dans la feuille Evénements types (en fait, dans une tabledéclarée dans cette feuille) en fonction des événements déclarés dans le scénario.Les libellés de scénarios sont eux-mêmes déduits des codes d’actifs, de vulnérabilités et de mena-ces.Fonctions standard utilisées : RECHERCHEV et SICalculs des facteurs de réduction de risque (dissuasion, prévention, confinement et pal-liation)Les calculs emploient les fonctions MAX et MIN reflétant les formules littérales et font référenceaux services de sécurité par leur nom (variables déclarées).Fonctions standard utilisées : MAX et MINCalculs de P (Potentialité), I (Impact) et G (Gravité)P et I sont calculés en faisant appel aux grilles IP (nommées par des tables déclarées) en fonctiondes paramètres du scénario.La gravité est calculée soit à partir des I et P calculés soit à partir des I et P décidés.Fonctions standard utilisées : SI, ET, OU, NON et INDEXFeuilles Plans d’action et Risk%eventLe nombre de scénarios par famille est calculé pour chaque niveau de gravité.Emploi de la fonction standard NB.SIFeuille Obj_PACalcul de l’objectif pour chaque catégorie de plan d’actionPour chaque catégorie de plans d’actions, si un plan est sélectionné, on affiche, pour chaque ser-vice contenu dans le plan, l’objectif correspondant. La formule permet de tenir compte du faitqu’un service peut être appelé 2 fois (avec 2 objectifs différents) dans la même catégorie de plansd’action.Fonctions standard utilisées : INDEX et SISynthèse des objectifs en fonction des différents plansUtilisation de la fonction MAXFeuille OBJ_ProjetsCalcul de l’objectif d’un service pour différents projetsLe calcul test de fin d’achèvement de projet par rapport à la date de référence est fait dans des co-lonnes cachées.Fonctions standards utilisées: SI et MAX
  17. 17. MEHARI 2010 : Manuel de référence 19/21 © CLUSIF 2012de la base de connaissances 2-14 30 mars 2012Feuille ExpoL’exposition naturelle est sélectionnée entre la valeur par défaut et une valeur décidée (cette der-nière prévalant)Fonctions standard utilisées : MAX et SI3.2 Macros (sous Excel)Les macros utilisées couramment sont uniquement celles de masquage de feuilles.D’autres macros sont utilisées, en mode maintenance, pour mettre à jour les codes de fonctionset surtout les champs de cellules auxquels les fonctions font référence.
  18. 18. L ’ E S P R I T D E L ’ É C H A N G ECLUB DE LA SÉCURITÉ DE LINFORMATION FRANÇAIS11, rue de Mogador75009 Paris01 53 25 08 80clusif@clusif.asso.frTéléchargez les productions du CLUSIF surwww.clusif.asso.fr

×