De nos jour, les entreprises sont plus en plus connectées tant en interne que dans le monde entier, profitant ainsi de l’évaluation des réseaux informatiques.
De ce fait, leurs système d’information est accessible de l’extérieur par leurs fournisseurs, clients, partenaires et administrateurs , on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire.
2. COMPUTER REPAIR & SUPPORT
PLAN:
MEHARI
Principe MEHARI
Démarche et outils
Conclusion
Présentation
Introduction
3. Introduction:
80%
des attaques proviennent de l'intérieur
De nos jour, les entreprises sont plus en plus
connectées tant en interne que dans le monde
entier, profitant ainsi de l’évaluation des réseaux
informatiques.
De ce fait, leurs système d’information est
accessible de l’extérieur par leurs fournisseurs,
clients, partenaires et administrateurs , on peut
pas négliger les menaces qui viennent de
l’intérieur, ce sui rend la présence d’un audit de
sécurité obligatoire.
4. Présentation:
CLUSIF
Le Club de la Sécurité de l'Information
Français (CLUSIF) est une association à but
non lucratif d'entreprises et de collectivités
réunies en groupes de réflexion et
d'échanges autour de différents domaines de
la sécurité de l'information
Méthode compatible
MEHARI répond aux lignes directrices
édictées par la norme ISO 27005
compatible ISO 13334 pour la méthode ISO
17799 :20003 et BS7799-2 :2002 : base de
connaissance
MEHARI
La méthode harmonisée d'analyse des
risques (MEHARI) est une méthode
visant à la sécurisation informatique d'une
entreprise ou d'un organisme. Elle
a été développée et proposée par le CLUSIF
Méthode déstinée
Au management
Aux Risk-managers
Aux opérationnels
Aux auditeurs
5. Principe MEHARI:
•L'identification des
dysfonctionnements potentiels
•L'évaluation de la gravité de ces
dysfonctionnements
•Éviter des contraintes inutiles aux
utilisateurs
•Définir les priorités
Analyser les enjeux majeurs
•Corriger les points faibles
inacceptables par des plans d'action
immédiats.
•Évaluer l'efficacité des mesures
mises en place et garantir leur
efficacité.
•préparer l'analyse des risques
induits par les faiblesses mises en
évidence..
Étudier les vulnérabilité
•Définir les mesures les mieux
adaptées au contexte et aux enjeux
Mettre en place un management des
risques et garantir que toutes les
situations de risques critiques ont été
identifiées et prises en compte
Réduire la gravité des risques
Dans ce domaine, MEHARI apporte :
•Un cadre adapté à différentes
démarches et différentes sortes de
management de la sécurité
•Une variété d’indicateurs et de
synthèses
Piloter la sécurité de l’information
01
02
03
04
6. COMPUTER REPAIR & SUPPORT
Démarche de la méthode
Plan Stratégique de Sécurité
Plans Opérationnels de Sécurité
Plan Opérationnel d'Entreprise
7. Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi
que les métriques permettant de les mesurer. C'est à ce stade que
le niveau de gravité des risques encourus par l'entreprise est
évalué. Il définit la politique de sécurité ainsi que la charte
d'utilisation du SI pour ses utilisateurs.
le Plan Stratégique de Sécurité PSS
01
9. Les Plans Opérationnels de Sécurité définissent pour chaque site
les mesures de sécurité qui doivent être mises en œuvre. Pour
cela, ils élaborent des scénarios de compromission et audite les
services du SI. Sur la base de cet audit, une évaluation de chaque
risque (probabilité, impact) est réalisée permettant par la suite
d'exprimer les besoins de sécurité, et par la même les mesures de
protections nécessaires. Enfin, une planification de la mise à
niveau de la sécurité du SI est faite.
les Plans Opérationnels de Sécurité
POS
02
11. Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par
l'élaboration d'indicateurs sur les risques identifiés et le choix des
scénarios de catastrophe contre lesquels il faut se prémunir
le Plan Opérationnel d'Entreprise
POE
03
13. COMPUTER REPAIR & SUPPORT
Outils MEHARI
Risicare vous permet de réaliser une analyse de risques liée à un
système d'information. L'utilisation de la méthode MEHARI
développée au sein du CLUSIF comme modèle d'analyse garantit la
pérennité de la démarche et ses capacités d'évolution.
SCORE est un logiciel qui se situe par rapport à l’ensemble des
domaines de sécurité définis dans la méthode MEHARI développée
par le CLUSIF.
SCORE permet également de mesurer les efforts restant à fournir
pour se mettre en conformité avec les exigences définis par les
différentes entités métiers de l’entreprise (extrait d’une analyse des
enjeux).
RISICARE
SCORE
14. La sécurité du système d'information d'une
entreprise est un requis important pour la poursuite
de ses activités, organiser cette sécurité n'est pas
chose facile, c'est pourquoi il existe des méthodes
reconnues pour aider les responsables
informatiques à mettre en place une bonne politique
de sécurité et à procéder aux audits permettant d'en
vérifier l'efficacité.
Conclusion: