SlideShare une entreprise Scribd logo

Mehari

Télécharger en tant que PPTX, PDF
A
Afaf MATOUG

De nos jour, les entreprises sont plus en plus connectées tant en interne que dans le monde entier, profitant ainsi de l’évaluation des réseaux informatiques. De ce fait, leurs système d’information est accessible de l’extérieur par leurs fournisseurs, clients, partenaires et administrateurs , on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire.

Données & analyses
1  sur  16
Réalisé par: MATOUG Afaf KEBIR Nour El Houda MEHARI: MÉthode Harmonisée d’Analyse des RIsques. !
COMPUTER REPAIR & SUPPORT PLAN: MEHARI Principe MEHARI Démarche et outils Conclusion Présentation Introduction
Introduction: 80% des attaques proviennent de l'intérieur De nos jour, les entreprises sont plus en plus connectées tant en interne que dans le monde entier, profitant ainsi de l’évaluation des réseaux informatiques. De ce fait, leurs système d’information est accessible de l’extérieur par leurs fournisseurs, clients, partenaires et administrateurs , on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire.
Présentation: CLUSIF Le Club de la Sécurité de l'Information Français (CLUSIF) est une association à but non lucratif d'entreprises et de collectivités réunies en groupes de réflexion et d'échanges autour de différents domaines de la sécurité de l'information Méthode compatible MEHARI répond aux lignes directrices édictées par la norme ISO 27005 compatible ISO 13334 pour la méthode ISO 17799 :20003 et BS7799-2 :2002 : base de connaissance MEHARI La méthode harmonisée d'analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d'une entreprise ou d'un organisme. Elle a été développée et proposée par le CLUSIF Méthode déstinée Au management Aux Risk-managers Aux opérationnels Aux auditeurs
Principe MEHARI: •L'identification des dysfonctionnements potentiels •L'évaluation de la gravité de ces dysfonctionnements •Éviter des contraintes inutiles aux utilisateurs •Définir les priorités Analyser les enjeux majeurs •Corriger les points faibles inacceptables par des plans d'action immédiats. •Évaluer l'efficacité des mesures mises en place et garantir leur efficacité. •préparer l'analyse des risques induits par les faiblesses mises en évidence.. Étudier les vulnérabilité •Définir les mesures les mieux adaptées au contexte et aux enjeux Mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées et prises en compte Réduire la gravité des risques Dans ce domaine, MEHARI apporte : •Un cadre adapté à différentes démarches et différentes sortes de management de la sécurité •Une variété d’indicateurs et de synthèses Piloter la sécurité de l’information 01 02 03 04
COMPUTER REPAIR & SUPPORT Démarche de la méthode Plan Stratégique de Sécurité Plans Opérationnels de Sécurité Plan Opérationnel d'Entreprise
Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. le Plan Stratégique de Sécurité PSS 01
PSS
Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite. les Plans Opérationnels de Sécurité POS 02
POS
Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir le Plan Opérationnel d'Entreprise POE 03
POE
COMPUTER REPAIR & SUPPORT Outils MEHARI Risicare vous permet de réaliser une analyse de risques liée à un système d'information. L'utilisation de la méthode MEHARI développée au sein du CLUSIF comme modèle d'analyse garantit la pérennité de la démarche et ses capacités d'évolution. SCORE est un logiciel qui se situe par rapport à l’ensemble des domaines de sécurité définis dans la méthode MEHARI développée par le CLUSIF. SCORE permet également de mesurer les efforts restant à fournir pour se mettre en conformité avec les exigences définis par les différentes entités métiers de l’entreprise (extrait d’une analyse des enjeux). RISICARE SCORE
La sécurité du système d'information d'une entreprise est un requis important pour la poursuite de ses activités, organiser cette sécurité n'est pas chose facile, c'est pourquoi il existe des méthodes reconnues pour aider les responsables informatiques à mettre en place une bonne politique de sécurité et à procéder aux audits permettant d'en vérifier l'efficacité. Conclusion:
Références: •https://www.academia.edu/36768590/methods_danalyse_des_ris que_MEHARI_MARION_E_BIOS_OCTAVE •https://docplayer.fr/19108063-Mehari-methode-harmonisee-d- analyse-des-risques.html •https://fr.wikipedia.org/wiki/Club_de_la_s%C3%A9curit%C3%A9_ de_l%27information_fran%C3%A7ais •https://cyber.gc.ca/fr/publications
Merci!

Recommandé

Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 

Recommandé

Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Ebios
EbiosEbios
Ebioskilojolid
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
ISO 27500
ISO 27500ISO 27500
ISO 27500dihiaselma
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005michaeldean
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 

Contenu connexe

Tendances

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 

Tendances (20)

Ebios
EbiosEbios
Ebios
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 

Similaire à Mehari

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webWavestone
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Mielabelo
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449M'hammed Hamdaoui
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseilSIFARIS
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 

Similaire à Mehari (20)

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseil
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Clusif marion
Clusif marionClusif marion
Clusif marion
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 

Plus de Afaf MATOUG

Implémentation d’un gestionnaire de parc automobile
Implémentation d’un gestionnaire de parc automobile Implémentation d’un gestionnaire de parc automobile
Implémentation d’un gestionnaire de parc automobileAfaf MATOUG
 
Rapport de Stage Obligatoire d’imprégnation
Rapport de Stage Obligatoire d’imprégnation Rapport de Stage Obligatoire d’imprégnation
Rapport de Stage Obligatoire d’imprégnation Afaf MATOUG
 
Systeme distribue
Systeme distribueSysteme distribue
Systeme distribueAfaf MATOUG
 
Reconnaissance d'ecriture manuscrite
Reconnaissance d'ecriture manuscriteReconnaissance d'ecriture manuscrite
Reconnaissance d'ecriture manuscriteAfaf MATOUG
 
Systeme d’exploitation embarqué eCOS
Systeme d’exploitation embarqué eCOSSysteme d’exploitation embarqué eCOS
Systeme d’exploitation embarqué eCOSAfaf MATOUG
 

Plus de Afaf MATOUG (10)

Implémentation d’un gestionnaire de parc automobile
Implémentation d’un gestionnaire de parc automobile Implémentation d’un gestionnaire de parc automobile
Implémentation d’un gestionnaire de parc automobile
 
Rapport de Stage Obligatoire d’imprégnation
Rapport de Stage Obligatoire d’imprégnation Rapport de Stage Obligatoire d’imprégnation
Rapport de Stage Obligatoire d’imprégnation
 
Systeme distribue
Systeme distribueSysteme distribue
Systeme distribue
 
Reconnaissance d'ecriture manuscrite
Reconnaissance d'ecriture manuscriteReconnaissance d'ecriture manuscrite
Reconnaissance d'ecriture manuscrite
 
Systeme d’exploitation embarqué eCOS
Systeme d’exploitation embarqué eCOSSysteme d’exploitation embarqué eCOS
Systeme d’exploitation embarqué eCOS
 
Elton mayo
Elton mayoElton mayo
Elton mayo
 
Working moms
Working momsWorking moms
Working moms
 
Joomla
JoomlaJoomla
Joomla
 
CUDA
CUDACUDA
CUDA
 
Metaweb
MetawebMetaweb
Metaweb
 

Mehari

  • 1. Réalisé par: MATOUG Afaf KEBIR Nour El Houda MEHARI: MÉthode Harmonisée d’Analyse des RIsques. !
  • 2. COMPUTER REPAIR & SUPPORT PLAN: MEHARI Principe MEHARI Démarche et outils Conclusion Présentation Introduction
  • 3. Introduction: 80% des attaques proviennent de l'intérieur De nos jour, les entreprises sont plus en plus connectées tant en interne que dans le monde entier, profitant ainsi de l’évaluation des réseaux informatiques. De ce fait, leurs système d’information est accessible de l’extérieur par leurs fournisseurs, clients, partenaires et administrateurs , on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire.
  • 4. Présentation: CLUSIF Le Club de la Sécurité de l'Information Français (CLUSIF) est une association à but non lucratif d'entreprises et de collectivités réunies en groupes de réflexion et d'échanges autour de différents domaines de la sécurité de l'information Méthode compatible MEHARI répond aux lignes directrices édictées par la norme ISO 27005 compatible ISO 13334 pour la méthode ISO 17799 :20003 et BS7799-2 :2002 : base de connaissance MEHARI La méthode harmonisée d'analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d'une entreprise ou d'un organisme. Elle a été développée et proposée par le CLUSIF Méthode déstinée Au management Aux Risk-managers Aux opérationnels Aux auditeurs
  • 5. Principe MEHARI: •L'identification des dysfonctionnements potentiels •L'évaluation de la gravité de ces dysfonctionnements •Éviter des contraintes inutiles aux utilisateurs •Définir les priorités Analyser les enjeux majeurs •Corriger les points faibles inacceptables par des plans d'action immédiats. •Évaluer l'efficacité des mesures mises en place et garantir leur efficacité. •préparer l'analyse des risques induits par les faiblesses mises en évidence.. Étudier les vulnérabilité •Définir les mesures les mieux adaptées au contexte et aux enjeux Mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées et prises en compte Réduire la gravité des risques Dans ce domaine, MEHARI apporte : •Un cadre adapté à différentes démarches et différentes sortes de management de la sécurité •Une variété d’indicateurs et de synthèses Piloter la sécurité de l’information 01 02 03 04
  • 6. COMPUTER REPAIR & SUPPORT Démarche de la méthode Plan Stratégique de Sécurité Plans Opérationnels de Sécurité Plan Opérationnel d'Entreprise
  • 7. Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. le Plan Stratégique de Sécurité PSS 01
  • 8. PSS
  • 9. Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite. les Plans Opérationnels de Sécurité POS 02
  • 10. POS
  • 11. Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir le Plan Opérationnel d'Entreprise POE 03
  • 12. POE
  • 13. COMPUTER REPAIR & SUPPORT Outils MEHARI Risicare vous permet de réaliser une analyse de risques liée à un système d'information. L'utilisation de la méthode MEHARI développée au sein du CLUSIF comme modèle d'analyse garantit la pérennité de la démarche et ses capacités d'évolution. SCORE est un logiciel qui se situe par rapport à l’ensemble des domaines de sécurité définis dans la méthode MEHARI développée par le CLUSIF. SCORE permet également de mesurer les efforts restant à fournir pour se mettre en conformité avec les exigences définis par les différentes entités métiers de l’entreprise (extrait d’une analyse des enjeux). RISICARE SCORE
  • 14. La sécurité du système d'information d'une entreprise est un requis important pour la poursuite de ses activités, organiser cette sécurité n'est pas chose facile, c'est pourquoi il existe des méthodes reconnues pour aider les responsables informatiques à mettre en place une bonne politique de sécurité et à procéder aux audits permettant d'en vérifier l'efficacité. Conclusion: