Cette conférence a été animée par Jean-Philippe JOUAS, lors de la conférence PECB Insights 2017

1. Standards, Security, and Audit
Le pilotage des risques
avec Méhari-Standard (2017) :
Indicateurs et tableau de bord

2. Jean-Philippe JOUAS
Sécurité de l’information
Management des risques liés à l’information
Fondateur de 2SI, Sécurité des Systèmes d'Information, société de
conseil en organisation et en management de la sécurité.
Auteur du modèle d'analyse de risque qui est à la base de Méhari
Président du CLUSIF (Club de la Sécurité de l'Information Français)
de 1993 à 1999.
Contact Information
+ 33 6 08 06 40 80 jpjouas@free.fr
www.meharipdia.org

3. 3
Plan de la conférence
• Principes généraux de la gestion des risques
• Fondamentaux de l’approche Méhari
• Aperçu général de Méhari-Standard (2017)
• Pilotage des risques avec Méhari-Standard (2017)

4. 4
Principes généraux
Objectifs de la gestion des risques
Les objectifs fondamentaux d’une gestion des risques auxquels
l’entreprise ou l’organisation est exposée, sont :
 Identifier les risques auxquels l’entreprise est exposée.
 Quantifier le niveau de chaque risque.
 Prendre, pour chaque risque considéré comme
inadmissible, des mesures pour que le niveau de ce risque
soit ramené à un niveau acceptable.
 …

5. 5
Principes généraux
Objectifs de la gestion des risques
Les objectifs fondamentaux d’une gestion des risques auxquels
l’entreprise ou l’organisation est exposée, sont :
 …
 S’assurer que chaque risque, pris individuellement, est
bien pris en charge et a fait l’objet d’une décision
(acceptation, réduction, évitement ou transfert).
 Mettre en place des outils de pilotage permettant un suivi
permanent des risques et de leur niveau.

6. 6
Principes généraux
Concepts de base de la gestion des risques :
La gestion des risques comprend les étapes suivantes :
 Identifier des situations de risque
 Décrire chaque situation par un «scénario de risque» :
 L’incident (quel actif, quel dommage ?)
 Son déclenchement (quel événement, quelles circonstances ?)
 Faire une double évaluation de chaque scénario :
 Sa potentialité: sa probabilité d’occurrence
 Son impact: l’évaluation de ses conséquences
 Définir les actions appropriées pour réduire le risque, si
nécessaire

7. 7
Principes fondamentaux de Méhari
La méthode Méhari repose sur :
 Un modèle de risque
 Des bases de connaissance, adaptées à différents profils
d’organisme ou d’entreprises, comprenant :
 Des scénarios de risque standards
 Les éléments nécessaires à l’évaluation des risques et à la mise
en place de mesures adaptées
 Des indicateurs et des outils de pilotage

8. 8
Principes fondamentaux de Méhari
Exposition
naturelle
Analyse des conséquencesAnalyse des causes possibles
Gravité du scénario
Impact
intrinsèque
Facteurs structurels
Facteurs de réduction
de la potentialité :
• Dissuasion
• Prévention
Facteurs de réduction
de l’impact :
• Confinement
• Mesures palliatives
Mesures volontaires de réduction des risques
potentialité impact
Risque identifié
Evénement déclencheur Dommage subi par un actif
Modèle de risque

9. 9
Principes fondamentaux de Méhari
L’évaluation de la gravité d’un scénario de risque
repose sur des évaluations :
 De deux facteurs structurels :
Impact intrinsèque et Exposition naturelle
 De quatre facteurs de réduction de risque :
dissuasion, prévention, confinement et mesures palliatives
qui eux-mêmes dépendent des mesures de sécurité mises
en œuvre
Ces facteurs conduisent à l’évaluation de la potentialité
et de l’impact du scénario de risque, dont on déduit la
gravité du risque

10. 10
Principes fondamentaux de Méhari
L’ « impact » d’un scénario de risque est évalué selon
l’échelle suivante :
Non significatif ou sans préjudice notable
Important, mais cependant supportable
Très grave, avec des conséquences lourdes et définitives
Vital, la survie de l’entité est en question
1
2
3
4

11. 11
Principes fondamentaux de Méhari
La « Potentialité » d’un scénario de risque est évaluée
selon l’échelle suivante :
Très improbable, ne surviendra probablement jamais
Improbable, mais cependant envisageable
Probable, pourrait (devrait) bien arriver un jour
Très probable, surviendra (sûrement) à court terme
1
2
3
4

12. 12
Principes fondamentaux de Méhari
Gravité d’un risque
 La gravité d’un risque résulte de sa potentialité
et de son impact
 La gravité n’est pas une expression mathématique
fonction de l’impact et de la potentialité
 Elle est le reflet d’une simple décision :
Cette situation est-elle acceptable ou non ?

13. 13
Principes fondamentaux de Méhari
Gravité d’un risque
Méhari propose une grille de décision aussi appelée
« grille d’acceptabilité des risques » :
Niveau de potentialité
Risques tolérés
Potentialité
Impact
Risques inadmissibles
Risques insupportables
Risques tolérés

14. 14
Principes fondamentaux de Méhari
Les bases de connaissance Méhari contiennent :
 Des scénarios de risque standards
 Des dispositifs de sécurité matérialisés par des « services
de sécurité »
 Des questionnaires d’évaluation de ces services
 Des mécanismes d’évaluation de l’ensemble des
paramètres caractéristiques des risques
 Des mécanismes d’aide à la définition de plans et projets
de sécurité aptes à réduire les risques
 Des outils de pilotage des risques

15. 15
Versions de Méhari
Méhari comprend 3 bases de connaissances :
 Méhari Expert
Version destinée aux grandes ou très grandes entreprises et
nécessitant une bonne expertise de la méthode
 Méhari-Standard
Nouvelle version, destinée aux entreprises moyennes ou
grandes, dotée de plus d’outils de pilotage et d’accès plus facile
 Mehari-Pro
Version destinée aux petites, voire très petites entreprises
Méhari comprend également un module sans base de
connaissances :
 Méhari Manager , version destinée à l’analyse directe, avec les
managers, de situations de risques métiers

16. 16
Méhari-Standard (2017)
Les nouveautés de Méhari-Standard (2017) sont :
 Un alignement complet des services de sécurité sur la
norme ISO 27002 : 2013, tout en conservant :
 La rigueur de l’analyse de la qualité des services de sécurité
 Le domaine large couvert par l’analyse des risques
 La formalisation de la notion de Projets de sécurité :
 Chaque Projet contenant un ou plusieurs services de sécurité
et un objectif de qualité pour chaque service
 Chaque projet pouvant être présélectionné, puis décidé, puis
planifié (date de début et date de fin)
 Des aides à la sélection des projets et des outils de pilotage
des risques

17. 17
Méhari-Standard (2017)
Le pilotage des risques, avec Méhari-Standard, comprend :
 Une vision synthétique de l’état des risques (panorama),
selon plusieurs options et plusieurs présentation :
 Risques intrinsèques, actuels ou futurs (après réduction)
 Vision globale (sur la grille IP) ou par domaine de risques
 La mise en place de projets :
 Sélection et décision
 Planification
 Des outils de suivi
 Tableau de suivi de l’évolution des risques dans le temps
 Tableau de bord

18. 18
Méhari-Standard (2017)
Le choix de l’évaluation et de la présentation des risques, dans
les divers panoramas proposés se fait par des boutons à option
Pour l'évaluation de la gravité des risques,
une des options ci-dessous doit être choisie
Gravité intrinsèque : sans tenir compte des
services de sécurité
Gravité actuelle, tenant compte de l'état
actuel des services de sécurité
Gravité résiduelle, tenant compte des projets
sélectionnés ou décidés
Gravité future, tenant compte des projets
planifiés et achevés à la date ci-dessous :
31/12/2021

19. 19
Méhari-Standard (2017)
Exemple de panorama de synthèse
Impact
4 0 30 56 1
3 0 33 46 1
2 0 3 14 0
1 0 6 17 0
1 2 3 4
Potentialité
Panorama des risques

20. 20
Méhari-Standard (2017)
Exemple de panorama par domaine de risques (types d’actifs)
Actifs immatériels N. 1 N. 2 N. 3 N. 4 N. 1 N. 2 N. 3 N. 4 N. 1 N. 2 N. 3 N. 4
FIC Fichiers de données ou de programmes, configurations des systèmes 5 17 4 0 > 1 0 19 0 > 8 0 12 0 >
DIT Données isolées, messages ou données en transit 7 0 0 0 > 1 11 0 0 > 10 0 0 0 >
COU Courriels 6 0 0 0 > 0 0 3 0 > 0 0 3 0 >
SIC Services informatiques et de communication 0 3 2 1 > 2 0 8 0 >
Actifs matériels
ENV Environnement de travail des utilisateurs 0 0 3 0 >
IIR Infrastructure informatique et réseaux 4 6 5 1 >
EQU Equipements mis à la disposition des utilisateurs (PC, périphériques, etc.) 4 0 0 0 >
MED Media supports de données ou de programmes 0 8 11 0 > 1 0 6 0 > 4 0 11 0 >
DOC Documents écrits ou imprimés 0 0 11 0 > 0 0 8 0 >
Processus de management
ELC Non conformité à la loi ou aux réglementations 4 0 0 0 >
Nombre de scénaios par niveaux de gravité : 30 34 36 2 5 11 36 0 22 0 34 0
Nombre total de scénarios, hors scénarios évités, transférés ou acceptés : 210
Confidentialité
Efficience
Panorama des gravités de scénarios Disponibilité Intégrité

21. 21
Méhari-Standard (2017)
Devant le constat de risques vitaux ou de risques graves, le plan
proposé par Méhari consiste à :
 En priorité réduire les risques vitaux
 Réduire ensuite le maximum de risques graves
 Analyser enfin si certains risques résiduels doivent être
 Evités
 Transférés
 Acceptés

22. 22
Méhari-Standard (2017)
Les actions de réduction des risques sont matérialisées par des
projets standards, qui couvrent plusieurs domaines :
 12 projets liés à la continuité de service et de l’activité
(Infrastructure, continuité de l’accès aux données, plans de secours et de
continuité)
 7 projets liés aux contrôles d’accès
(Contrôle d’accès logique, physique, contrôle d’accès aux postes de travail)
 7 projets liés à l’exploitation et au contrôle de l’activité
(Contrôle des configurations, des actions sensibles)
 15 projets liés à la sécurité des données et informations
(Confidentialité, intégrité, sécurité applicative, des documents, des
médias)
 1 projet lié à la conformité des processus de management aux
exigences légales ou contractuelles

23. 23
Méhari-Standard (2017)
Les projets contiennent :
 Des services de sécurité (à mettre en place ou améliorer)
 Des objectifs de qualité pour chaque service
 Objectifs standards, définis en fonction de la stratégie
généralement la plus efficace pour réduire les risques
 Objectifs modifiables et personnalisables
 Les projets doivent être planifiés, pour permettre un suivi et
un pilotage des risques

24. 24
Méhari-Standard (2017)
Exemple de projets :
 Sûreté de fonctionnement des éléments de l’infrastructure
 2C02 : Sécurité des équipements de servitude
 2C04 : Continuité de la fourniture de l’énergie
 3B01 : Sûreté de fonctionnement des éléments
d’architecture
 Plans de secours des systèmes et applications
 4C03 : Plans de reprise d’activité de l’infrastructure IT
 5D01 : Plans de continuité des processus applicatifs

25. 25
Méhari-Standard (2017)
La cible de qualité des services de sécurité inclus dans les
projets standards prend en compte les stratégies possibles
I = 4
I = 3
I = 2
I = 1
P = 4P = 3P = 2P = 1
G = 1 G = 2 G = 2
G = 2G = 1G = 1G = 1
G = 4G = 4
G = 4G = 3 G = 3G = 2
G = 2
G = 3
G = 3

26. 26
Méhari-Standard (2017)
La sélection des Projets peut se faire de plusieurs manières :
 Par l’outil d’aide à la sélection de projets
 Par sélection directe de projets dans une famille de scénarios
de risque
 Par la feuille de récapitulation des Plans d’action
 Par recherche des projets pouvant réduire un risque
donné
 Les projets peuvent éventuellement être personnalisés (objectifs de
qualité à l’issue des projets)

27. 27
Méhari-Standard (2017)
L’outil de sélection de projets indique les projets les plus
pertinents pour réduire les risques de niveau 4 et 3 :
T2
Dom Nb Dom Nb Dom Nb Dom Nb Total
CHDB Chiffrement des données bureautiques FIC-I 4 FIC-C 7 MED-I 2 MED-C 10 23
COPE Contrôles permanents FIC-I 13 MED-I 4 17
PDSS Protection des documents et supports sensibles MED-D 2 DOC-D 8 DOC-C 6 16
SBUR Sécurisation des zones de bureaux sensibles MED-D 2 MED-C 3 DOC-D 3 DOC-C 2 10
CASA Contrôle d'accès aux systèmes et applications FIC-I 5 FIC-C 2 COU-I 1 COU-C 1 10
Nb de risques de niveau 3 réduits
Libellé
Code
projet
Projets réduisant le nombre de risques de niveau 3
T1
Dom Nb Dom Nb Dom Nb Dom Nb Total
SFIN Sûreté de fonctionnement des éléments de l'infrastructure IIR-D 1 1
SUAC Surveillance permanente de l'activité SIC-D 1 1
Nb de risques de niveau 4 réduits
Libellé
Code
projet
Projets réduisant le nombre de risques de niveau 4

28. 28
Méhari-Standard (2017)
La sélection à partir d’une famille de scénarios de risques se
fait par simulation de l’effet de la sélection d’un projet :
Elaboration de plans d'action
Gr 1 Gr 2 Gr 3 Gr 4 Total Etat du projet Décision
FIC-D Perte de fichiers de données ou de programmes
SADC Sauvegardes des données et configurations (non externalisées)
CUDP Contrôle de l'utilisation des droits privilégiés
DIDE Disponibilité des données externalisées
PMAL Protection contre les malwares
JOCJ Journalisation et contrôle des journaux
GMAD Gestion des moyens d'accès auxfichiers de données
SARC Sécurité des archives
Famille de
scénarios
Nombre de scénarios
5 17 4 0 26
Projets

29. 29
Méhari-Standard (2017)
Les projets décidés peuvent être budgétés puis planifiés :
 Indication d’une date de début (facultative) et d’une date
de fin
 Il est alors possible de faire des simulations de l’état des
risques à une date donnée (en tenant compte des projets
dont la fin est planifiée avant cette date)
 Méhari-Standard comprend un panorama des risques par
année, en fonction des projets achevés

30. 30
Méhari-Standard (2017)
Panorama des risques par année
Evolution des risques par années
T0 T1 T2 T3 T4 T5 T6 T7 T8 T9 T10
21/11/2016 01/01/2017 01/01/2018 01/01/2019 01/01/2020 01/01/2021 01/01/2022 01/01/2023 01/01/2024 01/01/2025 01/01/2026
Nombre de risques de niveau 4 135 112 103 73 35 23 22 14 5 0 0
Nombre de risques de niveau 3 72 59 49 43 23 22 21 21 5 3 3
Actualiser
0
50
100
150
200
250
21/11/2016 01/01/2017 01/01/2018 01/01/2019 01/01/2020 01/01/2021 01/01/2022 01/01/2023 01/01/2024 01/01/2025 01/01/2026
T0 T1 T2 T3 T4 T5 T6 T7 T8 T9 T10

31. 31
Méhari-Standard (2017)
Certains risques peuvent être traités autrement que par une
réduction de leur gravité :
 Réduction trop onéreuse ou impossible
 Il est alors possible de les traiter par évitement ou transfert
 Il est également possible de les accepter tels quels
La base de connaissance permet de les déclarer comme tels et
de les suivre dans le tableau de bord

32. 32
Méhari-Standard (2017)
Tableau de bord
Nombre de scénarios de risque, par niveau
Niveau 1 Niveau 2 Niveau 3 Niveau 4
56 13 118 20
57 45 103 2
97 110 0 0
0 0 3 0
0 0 0 0
0 0 0 0Risques transférés
Risques acceptés
Risques intrinsèques
Risques réduits, à l'issue de tous les plans retenus
Risques actuels
Risques évités
Actualiser

33. MERCI
?
+33 6 08 06 40 80
www.meharipdia.org
jpjouas@free.fr