Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau de bord
1. Standards, Security, and Audit
Le pilotage des risques
avec Méhari-Standard (2017) :
Indicateurs et tableau de bord
2. Jean-Philippe JOUAS
Sécurité de l’information
Management des risques liés à l’information
Fondateur de 2SI, Sécurité des Systèmes d'Information, société de
conseil en organisation et en management de la sécurité.
Auteur du modèle d'analyse de risque qui est à la base de Méhari
Président du CLUSIF (Club de la Sécurité de l'Information Français)
de 1993 à 1999.
Contact Information
+ 33 6 08 06 40 80 jpjouas@free.fr
www.meharipdia.org
3. 3
Plan de la conférence
• Principes généraux de la gestion des risques
• Fondamentaux de l’approche Méhari
• Aperçu général de Méhari-Standard (2017)
• Pilotage des risques avec Méhari-Standard (2017)
4. 4
Principes généraux
Objectifs de la gestion des risques
Les objectifs fondamentaux d’une gestion des risques auxquels
l’entreprise ou l’organisation est exposée, sont :
Identifier les risques auxquels l’entreprise est exposée.
Quantifier le niveau de chaque risque.
Prendre, pour chaque risque considéré comme
inadmissible, des mesures pour que le niveau de ce risque
soit ramené à un niveau acceptable.
…
5. 5
Principes généraux
Objectifs de la gestion des risques
Les objectifs fondamentaux d’une gestion des risques auxquels
l’entreprise ou l’organisation est exposée, sont :
…
S’assurer que chaque risque, pris individuellement, est
bien pris en charge et a fait l’objet d’une décision
(acceptation, réduction, évitement ou transfert).
Mettre en place des outils de pilotage permettant un suivi
permanent des risques et de leur niveau.
6. 6
Principes généraux
Concepts de base de la gestion des risques :
La gestion des risques comprend les étapes suivantes :
Identifier des situations de risque
Décrire chaque situation par un «scénario de risque» :
L’incident (quel actif, quel dommage ?)
Son déclenchement (quel événement, quelles circonstances ?)
Faire une double évaluation de chaque scénario :
Sa potentialité: sa probabilité d’occurrence
Son impact: l’évaluation de ses conséquences
Définir les actions appropriées pour réduire le risque, si
nécessaire
7. 7
Principes fondamentaux de Méhari
La méthode Méhari repose sur :
Un modèle de risque
Des bases de connaissance, adaptées à différents profils
d’organisme ou d’entreprises, comprenant :
Des scénarios de risque standards
Les éléments nécessaires à l’évaluation des risques et à la mise
en place de mesures adaptées
Des indicateurs et des outils de pilotage
8. 8
Principes fondamentaux de Méhari
Exposition
naturelle
Analyse des conséquencesAnalyse des causes possibles
Gravité du scénario
Impact
intrinsèque
Facteurs structurels
Facteurs de réduction
de la potentialité :
• Dissuasion
• Prévention
Facteurs de réduction
de l’impact :
• Confinement
• Mesures palliatives
Mesures volontaires de réduction des risques
potentialité impact
Risque identifié
Evénement déclencheur Dommage subi par un actif
Modèle de risque
9. 9
Principes fondamentaux de Méhari
L’évaluation de la gravité d’un scénario de risque
repose sur des évaluations :
De deux facteurs structurels :
Impact intrinsèque et Exposition naturelle
De quatre facteurs de réduction de risque :
dissuasion, prévention, confinement et mesures palliatives
qui eux-mêmes dépendent des mesures de sécurité mises
en œuvre
Ces facteurs conduisent à l’évaluation de la potentialité
et de l’impact du scénario de risque, dont on déduit la
gravité du risque
10. 10
Principes fondamentaux de Méhari
L’ « impact » d’un scénario de risque est évalué selon
l’échelle suivante :
Non significatif ou sans préjudice notable
Important, mais cependant supportable
Très grave, avec des conséquences lourdes et définitives
Vital, la survie de l’entité est en question
1
2
3
4
11. 11
Principes fondamentaux de Méhari
La « Potentialité » d’un scénario de risque est évaluée
selon l’échelle suivante :
Très improbable, ne surviendra probablement jamais
Improbable, mais cependant envisageable
Probable, pourrait (devrait) bien arriver un jour
Très probable, surviendra (sûrement) à court terme
1
2
3
4
12. 12
Principes fondamentaux de Méhari
Gravité d’un risque
La gravité d’un risque résulte de sa potentialité
et de son impact
La gravité n’est pas une expression mathématique
fonction de l’impact et de la potentialité
Elle est le reflet d’une simple décision :
Cette situation est-elle acceptable ou non ?
13. 13
Principes fondamentaux de Méhari
Gravité d’un risque
Méhari propose une grille de décision aussi appelée
« grille d’acceptabilité des risques » :
Niveau de potentialité
Risques tolérés
Potentialité
Impact
Risques inadmissibles
Risques insupportables
Risques tolérés
14. 14
Principes fondamentaux de Méhari
Les bases de connaissance Méhari contiennent :
Des scénarios de risque standards
Des dispositifs de sécurité matérialisés par des « services
de sécurité »
Des questionnaires d’évaluation de ces services
Des mécanismes d’évaluation de l’ensemble des
paramètres caractéristiques des risques
Des mécanismes d’aide à la définition de plans et projets
de sécurité aptes à réduire les risques
Des outils de pilotage des risques
15. 15
Versions de Méhari
Méhari comprend 3 bases de connaissances :
Méhari Expert
Version destinée aux grandes ou très grandes entreprises et
nécessitant une bonne expertise de la méthode
Méhari-Standard
Nouvelle version, destinée aux entreprises moyennes ou
grandes, dotée de plus d’outils de pilotage et d’accès plus facile
Mehari-Pro
Version destinée aux petites, voire très petites entreprises
Méhari comprend également un module sans base de
connaissances :
Méhari Manager , version destinée à l’analyse directe, avec les
managers, de situations de risques métiers
16. 16
Méhari-Standard (2017)
Les nouveautés de Méhari-Standard (2017) sont :
Un alignement complet des services de sécurité sur la
norme ISO 27002 : 2013, tout en conservant :
La rigueur de l’analyse de la qualité des services de sécurité
Le domaine large couvert par l’analyse des risques
La formalisation de la notion de Projets de sécurité :
Chaque Projet contenant un ou plusieurs services de sécurité
et un objectif de qualité pour chaque service
Chaque projet pouvant être présélectionné, puis décidé, puis
planifié (date de début et date de fin)
Des aides à la sélection des projets et des outils de pilotage
des risques
17. 17
Méhari-Standard (2017)
Le pilotage des risques, avec Méhari-Standard, comprend :
Une vision synthétique de l’état des risques (panorama),
selon plusieurs options et plusieurs présentation :
Risques intrinsèques, actuels ou futurs (après réduction)
Vision globale (sur la grille IP) ou par domaine de risques
La mise en place de projets :
Sélection et décision
Planification
Des outils de suivi
Tableau de suivi de l’évolution des risques dans le temps
Tableau de bord
18. 18
Méhari-Standard (2017)
Le choix de l’évaluation et de la présentation des risques, dans
les divers panoramas proposés se fait par des boutons à option
Pour l'évaluation de la gravité des risques,
une des options ci-dessous doit être choisie
Gravité intrinsèque : sans tenir compte des
services de sécurité
Gravité actuelle, tenant compte de l'état
actuel des services de sécurité
Gravité résiduelle, tenant compte des projets
sélectionnés ou décidés
Gravité future, tenant compte des projets
planifiés et achevés à la date ci-dessous :
31/12/2021
19. 19
Méhari-Standard (2017)
Exemple de panorama de synthèse
Impact
4 0 30 56 1
3 0 33 46 1
2 0 3 14 0
1 0 6 17 0
1 2 3 4
Potentialité
Panorama des risques
20. 20
Méhari-Standard (2017)
Exemple de panorama par domaine de risques (types d’actifs)
Actifs immatériels N. 1 N. 2 N. 3 N. 4 N. 1 N. 2 N. 3 N. 4 N. 1 N. 2 N. 3 N. 4
FIC Fichiers de données ou de programmes, configurations des systèmes 5 17 4 0 > 1 0 19 0 > 8 0 12 0 >
DIT Données isolées, messages ou données en transit 7 0 0 0 > 1 11 0 0 > 10 0 0 0 >
COU Courriels 6 0 0 0 > 0 0 3 0 > 0 0 3 0 >
SIC Services informatiques et de communication 0 3 2 1 > 2 0 8 0 >
Actifs matériels
ENV Environnement de travail des utilisateurs 0 0 3 0 >
IIR Infrastructure informatique et réseaux 4 6 5 1 >
EQU Equipements mis à la disposition des utilisateurs (PC, périphériques, etc.) 4 0 0 0 >
MED Media supports de données ou de programmes 0 8 11 0 > 1 0 6 0 > 4 0 11 0 >
DOC Documents écrits ou imprimés 0 0 11 0 > 0 0 8 0 >
Processus de management
ELC Non conformité à la loi ou aux réglementations 4 0 0 0 >
Nombre de scénaios par niveaux de gravité : 30 34 36 2 5 11 36 0 22 0 34 0
Nombre total de scénarios, hors scénarios évités, transférés ou acceptés : 210
Confidentialité
Efficience
Panorama des gravités de scénarios Disponibilité Intégrité
21. 21
Méhari-Standard (2017)
Devant le constat de risques vitaux ou de risques graves, le plan
proposé par Méhari consiste à :
En priorité réduire les risques vitaux
Réduire ensuite le maximum de risques graves
Analyser enfin si certains risques résiduels doivent être
Evités
Transférés
Acceptés
22. 22
Méhari-Standard (2017)
Les actions de réduction des risques sont matérialisées par des
projets standards, qui couvrent plusieurs domaines :
12 projets liés à la continuité de service et de l’activité
(Infrastructure, continuité de l’accès aux données, plans de secours et de
continuité)
7 projets liés aux contrôles d’accès
(Contrôle d’accès logique, physique, contrôle d’accès aux postes de travail)
7 projets liés à l’exploitation et au contrôle de l’activité
(Contrôle des configurations, des actions sensibles)
15 projets liés à la sécurité des données et informations
(Confidentialité, intégrité, sécurité applicative, des documents, des
médias)
1 projet lié à la conformité des processus de management aux
exigences légales ou contractuelles
23. 23
Méhari-Standard (2017)
Les projets contiennent :
Des services de sécurité (à mettre en place ou améliorer)
Des objectifs de qualité pour chaque service
Objectifs standards, définis en fonction de la stratégie
généralement la plus efficace pour réduire les risques
Objectifs modifiables et personnalisables
Les projets doivent être planifiés, pour permettre un suivi et
un pilotage des risques
24. 24
Méhari-Standard (2017)
Exemple de projets :
Sûreté de fonctionnement des éléments de l’infrastructure
2C02 : Sécurité des équipements de servitude
2C04 : Continuité de la fourniture de l’énergie
3B01 : Sûreté de fonctionnement des éléments
d’architecture
Plans de secours des systèmes et applications
4C03 : Plans de reprise d’activité de l’infrastructure IT
5D01 : Plans de continuité des processus applicatifs
25. 25
Méhari-Standard (2017)
La cible de qualité des services de sécurité inclus dans les
projets standards prend en compte les stratégies possibles
I = 4
I = 3
I = 2
I = 1
P = 4P = 3P = 2P = 1
G = 1 G = 2 G = 2
G = 2G = 1G = 1G = 1
G = 4G = 4
G = 4G = 3 G = 3G = 2
G = 2
G = 3
G = 3
26. 26
Méhari-Standard (2017)
La sélection des Projets peut se faire de plusieurs manières :
Par l’outil d’aide à la sélection de projets
Par sélection directe de projets dans une famille de scénarios
de risque
Par la feuille de récapitulation des Plans d’action
Par recherche des projets pouvant réduire un risque
donné
Les projets peuvent éventuellement être personnalisés (objectifs de
qualité à l’issue des projets)
27. 27
Méhari-Standard (2017)
L’outil de sélection de projets indique les projets les plus
pertinents pour réduire les risques de niveau 4 et 3 :
T2
Dom Nb Dom Nb Dom Nb Dom Nb Total
CHDB Chiffrement des données bureautiques FIC-I 4 FIC-C 7 MED-I 2 MED-C 10 23
COPE Contrôles permanents FIC-I 13 MED-I 4 17
PDSS Protection des documents et supports sensibles MED-D 2 DOC-D 8 DOC-C 6 16
SBUR Sécurisation des zones de bureaux sensibles MED-D 2 MED-C 3 DOC-D 3 DOC-C 2 10
CASA Contrôle d'accès aux systèmes et applications FIC-I 5 FIC-C 2 COU-I 1 COU-C 1 10
Nb de risques de niveau 3 réduits
Libellé
Code
projet
Projets réduisant le nombre de risques de niveau 3
T1
Dom Nb Dom Nb Dom Nb Dom Nb Total
SFIN Sûreté de fonctionnement des éléments de l'infrastructure IIR-D 1 1
SUAC Surveillance permanente de l'activité SIC-D 1 1
Nb de risques de niveau 4 réduits
Libellé
Code
projet
Projets réduisant le nombre de risques de niveau 4
28. 28
Méhari-Standard (2017)
La sélection à partir d’une famille de scénarios de risques se
fait par simulation de l’effet de la sélection d’un projet :
Elaboration de plans d'action
Gr 1 Gr 2 Gr 3 Gr 4 Total Etat du projet Décision
FIC-D Perte de fichiers de données ou de programmes
SADC Sauvegardes des données et configurations (non externalisées)
CUDP Contrôle de l'utilisation des droits privilégiés
DIDE Disponibilité des données externalisées
PMAL Protection contre les malwares
JOCJ Journalisation et contrôle des journaux
GMAD Gestion des moyens d'accès auxfichiers de données
SARC Sécurité des archives
Famille de
scénarios
Nombre de scénarios
5 17 4 0 26
Projets
29. 29
Méhari-Standard (2017)
Les projets décidés peuvent être budgétés puis planifiés :
Indication d’une date de début (facultative) et d’une date
de fin
Il est alors possible de faire des simulations de l’état des
risques à une date donnée (en tenant compte des projets
dont la fin est planifiée avant cette date)
Méhari-Standard comprend un panorama des risques par
année, en fonction des projets achevés
30. 30
Méhari-Standard (2017)
Panorama des risques par année
Evolution des risques par années
T0 T1 T2 T3 T4 T5 T6 T7 T8 T9 T10
21/11/2016 01/01/2017 01/01/2018 01/01/2019 01/01/2020 01/01/2021 01/01/2022 01/01/2023 01/01/2024 01/01/2025 01/01/2026
Nombre de risques de niveau 4 135 112 103 73 35 23 22 14 5 0 0
Nombre de risques de niveau 3 72 59 49 43 23 22 21 21 5 3 3
Actualiser
0
50
100
150
200
250
21/11/2016 01/01/2017 01/01/2018 01/01/2019 01/01/2020 01/01/2021 01/01/2022 01/01/2023 01/01/2024 01/01/2025 01/01/2026
T0 T1 T2 T3 T4 T5 T6 T7 T8 T9 T10
31. 31
Méhari-Standard (2017)
Certains risques peuvent être traités autrement que par une
réduction de leur gravité :
Réduction trop onéreuse ou impossible
Il est alors possible de les traiter par évitement ou transfert
Il est également possible de les accepter tels quels
La base de connaissance permet de les déclarer comme tels et
de les suivre dans le tableau de bord
32. 32
Méhari-Standard (2017)
Tableau de bord
Nombre de scénarios de risque, par niveau
Niveau 1 Niveau 2 Niveau 3 Niveau 4
56 13 118 20
57 45 103 2
97 110 0 0
0 0 3 0
0 0 0 0
0 0 0 0Risques transférés
Risques acceptés
Risques intrinsèques
Risques réduits, à l'issue de tous les plans retenus
Risques actuels
Risques évités
Actualiser
Carrière consacrée aux technologies de l'information puis à la sécurité des systèmes d'information et au management des risques.
J’ai dirigé des développements de systèmes hautement sécuritaires dans le domaine de la Défense puis des systèmes de transport ferroviaires et me suis consacré à la sécurité des systèmes d’information, à partir de 1989 (Responsable de la sécurité du Groupe Bull).
Très rapidement, J’ai ressenti le besoin d’une méthode de gestion de risques et ai développé le modèle de risque qui allait donner naissance à Méhari.
Le modèle publié en 1992, aux Editions d’Organisation, dans l’ouvrage « Le Risque Informatique » n’a pratiquement pas bougé depuis.
Les travaux menés à partir de 1992 sur cette base déboucheront, en 1996, sur la première version de Méhari et seront suivis de nouvelles versions en 2000, 2003 , 2007, 2010 et 2017 en oubliant les quelques éditions intermédiaires.
Actif
Nous définissons, sous le terme d’actif, tout élément du système d’information, qu’il s’agisse de l’information proprement dite, quelle que soit sa forme, ou de tout ce qui peut être nécessaire pour la communiquer, la traiter ou la stocker.
Les actifs sont le sujet principal du risque : ce sont eux qui vont subir un dommage et le risque naît bien du fait qu’une certaine forme d’actif est susceptible de subir un dommage.
Niveau 4 : Vital
Dommage extrêmement grave mettant en danger l’organisation ou une de ses activités majeures. À ce niveau tout le personnel est concerné et peut se sentir menacé dans son emploi.Il se peut qu’un tel dommage survienne et que l’organisme y survive. Cela ne remet pas en cause le jugement initial : ce ne sera pas forcément le cas si cela se reproduit.
Si un tel risque se matérialise, un AG extraordinaire sera convoquée.
Niveau 3 : Très grave
Dommage grave au niveau de l’organisation, mais qui ne remet pas en cause son avenir. L’événement restera gravé dans la mémoire de tout le personnel. Des séquelles durables sont à craindre.
Lors de l’Assemblée Générale annuelle, un point spécifique de l’ordre du jour sera consacré à ce problème (conséquences, actions à mener, etc.)
Niveau 2 : Important
Dommage important sur une partie des opérations de l’organisation, sur sa compétitivité ou son image, mais restant globalement supportable.
Seule une partie limitée du personnel est très impliquée dans le traitement du dysfonctionnement, avec un impact significatif sur les conditions de travail.
La survenance de ce risque sera mentionnée dans le rapport annuel
Niveau 1 : Non significatif
Dommage non significatif (ou non préjudiciable) sur les opérations de l’organisation.
La survenance de ce risque ne sera même pas mentionnée dans le rapport annuel
Niveau 4 : Très probable
A ce niveau, il est raisonnable de penser que le scénario se produira très certainement et vraisemblablement à court terme.
Quand le risque est survenu, personne n’est surpris.
Exemples types : Erreur humaine lors d’une saisie, attaque virale
Niveau 3 : Probable
Il s’agit là des scénarios dont il est raisonnable de penser qu’ils pourraient bien se produire, à plus ou moins court terme. L’espoir que le risque ne survienne pas n’est pas insensé mais dénote un certain optimisme.
La survenance du risque déçoit, mais ne surprend pas.
Exemples types : Tentative de fraude ou de détournement d’information
Niveau 2 : Improbable
Il s’agit là de scénarios dont il est raisonnable de penser qu’ils ne surviendront pas. L’expérience passée montre souvent d’ailleurs qu’ils ne sont pas survenus.
Ils demeurent néanmoins « possibles » et ne sont pas complètement invraisemblables.
Exemples types : Incendie, vandalisme de la part du personnel
Niveau 1 : Très improbable
A ce niveau l’occurrence du risque est tout à fait improbable. De tels scénarios ne sont pas strictement impossibles car il existe toujours une infime probabilité pour que cela se produise.
Exemple type : Terrorisme
Ce tableau montre
qu’il peut coexister plusieurs stratégies de réduction de gravité (parfois mais pas toujours) : réduction d’impact et/ou réduction de potentialité
Qu’en fonction de la stratégie, les efforts à faire seront plus ou moins grands (ramener la potentialité à 1 est plus difficile que ramener l’impact à 2)