SlideShare une entreprise Scribd logo

Mehari

Télécharger en tant que PPTX, PDF
Houda Elmoutaoukil
Houda Elmoutaoukil

MEHARI est une méthode complète d’évaluation et de management des risques liés à l'information

Technologie
1  sur  19
Réalisé par : Houda El moutaoukil Encadré par : Pr.M.A. El Kiram
Introduction Détail de la méthode Mehari Audit de sécurité Organisme et méthode d’audit Conclusion
De nos jours les entreprises sont plus en plus connectés tant en interne que dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques. De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs fournisseurs clients partenaires et administrateur .on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire. Introduction
Un audit de sécurité consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre. l'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent. Audit de sécurité
Le Club de la Sécurité de l'Information Français (CLUSIF) est une association à but non lucratif d'entreprises et de collectivités réunies en groupes de réflexion et d'échanges autour de différents domaines de la sécurité de l'information : gestion des risques, politiques de sécurité, etc. Organisme d’audit de sécurité : CLUSIF
Méthode de gestion de risques de type Méhari octave, EBIOS … La méthode harmonisée d'analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d'une entreprise ou d'un organisme. Elle a été développée et proposée par le CLUSIF… Méthode d’audit de sécurité : MEHARI
Mehari fournit un cadre méthodologique, des outils et des bases de connaissance pour :  analyser les enjeux majeurs .  étudier les vulnérabilités .  réduire la gravité des risques .  piloter la sécurité de l'information . But de la méthode
Analyser les enjeux majeurs : Dans MEHARI, on appelle " Analyse des enjeux de la sécurité " :  L'identification des dysfonctionnements potentiels pouvant être causés ou favorisés par un défaut de sécurité,  L'évaluation de la gravité de ces dysfonctionnements. Cette analyse des enjeux vise à :  Etre sélectif dans les moyens à mettre en œuvre pour la sécurité de l'information et ne pas engager de dépenses là où les enjeux sont faibles.  Éviter des contraintes inutiles aux utilisateurs  Définir les priorités But de la méthode
Etudier les vulnérabilités : L'analyse des vulnérabilités revient à identifier les faiblesses et les défauts des mesures de sécurité. En pratique, il s'agit d'une évaluation de la qualité de mesures de sécurité. Cette analyse des vulnérabilités permet de : Corriger les points faibles inacceptables par des plans d'action immédiats. Évaluer l'efficacité des mesures mises en place et garantir leur efficacité. préparer l'analyse des risques induits par les faiblesses mises en évidence. Se comparer à l'état de l'art ou aux normes en usage. But de la méthode
réduire la gravité des risques : Cette analyse des risques vise, le plus souvent : Définir les mesures les mieux adaptées au contexte et aux enjeux : il peut s'agir d'une démarche de management traditionnel par " politique de sécurité " orientée et alimentée par une analyse de risques. Mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées et prises en compte : il s'agit alors d'une politique de management de la sécurité par le management des risques. But de la méthode
piloter la sécurité de l'information : Dans ce domaine, MEHARI apporte : Un cadre adapté à différentes démarches et différentes sortes de management de la sécurité : Les modes de pilotage de la sécurité peuvent évoluer avec le temps Les demandes du management peuvent évoluer en fonction de la maturité de l’entreprise Une variété d’indicateurs et de synthèses : Niveaux de vulnérabilités et de risques, relatifs aux points de contrôles ISO 17799:2005 (repris dans ISO 27001), tableau de bord des risques critiques. But de la méthode
Mehari s'articule autour de 3 types de livrables :  le Plan Stratégique de Sécurité (PSS)  les Plans Opérationnels de Sécurité (POS)  le Plan Opérationnel d'Entreprise (POE) Démarche de la méthode
le Plan Stratégique de Sécurité (PSS) : Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. Démarche de la méthode
les Plans Opérationnels de Sécurité (POS) : Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite. Démarche de la méthode
le Plan Opérationnel d'Entreprise (POE): Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Démarche de la méthode
RISICARE est une approche associée à un outillage, s'appuyant sur la méthode Mehari 2010 et qui permet d'améliorer la productivité et la justesse d'une démarche de gestion des risques. Mehari les outils : RISICARE
Risicare s'appuie sur les caractéristiques suivantes : L'utilisation de la méthode Mehari développée au sein du CLUSIF comme modèle d'analyse des risques. La possibilité de personnaliser les bases de connaissances, voire de construire ses propres bases de connaissances. Une relation entre un audit de l'existant et la quantification de scénarios de risques. Une prise en compte exhaustive et automatique des multiples possibilités de survenance de ces scénarios. L'élaboration de plans d'action cohérents optimisant la réduction de l'ensemble des risques. Une aide en ligne très développée avec l'accès à un ensemble de rubriques méthodologiques et techniques. Caractéristiques de Risicare
Conclusion EBIOS MEHARI Publié en 1997, créée en 1995 développée depuis 1995 Structure Étude du contexte 1. L’identification des risquesÉtude des événements redoutés Étude des scénarios de menaces Étude des risques 2. L’estimation des risques Étude des mesures de sécurité 3. La gestion des risques Outils Guide pratique Documents pratiques Logiciel libre et gratuit Logiciel gratuit Formation Vidéos Etudes de cas Outils de calculs Excel intégrés au logiciel Club EBIOS Finalement, on se rend compte que ces deux méthodes abordent les même sujets, mais peut être sous un angle un peu plus fonctionnel ,la méthode EBIOS et plus “managériale” que la méthode MEHARI.
Merci Pour Votre Attention

Recommandé

Mehari
MehariMehari
MehariAfaf MATOUG
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
Ebios
EbiosEbios
Ebioskilojolid
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 

Recommandé

Mehari
MehariMehari
MehariAfaf MATOUG
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
Ebios
EbiosEbios
Ebioskilojolid
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risqueseGov Innovation Center
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Sécurité des données de santé
Sécurité des données de santéSécurité des données de santé
Sécurité des données de santéDjallal BOUABDALLAH
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
Management des risques
Management des risquesManagement des risques
Management des risquesabdelghani Koura
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?BPMSinfo
 
Présentation BPM CBOK V3
Présentation BPM CBOK V3Présentation BPM CBOK V3
Présentation BPM CBOK V3BPMSinfo
 

Contenu connexe

Tendances

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Sécurité des données de santé
Sécurité des données de santéSécurité des données de santé
Sécurité des données de santéDjallal BOUABDALLAH
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 

Tendances (20)

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Sécurité des données de santé
Sécurité des données de santéSécurité des données de santé
Sécurité des données de santé
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 

En vedette

Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?BPMSinfo
 
Présentation BPM CBOK V3
Présentation BPM CBOK V3Présentation BPM CBOK V3
Présentation BPM CBOK V3BPMSinfo
 
Conception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adulteConception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adultePeronnin Eric
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 

En vedette (7)

Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?
 
Présentation BPM CBOK V3
Présentation BPM CBOK V3Présentation BPM CBOK V3
Présentation BPM CBOK V3
 
Conception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adulteConception d'un objet électronique - Présentation adulte
Conception d'un objet électronique - Présentation adulte
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Marion
MarionMarion
Marion
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 

Similaire à Mehari

Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449M'hammed Hamdaoui
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesmoussadiom
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Mielabelo
 

Similaire à Mehari (20)

Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449
 
Clusif marion
Clusif marionClusif marion
Clusif marion
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001
 

Mehari

  • 1. Réalisé par : Houda El moutaoukil Encadré par : Pr.M.A. El Kiram
  • 2. Introduction Détail de la méthode Mehari Audit de sécurité Organisme et méthode d’audit Conclusion
  • 3. De nos jours les entreprises sont plus en plus connectés tant en interne que dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques. De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs fournisseurs clients partenaires et administrateur .on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire. Introduction
  • 4. Un audit de sécurité consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre. l'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent. Audit de sécurité
  • 5. Le Club de la Sécurité de l'Information Français (CLUSIF) est une association à but non lucratif d'entreprises et de collectivités réunies en groupes de réflexion et d'échanges autour de différents domaines de la sécurité de l'information : gestion des risques, politiques de sécurité, etc. Organisme d’audit de sécurité : CLUSIF
  • 6. Méthode de gestion de risques de type Méhari octave, EBIOS … La méthode harmonisée d'analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d'une entreprise ou d'un organisme. Elle a été développée et proposée par le CLUSIF… Méthode d’audit de sécurité : MEHARI
  • 7. Mehari fournit un cadre méthodologique, des outils et des bases de connaissance pour :  analyser les enjeux majeurs .  étudier les vulnérabilités .  réduire la gravité des risques .  piloter la sécurité de l'information . But de la méthode
  • 8. Analyser les enjeux majeurs : Dans MEHARI, on appelle " Analyse des enjeux de la sécurité " :  L'identification des dysfonctionnements potentiels pouvant être causés ou favorisés par un défaut de sécurité,  L'évaluation de la gravité de ces dysfonctionnements. Cette analyse des enjeux vise à :  Etre sélectif dans les moyens à mettre en œuvre pour la sécurité de l'information et ne pas engager de dépenses là où les enjeux sont faibles.  Éviter des contraintes inutiles aux utilisateurs  Définir les priorités But de la méthode
  • 9. Etudier les vulnérabilités : L'analyse des vulnérabilités revient à identifier les faiblesses et les défauts des mesures de sécurité. En pratique, il s'agit d'une évaluation de la qualité de mesures de sécurité. Cette analyse des vulnérabilités permet de : Corriger les points faibles inacceptables par des plans d'action immédiats. Évaluer l'efficacité des mesures mises en place et garantir leur efficacité. préparer l'analyse des risques induits par les faiblesses mises en évidence. Se comparer à l'état de l'art ou aux normes en usage. But de la méthode
  • 10. réduire la gravité des risques : Cette analyse des risques vise, le plus souvent : Définir les mesures les mieux adaptées au contexte et aux enjeux : il peut s'agir d'une démarche de management traditionnel par " politique de sécurité " orientée et alimentée par une analyse de risques. Mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées et prises en compte : il s'agit alors d'une politique de management de la sécurité par le management des risques. But de la méthode
  • 11. piloter la sécurité de l'information : Dans ce domaine, MEHARI apporte : Un cadre adapté à différentes démarches et différentes sortes de management de la sécurité : Les modes de pilotage de la sécurité peuvent évoluer avec le temps Les demandes du management peuvent évoluer en fonction de la maturité de l’entreprise Une variété d’indicateurs et de synthèses : Niveaux de vulnérabilités et de risques, relatifs aux points de contrôles ISO 17799:2005 (repris dans ISO 27001), tableau de bord des risques critiques. But de la méthode
  • 12. Mehari s'articule autour de 3 types de livrables :  le Plan Stratégique de Sécurité (PSS)  les Plans Opérationnels de Sécurité (POS)  le Plan Opérationnel d'Entreprise (POE) Démarche de la méthode
  • 13. le Plan Stratégique de Sécurité (PSS) : Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. Démarche de la méthode
  • 14. les Plans Opérationnels de Sécurité (POS) : Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite. Démarche de la méthode
  • 15. le Plan Opérationnel d'Entreprise (POE): Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Démarche de la méthode
  • 16. RISICARE est une approche associée à un outillage, s'appuyant sur la méthode Mehari 2010 et qui permet d'améliorer la productivité et la justesse d'une démarche de gestion des risques. Mehari les outils : RISICARE
  • 17. Risicare s'appuie sur les caractéristiques suivantes : L'utilisation de la méthode Mehari développée au sein du CLUSIF comme modèle d'analyse des risques. La possibilité de personnaliser les bases de connaissances, voire de construire ses propres bases de connaissances. Une relation entre un audit de l'existant et la quantification de scénarios de risques. Une prise en compte exhaustive et automatique des multiples possibilités de survenance de ces scénarios. L'élaboration de plans d'action cohérents optimisant la réduction de l'ensemble des risques. Une aide en ligne très développée avec l'accès à un ensemble de rubriques méthodologiques et techniques. Caractéristiques de Risicare
  • 18. Conclusion EBIOS MEHARI Publié en 1997, créée en 1995 développée depuis 1995 Structure Étude du contexte 1. L’identification des risquesÉtude des événements redoutés Étude des scénarios de menaces Étude des risques 2. L’estimation des risques Étude des mesures de sécurité 3. La gestion des risques Outils Guide pratique Documents pratiques Logiciel libre et gratuit Logiciel gratuit Formation Vidéos Etudes de cas Outils de calculs Excel intégrés au logiciel Club EBIOS Finalement, on se rend compte que ces deux méthodes abordent les même sujets, mais peut être sous un angle un peu plus fonctionnel ,la méthode EBIOS et plus “managériale” que la méthode MEHARI.