Houda Elmoutaoukil, profile picture
Téléchargé parHouda Elmoutaoukil
PPTX, PDF5,659 vues

Mehari

Ce document parle de l'importance des audits de sécurité pour les entreprises modernes afin de protéger leurs systèmes d'information contre les menaces internes et externes. Il présente la méthode Méhari pour l'analyse des risques, qui aide à identifier les vulnérabilités et à réduire la gravité des risques, ainsi que le rôle du CLUSIF dans la sécurité de l'information. Le document conclut que les méthodes Méhari et EBIOS abordent la gestion des risques sous des angles complémentaires.

Intégrer la présentation

Téléchargé 273 fois
Réalisé par : Houda El moutaoukil Encadré par : Pr.M.A. El Kiram
Introduction Détail de la méthode Mehari Audit de sécurité Organisme et méthode d’audit Conclusion
De nos jours les entreprises sont plus en plus connectés tant en interne que dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques. De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs fournisseurs clients partenaires et administrateur .on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire. Introduction
Un audit de sécurité consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre. l'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent. Audit de sécurité
Le Club de la Sécurité de l'Information Français (CLUSIF) est une association à but non lucratif d'entreprises et de collectivités réunies en groupes de réflexion et d'échanges autour de différents domaines de la sécurité de l'information : gestion des risques, politiques de sécurité, etc. Organisme d’audit de sécurité : CLUSIF
Méthode de gestion de risques de type Méhari octave, EBIOS … La méthode harmonisée d'analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d'une entreprise ou d'un organisme. Elle a été développée et proposée par le CLUSIF… Méthode d’audit de sécurité : MEHARI
Mehari fournit un cadre méthodologique, des outils et des bases de connaissance pour :  analyser les enjeux majeurs .  étudier les vulnérabilités .  réduire la gravité des risques .  piloter la sécurité de l'information . But de la méthode
Analyser les enjeux majeurs : Dans MEHARI, on appelle " Analyse des enjeux de la sécurité " :  L'identification des dysfonctionnements potentiels pouvant être causés ou favorisés par un défaut de sécurité,  L'évaluation de la gravité de ces dysfonctionnements. Cette analyse des enjeux vise à :  Etre sélectif dans les moyens à mettre en œuvre pour la sécurité de l'information et ne pas engager de dépenses là où les enjeux sont faibles.  Éviter des contraintes inutiles aux utilisateurs  Définir les priorités But de la méthode
Etudier les vulnérabilités : L'analyse des vulnérabilités revient à identifier les faiblesses et les défauts des mesures de sécurité. En pratique, il s'agit d'une évaluation de la qualité de mesures de sécurité. Cette analyse des vulnérabilités permet de : Corriger les points faibles inacceptables par des plans d'action immédiats. Évaluer l'efficacité des mesures mises en place et garantir leur efficacité. préparer l'analyse des risques induits par les faiblesses mises en évidence. Se comparer à l'état de l'art ou aux normes en usage. But de la méthode
réduire la gravité des risques : Cette analyse des risques vise, le plus souvent : Définir les mesures les mieux adaptées au contexte et aux enjeux : il peut s'agir d'une démarche de management traditionnel par " politique de sécurité " orientée et alimentée par une analyse de risques. Mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées et prises en compte : il s'agit alors d'une politique de management de la sécurité par le management des risques. But de la méthode
piloter la sécurité de l'information : Dans ce domaine, MEHARI apporte : Un cadre adapté à différentes démarches et différentes sortes de management de la sécurité : Les modes de pilotage de la sécurité peuvent évoluer avec le temps Les demandes du management peuvent évoluer en fonction de la maturité de l’entreprise Une variété d’indicateurs et de synthèses : Niveaux de vulnérabilités et de risques, relatifs aux points de contrôles ISO 17799:2005 (repris dans ISO 27001), tableau de bord des risques critiques. But de la méthode
Mehari s'articule autour de 3 types de livrables :  le Plan Stratégique de Sécurité (PSS)  les Plans Opérationnels de Sécurité (POS)  le Plan Opérationnel d'Entreprise (POE) Démarche de la méthode
le Plan Stratégique de Sécurité (PSS) : Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. Démarche de la méthode
les Plans Opérationnels de Sécurité (POS) : Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite. Démarche de la méthode
le Plan Opérationnel d'Entreprise (POE): Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Démarche de la méthode
RISICARE est une approche associée à un outillage, s'appuyant sur la méthode Mehari 2010 et qui permet d'améliorer la productivité et la justesse d'une démarche de gestion des risques. Mehari les outils : RISICARE
Risicare s'appuie sur les caractéristiques suivantes : L'utilisation de la méthode Mehari développée au sein du CLUSIF comme modèle d'analyse des risques. La possibilité de personnaliser les bases de connaissances, voire de construire ses propres bases de connaissances. Une relation entre un audit de l'existant et la quantification de scénarios de risques. Une prise en compte exhaustive et automatique des multiples possibilités de survenance de ces scénarios. L'élaboration de plans d'action cohérents optimisant la réduction de l'ensemble des risques. Une aide en ligne très développée avec l'accès à un ensemble de rubriques méthodologiques et techniques. Caractéristiques de Risicare
Conclusion EBIOS MEHARI Publié en 1997, créée en 1995 développée depuis 1995 Structure Étude du contexte 1. L’identification des risquesÉtude des événements redoutés Étude des scénarios de menaces Étude des risques 2. L’estimation des risques Étude des mesures de sécurité 3. La gestion des risques Outils Guide pratique Documents pratiques Logiciel libre et gratuit Logiciel gratuit Formation Vidéos Etudes de cas Outils de calculs Excel intégrés au logiciel Club EBIOS Finalement, on se rend compte que ces deux méthodes abordent les même sujets, mais peut être sous un angle un peu plus fonctionnel ,la méthode EBIOS et plus “managériale” que la méthode MEHARI.
Merci Pour Votre Attention

Contenu connexe

PPTX
Audit de sécurité informatique
parMohamed Ali Hadhri
 
PPTX
EBIOS
parHouda Elmoutaoukil
 
PDF
Mehari
parImane ABOU EL MARAI
 
PDF
Gouvernance de la sécurite des Systèmes d'Information Volet-1
parPRONETIS
 
PPTX
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
parJean-Michel Razafindrabe
 
PPTX
Ebios
parkilojolid
 
PDF
EBIOS Risk Manager
parComsoce
 
PDF
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
parEyesOpen Association
 
Audit de sécurité informatique
parMohamed Ali Hadhri
 
EBIOS
parHouda Elmoutaoukil
 
Mehari
parImane ABOU EL MARAI
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
parPRONETIS
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
parJean-Michel Razafindrabe
 
Ebios
parkilojolid
 
EBIOS Risk Manager
parComsoce
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
parEyesOpen Association
 

Tendances

PPTX
Mehari
parAfaf MATOUG
 
PDF
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
PDF
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
PDF
Introduction à la sécurité informatique
parYves Van Gheem
 
PDF
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
PDF
Présentation Méthode EBIOS Risk Manager
parComsoce
 
PPT
Cours CyberSécurité - Concepts Clés
parFranck Franchin
 
PPTX
Sécurité des systèmes d'informations
parEmna Tfifha
 
PDF
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
parTidiane Sylla
 
PPTX
Installation et configuration d'un système de Détection d'intrusion (IDS)
parCharif Khrichfa
 
PDF
ISO 27001
parMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
PDF
Conix - EBIOS Risk Manager
parThierry Pertus
 
PPTX
Sécurité informatique
paroussama Hafid
 
PPTX
Présentation pfe Développement d'une application bancaire mobile
parNader Somrani
 
PDF
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
parhpfumtchum
 
PPTX
Ebios
parLandry Kientega
 
PDF
Etude et mise en place d’une solution open source de gestion de la sécurité d...
parMohammed LAAZIZLI
 
PDF
SMSI.pdf
parHajarSalimi
 
PPT
Mission d'audit des Systéme d'information
parAymen Foudhaili
 
PPTX
METHODE OCTAVE
pardazaiazouze
 
Mehari
parAfaf MATOUG
 
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
Introduction à la sécurité informatique
parYves Van Gheem
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
Présentation Méthode EBIOS Risk Manager
parComsoce
 
Cours CyberSécurité - Concepts Clés
parFranck Franchin
 
Sécurité des systèmes d'informations
parEmna Tfifha
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
parTidiane Sylla
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
parCharif Khrichfa
 
ISO 27001
parMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Conix - EBIOS Risk Manager
parThierry Pertus
 
Sécurité informatique
paroussama Hafid
 
Présentation pfe Développement d'une application bancaire mobile
parNader Somrani
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
parhpfumtchum
 
Ebios
parLandry Kientega
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
parMohammed LAAZIZLI
 
SMSI.pdf
parHajarSalimi
 
Mission d'audit des Systéme d'information
parAymen Foudhaili
 
METHODE OCTAVE
pardazaiazouze
 

En vedette

PDF
ANALYSE DE RISQUES
parndelannoy
 
PDF
Mehari 2010-manuel-de-reference-2-14
parimen1989
 
PPTX
Gestion des risques SSI : Approche globale ou individuelle ?
parBPMSinfo
 
PPTX
Présentation BPM CBOK V3
parBPMSinfo
 
PDF
Conception d'un objet électronique - Présentation adulte
parPeronnin Eric
 
PPTX
ISO 27500
pardihiaselma
 
PPTX
Marion
parReda Hassani
 
PPTX
Processus Audit SI
parArsène Ngato
 
ANALYSE DE RISQUES
parndelannoy
 
Mehari 2010-manuel-de-reference-2-14
parimen1989
 
Gestion des risques SSI : Approche globale ou individuelle ?
parBPMSinfo
 
Présentation BPM CBOK V3
parBPMSinfo
 
Conception d'un objet électronique - Présentation adulte
parPeronnin Eric
 
ISO 27500
pardihiaselma
 
Marion
parReda Hassani
 
Processus Audit SI
parArsène Ngato
 

Similaire à Mehari

PPTX
Supplement MEHARI SUpplement cours Supplement MEHARI SUpplement cours.pptx
parANISZEBOUCHI
 
PDF
TUNDA OLEMBE DJAMBA , NOTES DU COURS DE SECURITE INFORMATIQUE AVANCEE .pdf
parTUNDA-OLEMBE DJAMBA
 
PDF
Clusif marion
parKnurt Vorgein
 
PDF
TUNDA OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE AVANCÉE. VERS...
parTUNDA-OLEMBE DJAMBA
 
DOC
Audit informatique
parIsmail EL Makrouz
 
PDF
Mehari 2010-diagnostic
paridman007
 
PDF
Iso 27005-mehair 1p-fr
parJames SECLONDE, PMP, LSSG, TOGAF, ITIL, COBIT
 
PPT
Gestion des Risques une démarche synoptique de gestion des risques au sein de...
parMustamaho
 
PDF
Cadre méthodologique pour un SMSI_jm_16x9.pdf
parJean-Marie Gandois
 
PDF
Sécurité des systèmes d'information
parFranck Franchin
 
PDF
Sã©curitã© des systã¨mes d'information
parDany Rabe
 
DOC
La sécurité des systèmes d’information
parlara houda
 
PPS
Audit Informatique
paretienne
 
PPTX
Gestion des risques
parmoussadiom
 
PPT
Presentation club qualite
parLe Moulin Digital
 
PDF
Security Day "Définitions, Risques et Droits" par Fouad Guenane
parWEBDAYS
 
PDF
Gestion des risques
pareGov Innovation Center
 
PDF
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
parORSYS
 
PDF
Guide ineris-sips-1459850449
parM'hammed Hamdaoui
 
PDF
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
Supplement MEHARI SUpplement cours Supplement MEHARI SUpplement cours.pptx
parANISZEBOUCHI
 
TUNDA OLEMBE DJAMBA , NOTES DU COURS DE SECURITE INFORMATIQUE AVANCEE .pdf
parTUNDA-OLEMBE DJAMBA
 
Clusif marion
parKnurt Vorgein
 
TUNDA OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE AVANCÉE. VERS...
parTUNDA-OLEMBE DJAMBA
 
Audit informatique
parIsmail EL Makrouz
 
Mehari 2010-diagnostic
paridman007
 
Iso 27005-mehair 1p-fr
parJames SECLONDE, PMP, LSSG, TOGAF, ITIL, COBIT
 
Gestion des Risques une démarche synoptique de gestion des risques au sein de...
parMustamaho
 
Cadre méthodologique pour un SMSI_jm_16x9.pdf
parJean-Marie Gandois
 
Sécurité des systèmes d'information
parFranck Franchin
 
Sã©curitã© des systã¨mes d'information
parDany Rabe
 
La sécurité des systèmes d’information
parlara houda
 
Audit Informatique
paretienne
 
Gestion des risques
parmoussadiom
 
Presentation club qualite
parLe Moulin Digital
 
Security Day "Définitions, Risques et Droits" par Fouad Guenane
parWEBDAYS
 
Gestion des risques
pareGov Innovation Center
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
parORSYS
 
Guide ineris-sips-1459850449
parM'hammed Hamdaoui
 
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 

Mehari

  • 1.
    Réalisé par : HoudaEl moutaoukil Encadré par : Pr.M.A. El Kiram
  • 2.
    Introduction Détail de laméthode Mehari Audit de sécurité Organisme et méthode d’audit Conclusion
  • 3.
    De nos joursles entreprises sont plus en plus connectés tant en interne que dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques. De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs fournisseurs clients partenaires et administrateur .on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire. Introduction
  • 4.
    Un audit desécurité consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre. l'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent. Audit de sécurité
  • 5.
    Le Club dela Sécurité de l'Information Français (CLUSIF) est une association à but non lucratif d'entreprises et de collectivités réunies en groupes de réflexion et d'échanges autour de différents domaines de la sécurité de l'information : gestion des risques, politiques de sécurité, etc. Organisme d’audit de sécurité : CLUSIF
  • 6.
    Méthode de gestionde risques de type Méhari octave, EBIOS … La méthode harmonisée d'analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d'une entreprise ou d'un organisme. Elle a été développée et proposée par le CLUSIF… Méthode d’audit de sécurité : MEHARI
  • 7.
    Mehari fournit uncadre méthodologique, des outils et des bases de connaissance pour :  analyser les enjeux majeurs .  étudier les vulnérabilités .  réduire la gravité des risques .  piloter la sécurité de l'information . But de la méthode
  • 8.
    Analyser les enjeuxmajeurs : Dans MEHARI, on appelle " Analyse des enjeux de la sécurité " :  L'identification des dysfonctionnements potentiels pouvant être causés ou favorisés par un défaut de sécurité,  L'évaluation de la gravité de ces dysfonctionnements. Cette analyse des enjeux vise à :  Etre sélectif dans les moyens à mettre en œuvre pour la sécurité de l'information et ne pas engager de dépenses là où les enjeux sont faibles.  Éviter des contraintes inutiles aux utilisateurs  Définir les priorités But de la méthode
  • 9.
    Etudier les vulnérabilités: L'analyse des vulnérabilités revient à identifier les faiblesses et les défauts des mesures de sécurité. En pratique, il s'agit d'une évaluation de la qualité de mesures de sécurité. Cette analyse des vulnérabilités permet de : Corriger les points faibles inacceptables par des plans d'action immédiats. Évaluer l'efficacité des mesures mises en place et garantir leur efficacité. préparer l'analyse des risques induits par les faiblesses mises en évidence. Se comparer à l'état de l'art ou aux normes en usage. But de la méthode
  • 10.
    réduire la gravitédes risques : Cette analyse des risques vise, le plus souvent : Définir les mesures les mieux adaptées au contexte et aux enjeux : il peut s'agir d'une démarche de management traditionnel par " politique de sécurité " orientée et alimentée par une analyse de risques. Mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées et prises en compte : il s'agit alors d'une politique de management de la sécurité par le management des risques. But de la méthode
  • 11.
    piloter la sécuritéde l'information : Dans ce domaine, MEHARI apporte : Un cadre adapté à différentes démarches et différentes sortes de management de la sécurité : Les modes de pilotage de la sécurité peuvent évoluer avec le temps Les demandes du management peuvent évoluer en fonction de la maturité de l’entreprise Une variété d’indicateurs et de synthèses : Niveaux de vulnérabilités et de risques, relatifs aux points de contrôles ISO 17799:2005 (repris dans ISO 27001), tableau de bord des risques critiques. But de la méthode
  • 12.
    Mehari s'articule autourde 3 types de livrables :  le Plan Stratégique de Sécurité (PSS)  les Plans Opérationnels de Sécurité (POS)  le Plan Opérationnel d'Entreprise (POE) Démarche de la méthode
  • 13.
    le Plan Stratégiquede Sécurité (PSS) : Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. Démarche de la méthode
  • 14.
    les Plans Opérationnelsde Sécurité (POS) : Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite. Démarche de la méthode
  • 15.
    le Plan Opérationneld'Entreprise (POE): Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Démarche de la méthode
  • 16.
    RISICARE est uneapproche associée à un outillage, s'appuyant sur la méthode Mehari 2010 et qui permet d'améliorer la productivité et la justesse d'une démarche de gestion des risques. Mehari les outils : RISICARE
  • 17.
    Risicare s'appuie surles caractéristiques suivantes : L'utilisation de la méthode Mehari développée au sein du CLUSIF comme modèle d'analyse des risques. La possibilité de personnaliser les bases de connaissances, voire de construire ses propres bases de connaissances. Une relation entre un audit de l'existant et la quantification de scénarios de risques. Une prise en compte exhaustive et automatique des multiples possibilités de survenance de ces scénarios. L'élaboration de plans d'action cohérents optimisant la réduction de l'ensemble des risques. Une aide en ligne très développée avec l'accès à un ensemble de rubriques méthodologiques et techniques. Caractéristiques de Risicare
  • 18.
    Conclusion EBIOS MEHARI Publié en1997, créée en 1995 développée depuis 1995 Structure Étude du contexte 1. L’identification des risquesÉtude des événements redoutés Étude des scénarios de menaces Étude des risques 2. L’estimation des risques Étude des mesures de sécurité 3. La gestion des risques Outils Guide pratique Documents pratiques Logiciel libre et gratuit Logiciel gratuit Formation Vidéos Etudes de cas Outils de calculs Excel intégrés au logiciel Club EBIOS Finalement, on se rend compte que ces deux méthodes abordent les même sujets, mais peut être sous un angle un peu plus fonctionnel ,la méthode EBIOS et plus “managériale” que la méthode MEHARI.
  • 19.