MÉHARI – Expert

MÉHARI – Expert s’adresse plus particulièrement à des architectures comprenant plusieurs sites et des organisations décentralisées avec pluralité d’acteurs.

Les particularités de MÉHARI – Expert sont les suivantes :

Actifs

Les actifs primaires distingués par MÉHARI – Expert sont les suivants :

Données et informations

  • Fichiers de données ou bases de données applicatives ;
  • Fichiers bureautiques partagés ;
  • Fichiers bureautiques personnels (gérés dans environnement personnel) ;
  • Informations écrites ou imprimées détenues par les utilisateurs, archives personnelles ;
  • Listings ou états imprimés des applications informatiques ;
  • Données échangées, écrans applicatifs, données individuellement sensibles ;
  • Courrier électronique ;
  • Courrier postal et télécopies ;
  • Archives patrimoniales ou documentaire ;
  • Archives informatiques ;
  • Données et informations publiées sur des sites publics ou internes.

Services informatiques et réseaux

  • Service du réseau étendu ;
  • Service du réseau local ;
  • Services applicatifs ;
  • Services bureautiques communs (serveurs de données, gestionnaires de documents, imprimantes partagées, etc.) ;
  • Équipements mis à la disposition des utilisateurs (PC, imprimantes locales, périphériques, interfaces spécifiques, etc.) ;
  • Services systèmes communs : messagerie, archivage, impression, édition, etc. ;
  • Services de publication d’informations sur un site web interne ou public.

Services généraux communs

  • Environnement de travail des utilisateurs ;
  • Services de télécommunication (voix, télécopies, visioconférence, etc.).

Processus de gestion de la conformité à la loi ou à la réglementation

  • Conformité à la loi ou aux réglementations relatives à la protection des renseignements personnels ;
  • Conformité à la loi ou aux réglementations relatives à la communication financière ;
  • Conformité à la loi ou aux réglementations relatives à la vérification de la comptabilité informatisée ;
  • Conformité à la loi ou aux réglementations relatives à la propriété intellectuelle ;
  • Conformité à la loi relative à la protection des systèmes informatisés ;
  • Conformité aux réglementations relatives à la sécurité des personnes et à la protection de l’environnement.

Menaces

Les menaces de la base Expert sont constituées de :

  • 43 types d’événements déclencheurs précisés, si nécessaire, par :
  • 8 types de lieux ;
  • 3 types de moments ;
  • 13 types de moyens ou méthodes d’accès ;
  • 25 processus ou phases de processus au cours duquel se produit l’événement ;
  • 16 types d’acteurs à l’origine de l’événement.

Services de sécurité

La base Expert comporte environ 300 services de sécurité répartis en 14 domaines :

  • Organisation de la sécurité ;
  • Sécurité des sites ;
  • Sécurité des locaux ;
  • Réseau intersites ;
  • Réseau local ;
  • Exploitation des réseaux ;
  • Sécurité des systèmes et de leur architecture ;
  • Production informatique ;
  • Sécurité applicative ;
  • Sécurité des projets et développements applicatifs ;
  • Protection des postes de travail utilisateurs ;
  • Exploitation des télécommunications ;
  • Processus de gestion ;
  • Gestion de la sécurité de l’information.

Le diagnostic de l’état de ces services est effectué par des questionnaires comportant environ 2150 questions.

Scénarios de risque

La base comporte ainsi près de 800 scénarios de risque répartis en 51 domaines (déduits des types d’actifs et des types de dommages).

Outils de pilotage et tableaux de bord

MÉHARI – Expert offre plusieurs types d’indicateurs et de tableaux de bord :

  • Une vision de synthèse des risques : nombre de scénarios de risque positionnés sur une grille I/P (Impact/Potentialité) ;
  • Un tableau du nombre de scénarios de risque par domaine de scénario (par type d’actifs et par type de dommage – D, I, C) ;
  • Un tableau du nombre de scénarios de risque par gravité et par type d’événement déclencheur.

Pour ces trois panoramas de risque, l’utilisateur a le choix entre 4 options :

  • Risques intrinsèques, en l’absence de toute mesure de sécurité ;
  • Risques actuels en fonction du diagnostic de l’état actuel des services de sécurité ;
  • Risques futurs tenant compte de tous les plans d’action sélectionnés ;
  • Risques prévus à une date donnée, tenant compte des projets (voir ci-dessous) planifiés et terminés à cette date.

MÉHARI – Expert propose aussi une démarche pour sélectionner des projets de réduction des risques :

  • La pré-sélection de plans d’action et la simulation de leurs effets sur les niveaux de risques ;
  • La possibilité de définir des « projets » que l’on peut ensuite planifier pour avoir une vision des niveaux de risques dans le temps.

Correspondance ISO

Les services de sécurité de MÉHARI – Expert sont définis dans l’optique d’être efficaces pour réduire les niveaux de risques et ne sont pas totalement alignés sur les bonnes pratiques de l’ISO 27002.

Il a cependant été prévu un lien entre certaines questions des diagnostics de l’état des services de sécurité et les contrôles de l’ISO, de telle sorte que l’on peut obtenir une « évaluation » de la conformité de l’entité aux préconisations de l’ISO.