L’analyse des enjeux et la classification des actifs
L’analyse des enjeux est une étape essentielle de tout processus de gestion des risques et constitue le premier module de MÉHARI.
L’analyse des enjeux se concrétise par deux résultats principaux :
- L’échelle de valeurs des dysfonctionnements ;
- La classification des actifs du système d’information, et, en particulier, le tableau d’impact intrinsèque utilisé par les bases de connaissances de MÉHARI pour l’évaluation des scénarios de risque.
La démarche MÉHARI consiste à procéder à une analyse des activités et donc des processus de l’entreprise ou de l’organisme, d’en déduire les dysfonctionnements qui peuvent être redoutés, puis d’évaluer en quoi et jusqu’à quel point ces dysfonctionnements peuvent être plus ou moins graves, avant d’effectuer, éventuellement, la classification proprement dite des actifs du système d’information.
La démarche est décrite en détail dans le « Guide de l’analyse des enjeux et de la classification » téléchargeable depuis la page documentation.
Le diagnostic de l’état des services de sécurité
La qualité et l’efficacité des mesures de sécurité mises en œuvre sont, à l’évidence, des paramètres que l’on ne peut ignorer pour évaluer les risques auxquels une entreprise ou un organisme est confronté.
Dans MÉHARI, ces mesures de sécurité sont définies par des « services de sécurité » qui décrivent une réponse à un besoin de sécurité, exprimée en termes génériques et fonctionnels décrivant la finalité du service, indépendamment des mécanismes et solutions concrètes permettant la réalisation effective du service.
Les services de sécurité peuvent avoir des niveaux de performance très différents selon les mécanismes employés. Ils seront plus ou moins efficaces (performants) dans leur fonction et plus ou moins robustes dans leur capacité à résister à une attaque directe.
Un des fondements de MÉHARI est que l’on peut évaluer cette qualité globale (efficacité et robustesse) par des questionnaires adaptés et utiliser ensuite cette évaluation lors de l’évaluation quantitative des risques.
Les modules de diagnostic de MÉHARI-Expert et de Méhari-Standard comprennent ainsi une série de questionnaires (plus ou moins détaillés selon les versions) inclus dans chaque base de connaissances. Dans Méhari-Manager BC, il s’agit de fonctions dont le groupe d’analyse aura à évaluer la qualité à dire d’expert (avec la possibilité cependant de se reporter au questionnaire de Méhari-Standard).
La démarche et les processus détaillés de diagnostic sont décrits en détail dans le « Guide du diagnostic de l’état des services de sécurité » téléchargeable depuis la page documentation.
L’analyse des risques
MÉHARI se distingue par le fait qu’elle permet une gestion directe et individuelle des risques, en s’appuyant sur les principes de base rappelés :
Les risques peuvent être identifiés et décrits par des scénarios contenant un certain nombre d’éléments précis.
Chaque scénario de risque peut être évalué quantitativement et cette évaluation prend en compte :
- L’impact intrinsèque maximal du scénario de risque qui reflète le niveau de conséquence du scénario, s’il se réalise, en l’absence de toute mesure de sécurité et qui peut être déduit de l’analyse des enjeux (module 1) ;
- La potentialité intrinsèque du scénario (ou exposition naturelle au scénario), qui reflète le niveau de probabilité de survenance du scénario, en l’absence de toute mesure de sécurité et qui peut être évaluée directement (évaluation standard fournie par les bases de connaissances) ;
- Des facteurs de réduction de risque, différenciés par leur type d’effet sur l’impact ou la potentialité, facteurs qui dépendent des mesures de sécurité et de la qualité de ces mesures et qui peuvent être évalués à partir du diagnostic de l’état des services de sévérité (module 2).
Les bases de connaissances de MÉHARI contiennent les descriptions des scénarios de risque et l’ensemble des processus et algorithmes de l’analyse des risques sont décrits en détail dans le « Guide de l’analyse et du traitement des risques » téléchargeable depuis la page documentation.
Le traitement des risques
Le traitement des risques consiste à analyser chaque scénario de risque et à prendre des décisions spécifiques qui peuvent être de réduire le risque c’est-à-dire prendre des mesures pour que l’impact ou la potentialité ou les deux soient réduits et diminuent la gravité résiduelle en conséquence, de l’éviter en supprimant la situation de risque par des mesures structurelles ou organisationnelles, de le transférer, en particulier par l’assurance, voire d’accepter le risque tel quel.
En pratique, MÉHARI propose d’organiser le travail de manière structurée Le détail des aides fournies par les différentes versions de MÉHARI dans ce processus est fourni dans des documents séparés et spécifiques de chaque base de connaissances.