MEHARI Mthode dAnalyse des Risques du Systme dInformation - PowerPoint PPT Presentation

1 / 24
About This Presentation
Title:

MEHARI Mthode dAnalyse des Risques du Systme dInformation

Description:

Les rencontres AMRAE 2004. Analyse et Gestion des risques : MEHARI ... MEHARI : Approche Analytique. CLUSIF 16. 15/01/2004. Les rencontres AMRAE 2004. Analyse et ... – PowerPoint PPT presentation

Number of Views:1846
Avg rating:5.0/5.0
Slides: 25
Provided by: DuP755
Category:

less

Transcript and Presenter's Notes

Title: MEHARI Mthode dAnalyse des Risques du Systme dInformation


1
MEHARI? Méthode dAnalyse des Risquesdu Système
d Information
  • Méthode dAnalyse Globale
  • des Risques dEntreprise

2
Pourquoi MEHARI au 21ème siècle
3
Le Risque
  • Le fait quun événement puisse empêcher de
  • maintenir une situation donnée
  • et
  • maintenir un objectif dans des conditions fixées
  • et
  • satisfaire une finalité programmée

4
La capacité du risque
  • pour quun tel événement adverse se produise,
  • se traduit par la notion de
  • potentialité
  • de survenance du risque
  • Limportance de ses conséquences se traduit par
    la notion d
  • impact

5
La gravité du risque
Potentialité et Impact spécifie la Gravité du
risque
Impact
Potentialité
4 risques insupportables 3 risques
inadmissibles 2 risques tolérés
6
Le scénario de sinistre
  • ltscénario typegt ltconséquences - causes -
    originesgt
  • La typologie décrit
  • les types de détériorations ou de dégâts
  • les événements qui ont pu conduire au
    déroulement du scénario
  • les origines qui complètent la description
    des types d'agression

7
Le déroulement du scénario
  • Pour étudier le scénario, il faut
  • identifier lensemble des ressources
  • qui ont participé
  • depuis son origine
  • jusqu'à son aboutissement

8
Ressources 9 Domaines
  • Organisationnel
  • Entité

Technique Architecture Rx Télécom Exploitation
Rx Télécom Systèmes opératoires Production
informatique Applicatifs Développement
Géographique Site Locaux
9
Les valeurs de lEntreprise
  • La reconnaissance des VALEURS DE L'ENTREPRISE
  • est un préalable à toute action dans le domaine
    de la sécurité.
  • Les mesures de sécurité
  • ont un coût et l'effort investi
  • doit l'être en
  • fonction de ce que l'on veut protéger.
  • Classifier les ressources

10
BIENS ou ACTIFS
Structurelles
Q u a l i t é de S e r v i c e s de S é c u r
i t é
P O T E N T I A L I T E
ENJEUX
sont la CIBLE de
Dissuasives
MENACE POTENTIELLE
G R A V I T É des S C É N A R I O S
se CONCRETISE par une
Préventives
AGRESSION
Mesures
qui DECLENCHE une
Causes
Protection
Conséquences
DETERIORATION
I M P A C T
qui PROVOQUE des
Palliatives
DEGATS
qui OCCASIONNENT des
Récupération
PERTES
11
MEHARI
  • Propose un cadre et une méthode qui garantissent
    la cohérence des décisions prises au niveau
    directorial
  • Structure la sécurité de l'entreprise sur une
    base unique d'appréciation dans la complexité des
    systèmes dinformation
  • Permet la recherche de solutions au niveau
    opérationnel de la sécurité en délégant les
    décisions aux unités opérationnelles et autonomes
  • Assure, au sein de l'entreprise, l'équilibre des
    moyens et la cohérence des contrôles

12
MEHARI 3 Plans
  • Plan Stratégique de Sécurité (PSS)
  • Plans Opérationnels de Sécurité (POS)
  • Plan Opérationnel d'Entreprise (POE)

13
MEHARI 3 Plans
P S S
Indicateurs Tableau de Bord
Politique Charte
P O E
Direction Générale
Opérationnel
Objectifs Métriques
Vulnérabilité Gravité Plan daction
P O S (1 à n)
14
(No Transcript)
15
MEHARI Approche Analytique
16
MEHARI les livrables
  • Plan Stratégique de Sécurité
  • métriques (P, I, G), Classification des
    ressources (D, I, C)
  • Politique de sécurité, Charte de management
  • ?Plan(s) Opérationnel(s) de Sécurité
  • Audit de vulnérabilité, Gravité des scénarios,
  • Plan(s) dactions
  • ?Plan Opérationnel d Entreprise
  • les scénarios surveillés, les indicateurs, le
    tableau de bord

17
MEHARI Cas pratique - POS
18
MEHARI Cas pratique - POS
19
MEHARI Cas pratique - POS
Gravité initiale
Gravité finale
20
MEHARI La conduite dun projet
Périmètre Domaine Couvert
Objectifs de sécurité Métrique des risques G A
(I,P)
Audit de l existant
I n d i c a t e u r s
T a b l e a u d e B o r d
Classification des ressources Enjeux
Évaluation de la Gravité des scénarios
Expression des besoins de sécurité
Politique de sécurité
Plan d Actions
Charte de Management
21
MEHARI ses applications
  • Plan Stratégique de Sécurité
  • Plan(s) Opérationnel(s) de Sécurité
  • Traitement dune famille de scénario
  • Traitement dun risque spécifique (A, E, M)
  • Traitement dun critère de sécurité (D, I, C)
  • Traitement dun scénario particulier
  • Traitement dune application opérationnelle
  • Traitement dun projet

22
MEHARI les outils
  • Français et Anglais
  • Les ouvrages du CLUSIF
  • la Méthode, le cas pratique, les indicateurs de
    sécurité
  • Les Bases de Connaissances
  • 12 Familles de scénarios, Services de sécurité,
    Questionnaire de vulnérabilité
  • Le logiciel RISICARE
  • module de formatage des bases et de
    personnalisation
  • module danalyse de vulnérabilité et des risques

23
MEHARI les évolutions
  • Les bases de connaissances personnalisées
  • risques opérationnels
  • risques Métier
  • Sécurité physique
  • Sécurité des développements
  • Conduite de projet
  • MEHARI.NET
  • MEHARI.PME
  • .

24
MEHARI pour en savoir plus
  • Commission METHODES
  • annie.dupont_at_clusif.asso.fr
  • Site web MEHARI www.clusif.asso.fr/mehari
  • Merci de votre attention
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "MEHARI Mthode dAnalyse des Risques du Systme dInformation" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!