MEHARI (M ´ Ethode Harmonis´ ee d’Analyse des RIsques) Aur´ elien CEDEYN [email protected]Micha¨ el MRISSA [email protected]LIP Laboratoire de l’Informatique du Parall´ elisme 31 mars 2009 Aur´ elien CEDEYN [email protected]¨ el MRISSA [email protected] (LIP) MEHARI (M ´ Ethode Harmonis´ ee d’Analyse des RIsques) 31 mars 2009 1/1
32
Embed
MEHARI (MEthode Harmonis ee d’Analyse des …tran.pat.free.fr/Exam_m2/Mehari/cours-mehari.pdfMEHARI (MEthode Harmonis ee d’Analyse des RIsques) Aur elien CEDEYN [email protected]
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Un plan strategiqueDes plans operationnelsLa constitution de tableaux de bord
Logique du risque / mesure gravite, evaluation :
causes d’un sinistre, ou potentialiteconsequences, impactconstitution de scenarios : domaines metiers/techniques (la base descenarios est propriete du CLUSIF) Outils possibles (Risicare (BUCS.A.) )
Justifie la confiance des utilisateursPeut etre altere par un incident
Declenchement d’une menace
Le risque potentiel devient effectifImportance de l’Impact selon la vulnerabilite du SI
Un impact possede
Une valeur intrinseque (sans contre-mesure) : Valeur de reference,hypothese la plus pessimisteUne valeur effective (tient compte des contre-mesure) : Justification ducout de mise en place des mesures de securiteUne valeur reelle mesuree apres sinistre
Imaginer les consequences d’une defaillance pour mettre en evidence lesrisques potentiels
A partir d’un sinistre redoute
Remonter niveau par niveau aux evenements declencheurs (plusnaturelles)Analyse par arbre de defaillance/arbre de causes
Demarche realiste
Basee sur la potentialiteDepend de l’environnement et de caracteristiques propres au systemeRetenir les risques pertinents (correspondant a la politique de securitearretee)
Evitement ou prevention des fautes au niveau de la construction dusystemeTechniques de tolerances aux fautes permettant de satisfaire le niveaude sureteMesures de verification et de prevision reduction/elimination fautes
Disponibilite capacite de delivrer le service convenu au moment requis.Fiabilite mesure de la continuite de service et respect des conditionsrequises.Degre de reponse aux occurrences de defaillances rarissimes auxconsequences catastrophiques
La securite peut etre consideree comme un element de la qualite
La qualite est un facteur de securiteles performances dependent de la qualite, elle est d’autant meilleureque la securite de fonctionnement est elevee.
En pratique (et sans entrer dans les debats) :
L’analyse des risques porte sur la recherche des failles ; l’insuffisance dela qualite peut generer des failles.Ce n’est que dans la mesure ou la qualite des elements d’un SI(organisation, locaux, personnes, materiel) ne sera pas juge suffisantepour assurer la securite souhaite qu’il faut s’en occuper.
sensibilisation de la direction, adhesiondefinition d’objectifs : lignes directrices d’action, ressources necessairesjustification de la necessite
Fonctionnel :Definition des specifications fonctionnelles des solutions en terme deservices de securite.Garantir la coherence entre elles et vis a vis du schema directeur.Justification des mesures aupres des utilisateurs
Operationnel :Concretisation des solutions par les mecanismes de securite les mieuxadaptes.Formation des personnels charges de la mise en oeuvre.
Deux conditions :Pedagogique et comprehensible : presentation sous forme de scenarioallant des origines du risque aux causes du sinistre et a sesconsequencesMetrique : pour etre un outil de decision.
Base de scenarios types qui est une decomposition ordonnees del’ensemble des scenarios possibles.Premierement : descriptions des consequences a regrouper en types deconsequences.Puis remonter aux causes, et enfin aux origines.
Les biens ou actifs sont l’ensemble de ce que possede l’entreprise.
A ce titre, les ressources du SI font parties des biens de l’entreprise ;elles sont caracterisees par :
Le type, plus ou moins detaille selon le niveau d’analyse :
donnees : selon utilisation et niveau de structuration (enregistrement,base de donnees).regles et procedures : programmes ou procedures (administratives,juridiques,...).structures des supports : ordinateurs, reseaux, centreressources humaines : par competences, responsabilites, ...
valeur en tant que bien marchand + evaluation contribution a larealisation des objectifs + evaluation des consequences de leur absenceou dysfonctionnement.
Cette estimation doit etre faite independamment de toute mesure desecurite
Elle est souvent superieure a la valeur de rachat ou de remplacement.
La classification des ressources est precisement une mesure de lavaleur intrinseque des ressources par rapport a chacun des criteresd’evaluation (Disponibilite, Integrite, Confidentialite).
Sert a determiner les ressources et les biens de plus grandes valeurs aproteger prioritairement.
La coherence des jugements portes depend de l’etablissement et duremplissage des regles et des grilles d’evaluation.
Un ensemble de ressources homogene du point de vue de ses exigencesde securite et auquel il est prevu d’appliquer un ensemble de services desecurite coherent
2 objectifs contradictoires :
differencier les modes de mise en oeuvre des services : particularitesintra entreprise (sites, services,...)diminuer le volume de travail (en pratique, ne distinguer commesolutions independantes que les mises en oeuvre notablementdifferentes du point de vue de la securite.
Variable d’environnement
Permet de decrire globalement des sous-ensembles de services desecurite dont les caracteristiques specifiques de mises en oeuvre(instanciations) ne dependent que de cette variable.
Le status indique l’absence ou la presence de mesures de securitevis-a-vis d’un facteur de risque, et l ’evaluation de leur qualite pour unensemble de cellulesQualite = efficacite & robustesseLe status affecte a une ressource est significatif de la sensibilite decette ressource a un scenario donne
Le status est consolide au niveau global en
STATUS RI (de Reduction d’Impact)Puis en STATUS-I (d’impact)et STATUS-P (de potentialite)
Decoupage en cellulesDefinition des echelles de valeursClassification exhaustive des ressources
Afin de
Mettre en evidence des lacunesApporter de la coherence dans les propositionsOrdonnancer les actions en fonction du tempsCoordonner le deroulement effectif et les attentes