MEHARI Expert

MEHARI Expert

Les particularités de Méhari – Expert sont les suivantes :

Méhari – Expert s’adresse plus particulièrement à des architectures comprenant plusieurs sites et des organisations décentralisées avec pluralité d’acteurs.

Produit : MEHARI
Version : Expert
Mise à jour : 2017
Status : Disponible
Lien : TÉLÉCHARGER
Catégorie : Gestion de risque

Actifs et menaces

Actifs

Données et informations
  • Fichiers de données ou bases de données applicatives
  • Fichiers bureautiques partagés
  • Fichiers bureautiques personnels (gérés dans environnement personnel)
  • Informations écrites ou imprimées détenues par les utilisateurs, archives personnelles
  • Listings ou états imprimés des applications informatiques
  • Données échangées, écrans applicatifs, données individuellement sensibles
  • Courrier électronique
  • Courrier postal et télécopies
  • Archives patrimoniales ou documentaires
  • Archives informatiques
  • Données et informations publiées sur des sites publics ou internes
Services informatiques et réseaux
  • Service du réseau étendu
  • Service du réseau local
  • Services applicatifs
  • Services bureautiques communs (serveurs de données, gestionnaires de documents, imprimantes partagées, etc.)
  • Equipements mis à la disposition des utilisateurs (PC, imprimantes locales, périphériques, interfaces spécifiques, etc.)
  • Services systèmes communs : messagerie, archivage, impression, édition, etc.
  • Services de publication d’informations sur un site web interne ou public
Services généraux communs
  • Environnement de travail des utilisateurs
  • Services de télécommunication (voix, télécopies, visioconférence, etc.)
Processus de gestion de la conformité à la loi ou à la réglementation
  • Conformité à la loi ou aux réglementations relatives à la protection des renseignements personnels
  • Conformité à la loi ou aux réglementations relatives à la communication financière
  • Conformité à la loi ou aux réglementations relatives à la vérification de la comptabilité informatisée
  • Conformité à la loi ou aux réglementations relatives à la propriété intellectuelle
  • Conformité à la loi relative à la protection des systèmes informatisés
  • Conformité aux réglementations relatives à la sécurité des personnes et à la protection de l’environnement

Menaces

Les menaces de la base Expert sont constituées de :
  • 43 types d’événements déclencheurs précisés, si nécessaire, par :
  • 8 types de lieux
  • 3 types de moments
  • 13 types de moyens ou méthodes d’accès
  • 25 processus ou phases de processus au cours duquel se produit l’événement
  • 16 types d’acteurs à l’origine de l’événement

Services et scénarios

Services de sécurité

&nbsp

La base Expert comporte environ 300 services de sécurité répartis en 14 domaines :
  • Organisation de la sécurité
  • Sécurité des sites
  • Sécurité des locaux
  • Réseau intersites
  • Réseau local
  • Exploitation des réseaux
  • Sécurité des systèmes et de leur architecture
  • Production informatique
  • Sécurité applicative
  • Sécurité des projets et développements applicatifs
  • Protection des postes de travail utilisateurs
  • Exploitation des télécommunications
  • Processus de gestion
  • Gestion de la sécurité de l’information

Le diagnostic de l’état de ces services et effectué par des questionnaires comportant environ 2150 questions

Scénarios de risque

La base comporte ainsi près de 800 scénarios de risque répartis en 51 domaines (déduits des types d’actifs et des types de dommages).

Outils et correspondance ISO

Outils de pilotage et tableaux de bord

&nbsp

Méhari – Expert offre plusieurs types d’indicateurs et de tableau de bord :
  • Une vision de synthèse des risques : nombre de scénarios de risque positionnés sur une grille I/P (Impact/Potentialité)
  • Un tableau du nombre de scénarios de risque par domaine de scénario (par type d’actifs et et par type de dommage – D, I, C)
  • Un tableau du nombre de scénarios de risque par gravité et par type d’événement déclencheur
Pour ces trois panoramas de risque, l’utilisateur a le choix entre 4 options :
  • Risques intrinsèques, en l’absence de toute mesure de sécurité
  • Risques actuels en fonction du diagnostic de l’état actuel des services de sécurité
  • Risques futurs tenant compte de tous les plans d’action sélectionnés
  • Risques prévis à une date donnée, tenant compte des projets (voir ci-dessous) planifiés et terminés à cette date.
Méhari – Expert propose aussi une démarche pour sélectionner des projets de réduction des risques :
  • La pré-sélection de plans d’action et la simulation de leurs effets sur les niveaux de risques
  • La possibilité de définir des « projets » que l’on peut ensuite planifier pour avoir une vision des niveaux de risques dans le temps

Correspondance ISO

&nbsp
Les services de sécurité de Méhari – Expert sont définis dans l’optique d’être efficaces pour réduire les niveaux de risques et ne sont pas totalement alignés sur les bonnes pratiques de l’ISO 27002.

Il a cependant été prévu un lien entre certaines questions des diagnostics de l’état des services de sécurité et les contrôles de l’ISO, de telle sorte que l’on peut obtenir une « évaluation » de la conformité de l’entité aux préconisations de l’ISO.