MEHARI Standard

MEHARI Standard

Les particularités de Méhari – Standard sont les suivantes :

Méhari – Standard s’adresse plus particulièrement à des architectures moyennes comprenant un seul site et une organisation des systèmes d’information centralisée (DSI).

Méhari – Standard est également adapté à toutes sortes d’organisations quand il est souhaité d’avoir une vision plus globale des risques et des outils de pilotage plus complets, quitte à reporter aux phases de déploiement les adaptations des décisions aux particularités et sensibilités des éléments de l’architecture.

Méhari – Standard est également adapté aux entreprises ou organismes qui souhaitent un alignement complet des services de sécurité sur les contrôles de l’ISO 27002.

Produit : MEHARI
Version : Standard
Mise à jour : 2017
Status : Disponible
Lien : TÉLÉCHARGER
Catégorie : Gestion de risque

Actifs et menaces

Actifs

Données et informations
  • Fichiers bureautiques
  • Informations écrites ou imprimées détenues par les utilisateurs, archives personnelles
  • Données en transit ou données individuellement sensibles
  • Courrier électronique
  • Données et informations publiées sur des sites publics ou internes
  • Données externalisées sur le cloud
  • Archives documentaires ou informatiques.
Services informatiques et réseaux
  • Services applicatifs
  • Equipements mis à la disposition des utilisateurs (PC, imprimantes locales, périphériques, interfaces spécifiques, etc.)
  • Services de publication d’informations sur un site web interne ou public
  • Services externalisés ou hébergés sur le cloud
Services généraux communs
  • Mise à disposition de l’environnement de travail des utilisateurs
Processus de gestion de la conformité à la loi ou à la réglementation
  • Processus de management et de gouvernance (conformité)

Menaces

Les menaces de la base Standard sont constituées de :
  • 4 types de lieux
  • 2 types de moments
  • 12 processus ou phases de processus au cours duquel se produit l’événement
  • 14 types d’acteurs à l’origine de l’événement

Services et scénarios

Services de sécurité

La base Standard comporte environ 140 services de sécurité répartis en 8 domaines :
  • Organisation de la sécurité
  • Sécurité physique
  • Sécurité des systèmes et de leur architecture
  • Exploitation des systèmes d’information et de communication
  • Sécurité applicative et continuité de l’activité
  • Protection des postes de travail utilisateurs
  • Sécurité des projets et développements applicatifs
  • Conformité aux exigences légales et contractuelles

Le diagnostic de l’état de ces services et effectué par des questionnaires comportant environ 900 questions.

Scénarios de risque

La base comporte ainsi un peu plus de 200 scénarios de risque répartis en 20 domaines (regroupant des types d’actifs et différenciant les types de dommages).

Outils et correspondance ISO

Outils de pilotage et tableaux de bord

Méhari – Standard offre plusieurs types d’indicateurs et de tableau de bord :
  • Une vision de synthèse des risques : nombre de scénarios de risque positionnés sur une grille I/P (Impact/Potentialité)
  • Un tableau du nombre de scénarios de risque par domaine de scénario (par type d’actifs et et par type de dommage – D, I, C)
  • Un tableau du nombre de scénarios de risque par gravité et par type d’événement déclencheur
Pour ces trois panoramas de risque, l’utilisateur a le choix entre 4 options :
  • Risques intrinsèques, en l’absence de toute mesure de sécurité
  • Risques actuels en fonction du diagnostic de l’état actuel des services de sécurité
  • Risques futurs tenant compte de tous les plans d’action sélectionnés
  • Risques prévis à une date donnée, tenant compte des projets (voir ci-dessous) planifiés et terminés à cette date.
Méhari – Standard propose aussi une démarche pour sélectionner des projets de réduction des risques prédéfinis (parmi 47 projets standards) et propose :
  • Des aides à la sélection de projets, par un automatisme permettant de mettre en évidence les projets susceptibles de réduire le maximum de risques de niveaux élevés (insupportables ou inadmissibles)
  • Une présentation synthétique du nombre de risques de niveaux 3 et 4 (insupportables et inadmissibles) par année en fonction des dates d’achèvements des projets décidés et planifiés
  • Un tableau de bord général des risques.

Correspondance ISO

Les services de sécurité de la base de connaissance de Méhari Standard ont été redéfinis pour s’aligner au maximum sur la norme ISO 27002:2013. En conséquence :
  • Là où des services de sécurité différents (dans les bases précédentes) correspondaient à un seul contrôle ISO, ils ont été regroupés afin d’obtenir une correspondance « un contrôle ISO => un service Méhari »
  • Là où des contrôles ISO ne correspondaient à aucun service Méhari, un nouveau service a été créé
  • Les services de sécurité ne correspondant à aucun contrôle ISO mais nécessaires à la réduction de certains risques ou relatifs à des domaines non couverts par l’ISO ont été maintenus (par exemple, protection de l’information écrite, des archives, etc.)