mehari (methode harmonis ee d’analyse des...
TRANSCRIPT
MEHARI(MEthode Harmonisee d’Analyse des RIsques)
Aurelien CEDEYN [email protected] MRISSA [email protected]
LIPLaboratoire de l’Informatique du Parallelisme
31 mars 2009
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 1 / 1
Presentation
MEHARI = MEthode Harmonisee d’Analyse des RIsques CLUSIF(Club de la Securite des Systemes d’Information Francais)1
Representation dans la region : CLUSIR Rhone-Alpes2
A partir de MARION et MELISSA
compatible ISO 13334 pour la methode ISO 17799 :20003 etBS7799-2 :2002 : base de connaissance
Methode destinee
Au managementAux Risk-managersAux operationnelsAux auditeurs
1 https ://www.clusif.asso.fr/index.asp
2 http ://www.clusir-rha.fr
3 https ://www.clusif.asso.fr/fr/production/ouvrages/pdf/PresentationISO17799-2000.pdf
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 2 / 1
Presentation
Politique globale de securite structuree par :
Un plan strategiqueDes plans operationnelsLa constitution de tableaux de bord
Logique du risque / mesure gravite, evaluation :
causes d’un sinistre, ou potentialiteconsequences, impactconstitution de scenarios : domaines metiers/techniques (la base descenarios est propriete du CLUSIF) Outils possibles (Risicare (BUCS.A.) )
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 3 / 1
Comprendre le risque
Risque = action, evenement, entite qui peut empecher le maintiend’une situation, de satisfaire un objectif (dans des conditions fixees).
Potentialite = capacite de se produireImpact = importance des consequencesPotentialite & impact sont des caracteristiques du risque
Gravite = Potentialite & l’impact d’un risque
Appreciation objective de la gravite (potentialite derealisation/importance des consequences)
Pour nous : alteration et/ou destruction d’un SI
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 4 / 1
Surete de fonctionnement
Niveau de surete de fonctionnement
Justifie la confiance des utilisateursPeut etre altere par un incident
Declenchement d’une menace
Le risque potentiel devient effectifImportance de l’Impact selon la vulnerabilite du SI
Un impact possede
Une valeur intrinseque (sans contre-mesure) : Valeur de reference,hypothese la plus pessimisteUne valeur effective (tient compte des contre-mesure) : Justification ducout de mise en place des mesures de securiteUne valeur reelle mesuree apres sinistre
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 5 / 1
Surete de fonctionnement
Origines des risques
Physique (accident, panne)Humaine (irrespect des regles, faute)
IntentionnelleInvolontaire
Alteration de la surete de fonctionnement = risque
Mesures efficaces
Reductions du risque (impacts/potentialite)Ou mieux, evitement
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 6 / 1
Surete de fonctionnement
Connaissance anticipee des incidentsPar induction
Imaginer les consequences d’une defaillance pour mettre en evidence lesrisques potentiels
A partir d’un sinistre redoute
Remonter niveau par niveau aux evenements declencheurs (plusnaturelles)Analyse par arbre de defaillance/arbre de causes
Demarche realiste
Basee sur la potentialiteDepend de l’environnement et de caracteristiques propres au systemeRetenir les risques pertinents (correspondant a la politique de securitearretee)
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 7 / 1
Surete de fonctionnement
Objectifs
Evitement ou prevention des fautes au niveau de la construction dusystemeTechniques de tolerances aux fautes permettant de satisfaire le niveaude sureteMesures de verification et de prevision reduction/elimination fautes
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 8 / 1
Surete de fonctionnement
Critere de mesure de la surete de fonctionnement
Disponibilite capacite de delivrer le service convenu au moment requis.Fiabilite mesure de la continuite de service et respect des conditionsrequises.Degre de reponse aux occurrences de defaillances rarissimes auxconsequences catastrophiques
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 9 / 1
Securite du Systeme d’information (SI)
Surete de fonctionnement transposee au systeme de traitement et al’information traitee
On releve 2 enseignements
Criteres d’appreciation du niveau de securite des informationsTypes de mesures capables d’assurer le service de securite requis
Criteres de securiteDisponibilite
acces dans des conditions definies d’horaire, de delai et de performance
Integrite
Information exhaustive, exacte et resultant d’activites autorisees
Confidentialite
Acces autorise aux seules personnes admises a la connaıtreD’autres criteres peuvent etre consideres (« non repudiation »)
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 10 / 1
Mesure de securite
Mesures preventivesStructuration (pour minimiser les vulnerabilites)
composant (materiels, immateriels, humains)organisation, methodes (complement : information, formation,sensibilisation)
Dissuasion
decourager l’agresseur
Prevention
Empecher qu’une menace atteigne des ressources
Mesures curativesProtection
limiter les degats
Palliation
minimiser les consequences sur l’actvite
Recuperation
reduction du prejudice par transfert des pertes sur des tiers (assurances,actions de justice)
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 11 / 1
Service de securite
Service de securite
Reponse possible a un besoin specifique de securiteCorrespond a un ou plusieurs mecanismes de securite
Mecanisme de securite
Une des manieres possibles de realiser un service de securite
Solution de securite
Realisation concrete d’un mecanisme de securite (mise en oeuvrenotamment organisationnelle)
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 12 / 1
Exemple de service de securite
Le service controle d’acces physique realise par :
Gardien : effet dissuasion, prevention, protectionserrure 3 points : effet prevention seulement
Controle d’acces logiciel
Mots de passeCertificats
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 13 / 1
Qualite et securite
La securite peut etre consideree comme un element de la qualite
La qualite est un facteur de securiteles performances dependent de la qualite, elle est d’autant meilleureque la securite de fonctionnement est elevee.
En pratique (et sans entrer dans les debats) :
L’analyse des risques porte sur la recherche des failles ; l’insuffisance dela qualite peut generer des failles.Ce n’est que dans la mesure ou la qualite des elements d’un SI(organisation, locaux, personnes, materiel) ne sera pas juge suffisantepour assurer la securite souhaite qu’il faut s’en occuper.
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 14 / 1
Modele de risque et outils de decision
Trois niveaux de preoccupation :Strategique :
sensibilisation de la direction, adhesiondefinition d’objectifs : lignes directrices d’action, ressources necessairesjustification de la necessite
Fonctionnel :Definition des specifications fonctionnelles des solutions en terme deservices de securite.Garantir la coherence entre elles et vis a vis du schema directeur.Justification des mesures aupres des utilisateurs
Operationnel :Concretisation des solutions par les mecanismes de securite les mieuxadaptes.Formation des personnels charges de la mise en oeuvre.
Deux conditions :Pedagogique et comprehensible : presentation sous forme de scenarioallant des origines du risque aux causes du sinistre et a sesconsequencesMetrique : pour etre un outil de decision.
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 15 / 1
Scenario de sinistre
3 elements du scenario type :
consequencescausesorigines
Methode
Base de scenarios types qui est une decomposition ordonnees del’ensemble des scenarios possibles.Premierement : descriptions des consequences a regrouper en types deconsequences.Puis remonter aux causes, et enfin aux origines.
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 16 / 1
Classification des biens et des ressources
Les biens ou actifs sont l’ensemble de ce que possede l’entreprise.
A ce titre, les ressources du SI font parties des biens de l’entreprise ;elles sont caracterisees par :
Le type, plus ou moins detaille selon le niveau d’analyse :
donnees : selon utilisation et niveau de structuration (enregistrement,base de donnees).regles et procedures : programmes ou procedures (administratives,juridiques,...).structures des supports : ordinateurs, reseaux, centreressources humaines : par competences, responsabilites, ...
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 17 / 1
Classification des biens et des ressources
La valeur intrinseque
valeur en tant que bien marchand + evaluation contribution a larealisation des objectifs + evaluation des consequences de leur absenceou dysfonctionnement.
Cette estimation doit etre faite independamment de toute mesure desecurite
Elle est souvent superieure a la valeur de rachat ou de remplacement.
La classification des ressources est precisement une mesure de lavaleur intrinseque des ressources par rapport a chacun des criteresd’evaluation (Disponibilite, Integrite, Confidentialite).
Sert a determiner les ressources et les biens de plus grandes valeurs aproteger prioritairement.
La coherence des jugements portes depend de l’etablissement et duremplissage des regles et des grilles d’evaluation.
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 18 / 1
Decomposition cellulaire
Une cellule
Un ensemble de ressources homogene du point de vue de ses exigencesde securite et auquel il est prevu d’appliquer un ensemble de services desecurite coherent
2 objectifs contradictoires :
differencier les modes de mise en oeuvre des services : particularitesintra entreprise (sites, services,...)diminuer le volume de travail (en pratique, ne distinguer commesolutions independantes que les mises en oeuvre notablementdifferentes du point de vue de la securite.
Variable d’environnement
Permet de decrire globalement des sous-ensembles de services desecurite dont les caracteristiques specifiques de mises en oeuvre(instanciations) ne dependent que de cette variable.
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 19 / 1
Decomposition cellulaire
8 variables definissant 8 types de cellules proposees :L’entite
Services non techniques de nature organisationnelle
le site
Situation du site et protection
les locaux
Securite des locaux (controle d’acces, surveillance)
les applicatifs
Securite dans les applications et processus applicatifs
Les systemes
Services offerts par les systemes et l’infrastructure
Le developpement
Gestion de la securite dans le cycle de vie des projets
La production informatique
Services mis en œuvre par la production informatique
Les reseaux et telecoms
Services mis en œuvre par la structure d’exploitation des telecoms
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 20 / 1
Decomposition cellulaire
Evaluation du risque
Evaluer l’impact
Mesure le cout des consequencesDirectes & indirectes
Methode d’evaluation
Basee sur les objectifs & finalitesEtablir un inventaire des impactsFixer une hierarchie d’echelle de valeur / objectifsMetrique de reference
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 21 / 1
Minimisation/Suppression du risque
On essaie de reduire la gravite des deteriorations
Mesures de protection
De limiter la gravite des dysfonctionnements
Mesures palliatives
De limiter l’importance des pertes finales
Mesures de recuperation
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 22 / 1
Evaluation du risque
Evaluer le potentiel3 facteurs influencent le potentiel
L’exposition naturelleCaracterise l’attrait de la cible
L’appreciation par l’agresseur de son impuniteRisques encourus si identifie, risque d’etre pris
La force de l’agressionCapacite de l’agresseur a mener a bien son attaque
5 niveaux de potentiel
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 23 / 1
Evaluation du risque
Evaluer la graviteAversion au risque
Risque insupportable : reclame un plan d’urgenceRisque inadmissible : on ne veut pas le permettreRisque admissible : risque a limiter
Generation d’une grille de risque
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 24 / 1
Effet des services de securite
Structurel => effet preventif
Dissuasif => effet palliatif
De protection => effet de recuperation
Evaluation des services
Le status indique l’absence ou la presence de mesures de securitevis-a-vis d’un facteur de risque, et l ’evaluation de leur qualite pour unensemble de cellulesQualite = efficacite & robustesseLe status affecte a une ressource est significatif de la sensibilite decette ressource a un scenario donne
Le status est consolide au niveau global en
STATUS RI (de Reduction d’Impact)Puis en STATUS-I (d’impact)et STATUS-P (de potentialite)
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 25 / 1
Comprendre la methode
3 objectifs fondamentaux
Une vue unique des valeurs & risquesAutonomie des unites operationnelles (UO)Equilibre des moyens & coherence des controles
Repondent aux preoccupations de
CoherenceAdequation aux specificites des UO
Approche analytique & globale
Equilibre
Repartition des ressources en fonction des besoins de chaque UO
Realisme
Adapter les mesures en fonction de la perception des risques
Hierarchisation des problemes
Definir les priorites
Efficacite
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 26 / 1
Niveaux de plans
Plan strategique de securiteDefinit une politique de securite globale
Plan operationnel de securiteDeleguer aux UO autonomes les decisions
Plan operationnel d’entrepriseAssurer l’equilibre des moyens et la coherence des controles
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 27 / 1
Niveaux de plans : phase 1
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 28 / 1
Niveaux de plans : phase 2
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 29 / 1
Niveaux de plans : phase 3
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 30 / 1
Les points communs
Quelques invariants
Decoupage en cellulesDefinition des echelles de valeursClassification exhaustive des ressources
Afin de
Mettre en evidence des lacunesApporter de la coherence dans les propositionsOrdonnancer les actions en fonction du tempsCoordonner le deroulement effectif et les attentes
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 31 / 1
Exemple applicatif
https://www.clusif.asso.fr/fr/production/ouvrages/pdf/CasPratiqueMehari_Senilom.pdf
Aurelien CEDEYN [email protected] MRISSA [email protected] (LIP)MEHARI (MEthode Harmonisee d’Analyse des RIsques) 31 mars 2009 32 / 1