METHODES

MEHARI 2010
Manuel de rfrence de la base de connaissances MEHARI 2010
DB-Mehari_2010_Exc_FR_2-[Link]
Pour Excel , LibreOffice ou OpenOffice

30 mars 2012

Espace Mthodes

CLUB DE LA SECURITE DE LINFORMATION FRANAIS

11, rue de Mogador, 75009 PARIS
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@[Link]
Web : [Link]

Remerciements
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :
Olivier

Corbier

Docapost

Responsable de lEspace Mthodes

Jean-Philippe

Jouas

Responsable du Groupe de Travail Principes, Mcanismes et

Bases de connaissances de MEHARI

Jean-Louis

Roule

Responsable du Groupe de Travail Documentation de MEHARI

Dominique

Buc

BUC S.A.

Annabelle

Travers-Viaud BULL SAS

Louise

Doucet

Ministre des Services gouvernementaux du Qubec

Martine

Gagn

HydroQubec

Mose

Hazzan

Ministre des Services gouvernementaux du Qubec

Chantale

Pineault

AGRM

Luc

Poulin

CRIM

Pierre

Sasseville

Ministre des Services gouvernementaux du Qubec

Claude

Taillon

Ministre de l'ducation, du Loisir et du Sport du Qubec

Marc

Touboul

BULL SAS

MEHARI est une marque dpose par le CLUSIF.

La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle, faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal

Sommaire
1

Feuilles de calcul contenues dans le classeur .......................................................................................... 6

Description gnrale des feuilles de calcul utilises............................................................................... 7

2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
2.10
2.11
2.12
2.13
2.14
2.15
2.16
2.17
2.18
2.19
2.20
2.21
2.22

Appellation des feuilles de calcul ..................................................................................................... 7

Feuille Intro......................................................................................................................................... 7
Feuille Dossier .................................................................................................................................... 8
Feuille Licence .................................................................................................................................... 8
Feuilles de classification T1(donnes), T2 (services) et T3(processus de management........... 8
Feuille Classif ...................................................................................................................................... 9
Feuilles de diagnostic des services de scurit ............................................................................... 9
Feuille Services ................................................................................................................................. 10
Feuille Thmes.................................................................................................................................. 11
Feuille Score ISO ........................................................................................................................... 11
Feuille Expo.................................................................................................................................... 11
Feuille Scnarios............................................................................................................................. 12
Feuille Risk%actif........................................................................................................................... 13
Feuille Risk%event......................................................................................................................... 14
Feuille Plans_action ....................................................................................................................... 14
Feuille Obj_PA............................................................................................................................... 15
Feuille Obj_Projets ........................................................................................................................ 15
Feuille Vulnrabilits types ........................................................................................................... 16
Feuille Grilles_IP ........................................................................................................................... 16
Feuille Gravit ................................................................................................................................ 16
Feuille Corr_Services..................................................................................................................... 16
Feuille Codes .................................................................................................................................. 16

Traitements et calculs effectus.............................................................................................................. 17

3.1 Traitements et fonctions utilises .................................................................................................. 17
3.2 Macros (sous Excel)......................................................................................................................... 19

MEHARI 2010 : Manuel de rfrence

de la base de connaissances 2-14

5/21

CLUSIF 2012
30 mars 2012

1 Feuilles de calcul contenues dans

le classeur
Les feuilles de calcul contenues dans le classeur distribu par le CLUSIF sont de plusieurs types:
Des feuilles gnrales de mise en uvre :
Intro
Dossier
Nav
Licence
4 feuilles relatives aux rsultats de lanalyse des enjeux et de la classification des actifs :
T1, T2 et T3 : exigences de scurit pour les processus mtiers et transverses
Classif : report des niveaux de classification des actifs partir de T1, T2 et T3
Des feuilles relatives au diagnostic des services de scurit
01 Org 14 ISM : feuilles de questionnaires de diagnostic (une par domaine)
Services : feuille rcapitulative des rsultats des diagnostics par service
Thmes : feuille rcapitulative, par thme de scurit
Score ISO : rsultats des diagnostics selon la classification IS0 27001/27002 et table de dclaration dapplicabilit (SOA)
Des feuilles relatives lvaluation des risques :
Expo : feuille dvaluation de lexposition naturelle aux risques
Scnarios : feuille descriptive des scnarios
Risk%actif et Risk%event : feuilles rcapitulatives de la gravit des scnarios par
type dactif et par type dvnement
Des feuilles relatives la prparation de plans daction :
Plans_daction : Rcapitulatif des scenarios par famille et des plans daction possibles
Obj_PA : Rcapitulatif des objectifs issus des plans daction
Obj_Projets : objectifs par projet
4 feuilles dlments permanents et de paramtrage de la mthode :
Vulnrabilits types
2 feuilles de paramtrage : Grille-IP et Gravit
1 feuille de correspondance entre les services de MEHARI 2010 et de MEHARI
2007
1 feuille de codes (masque) servant dans la description des scnarios
Le fichier peut tre ouvert soit avec Excel soit avec Open Office (version 3.1 ou plus).

MEHARI 2010 : Manuel de rfrence

de la base de connaissances 2-14

6/21

CLUSIF 2012
30 mars 2012

2 Description gnrale des feuilles

de calcul utilises
Conventions utilises pour ce document:
Texte normal pour la description de la feuille,
Exprime la possibilit dentrer normalement des donnes pour effectuer lanalyse de risque
Exprime une possibilit additionnelle plus experte dans le traitement des rsultats.

2.1 Appellation des feuilles de calcul

Les feuilles de calcul ont des appellations qui sont reprises dans les descriptions ci-dessous, mais
galement par les fonctions de calcul utilises pour la mise jour des bases. Il est donc demand
de ne pas les changer (sinon il faut intervenir sur les fonctions).
Cependant, il est possible, lors dun travail danalyse MEHARI, dajouter des feuilles pour dcrire
des lments de suivi ou de description des actions et des intervenants impliqus ou de crer un
autre fichier (tableur ou autre) destin constituer un dossier de la dmarche.
Les feuilles sont protges, sauf pour les cellules pouvant tre utilises pour entrer les rsultats,
explications ou commentaires obtenus par lquipe danalyse de risque. Il est expressment
demand de ne pas retirer la protection des feuilles sans raison majeure.
Par convention, une cellule est dsigne par le couple (numro de ligne, lettre de colonne).
Exemple : 21,D.
Le nom du classeur lui-mme est indiffrent.

2.2 Feuille Intro

La feuille Intro donne des indications sur les feuilles (ou onglets) et sur lutilisation de la base.
Sous Excel-Windows, il est possible de masquer, en fonction des phases de travail (enjeux, diagnostic, analyse, traitement, paramtrage), certaines feuilles de calcul par groupe.
Nota : Les utilisateurs ayant refus dactiver les macros au chargement de la base nont pas accs
cette fonction. Ils peuvent cependant masquer ou dmasquer des feuilles de calcul en utilisant
les fonctions standard du tableur.

MEHARI 2010 : Manuel de rfrence

de la base de connaissances 2-14

7/21

CLUSIF 2012
30 mars 2012

MEHARI 2010 Edition 2-1

Base de connaissances Mhari

Onglet
Intro

Objectif
Description et navigation entre les onglets du fichier de la base de connaissance

Rappel de la licence Publique de MEHARI

Licence
Module d'analyse des enjeux et classification des actifs:
Tableaux de classification
T1, T2 et T3
Classification des actifs
Classif
Module du diagnostic des services de scurit (ou d'audit)
Questionnaires relatifs aux domaines (01 14) de scurit MEHARI
Domaines 01 Org 14 MSI
Rcapitul de la qualit des services de scurit (avec variantes)
Services

Tableaux de
classification :
T1, T2, T3 et Classif

Feuilles de
questionnaires :
Thmes de scurit Mehari : regroupement des services et sous-services en 10 centres de 01Org 14 Msi
dintrts et 18 axes de reprsentation
Thmes et Score ISO

Thmes

Table de scoring ISO 27002 suite au diagnostic des services Mehari

Score ISO
Module d'analyse de risque (identification, estimation et valuation des risques)
Tableau des expositions naturelles aux menaces
Expo
Scnarios de risque incluant le calcul des risques
Scnarios
Panorama de gravit des scnarios par type d'actif
Risk%Actif
Panorama de gravit des scnarios par type d'vnement
Risk%event
Traitement des risques : options, plans de rduction et suivi
Plans_action
Slection de plans de rduction des risques
Obj_PA
Slection de plans de rduction des risques
Obj_Projets
Slection de plans de rduction des risques
Elments permanents et de paramtrage de la mthode
Les
onglets qui suivent sont apports avec la mthode
Vulnrabilits types
Dtermination de la Gravit du risque en fonction de la Potentialit et de lImpact
Gravit
Tables de dtermination dImpact et de Potentialit des scnarios
Grilles IP

Corr_Services

Feuilles d'analyse des

risques :
Evnements types,
Risques par actifs
ou vnements
Feuilles de traitement :
Plans_d'action
Obj_PA
Obj_Projets
Feuilles des
vulnrabilits types,
Grilles d'acceptabilit
des risques et
d'valuation de I et P,
Table de correspondance entre les services de Mhari 2010 et ceux de la version 2007
Corr_Services

Masquer

Masquer

Masquer

Masquer

Masquer

2.3 Feuille Dossier

Cette feuille nest pas protge car elle vous permet de dcrire les intervenants et les conditions
de ralisation de lanalyse de risque.

2.4 Feuille Licence

Cette feuille est un rappel de la licence dutilisation et de redistribution de la base de connaissance
de MEHARI.
MEHARI est distribu en mode Open Source. Son utilisation est gratuite mais la redistribution et
les additions la base de connaissance doivent mentionner que le CLUSIF est lorigine de
MEHARI.

2.5 Feuilles de classification T1(donnes), T2 (services) et

T3(processus de management
Ces feuilles sont utilises pour intgrer les rsultats de lanalyse des enjeux et du processus de
classification des actifs (voir guide correspondant).
La colonne A de la feuille T1 contient le nom de domaines dactivit, de processus mtiers et de
processus transverses (gestion des identits et des droits, administration des systmes et des rseaux, assistance aux utilisateurs, etc.)
La colonne B de la feuille T1 contient une description de fonction, ces deux colonnes sont automatiquement recopies dans les mmes colonnes des feuilles T2 et T3.
La colonne AF (Incl) de la feuille T1, fournie 1, indique que le processus est inclus dans le primtre de lanalyse de risque. Il faut forcer la valeur 0 pour exclure le processus.

MEHARI 2010 : Manuel de rfrence

de la base de connaissances 2-14

8/21

CLUSIF 2012
30 mars 2012

Ligne 3 : indique le critre de scurit D (Disponibilit), I (Intgrit), C (Confidentialit) or E (Efficience).

Ligne 4 : contient le nom de code de lactif indiqu en ligne 2.
Les cellules des lignes 5 21 de chaque feuille doivent contenir le niveau de classification (de 1
4) pour chaque critre de scurit de chaque actif en fonction de lanalyse des enjeux et de la cartographie effectue. (voir le guide de lanalyse des enjeux et d la classification)
Ligne 22 (Classification densemble) : chaque cellule est automatiquement remplie par la mthode
avec la valeur la plus leve des cellules prcdentes dans la colonne. En fonction de cette valeur,
les cellules sont colores en vert (2), orange (3) or rouge (4). Cette classification est donne titre
indicatif, car lanalyse de risque sera effectue partir de la ligne Classification du primtre.
Ligne 23 (Classification du primtre) : est automatiquement remplie comme pour la ligne prcdente mais seulement pour les domaines dactivit et les processus inclus dans le primtre
danalyse de risque par le contenu de la colonne Incl.
Ainsi, il est possible de raliser une premire analyse de risque sur un nombre restreint dactivits
et/ou de processus puis den considrer plus dans les itrations suivantes. Cela correspond aussi
la facilit de dfinir les frontires (boundaries) dun SMSI selon la norme ISO/IEC 27001:2005.
La slection autorise par la colonne Incl (remplie par dfaut avec des 1) permet aussi de prparer
la prsentation des rsultats aux managers. Ainsi il est possible, aprs lanalyse de risque, de ne slectionner quun (ou plusieurs) processus et de visualiser de manire unitaire les niveaux de risque
rsultants et les amliorations des services de scurit propres rduire ces risques.
Attention : du fait de la recopie automatique de la feuille T1 dans T2 et T3, il faut viter de modifier le nombre de lignes des feuilles T1 T3.

2.6 Feuille Classif

Cette feuille reoit automatiquement les synthses en provenance de T1, T2 et T3 et contient
pour chaque type dactif et chaque critre de scurit, la classification de lactif qui sera utilise
comme Impact Intrinsque pour lvaluation des scnarios de risque.
La colonne F est remplie par dfaut avec la valeur 1, forcer 0 permet de dslectionner le type
dactif correspondant. La dslection se traduit par le fait que les scnarios correspondant ce type dactif ne sont pas pris en compte dans la feuille scnarios et les feuilles Plans_action,
Risk%actif et Risk%event.
Ainsi il est possible de limiter (ou dexclure) lanalyse de risque certains actifs (par exemple les
rseaux ou la scurit physique) ou, lors du traitement des rsultats, de visualiser les amliorations
destines traiter ces actifs.

2.7 Feuilles de diagnostic des services de scurit

Ces feuilles, au nombre de 14, sont organises par domaine et numrotes de 01 Org 14 Msi
Toutes ces feuilles ont la mme organisation :
Colonne A : numro de service, de sous-service ou de question
MEHARI 2010 : Manuel de rfrence
de la base de connaissances 2-14

9/21

CLUSIF 2012
30 mars 2012

 Colonne B : libell du service, du sous-service ou de la question

Colonnes C (R-V1) F (R-V2) : rserves aux rponses possibles pour 4 variantes de
domaine maximum dans le schma daudit. Le nombre de variantes retenues doit
tre indiqu sur la premire ligne, colonne C (la valeur par dfaut tant 1).
Les rponses chaque question doivent tre 1 (Oui), 0 (Non) ou X (Sans Objet).
Il est possible de dclarer globalement un sous-service comme sans objet en indiquant
un X sur la ligne du titre du sous-service, dans la colonne de la variante considre (cette
dclaration est reporte automatiquement dans la feuille Services).
Colonnes G I : paramtres de calcul de la qualit de service (voir le guide du diagnostic des
services de scurit)
Colonne J : paramtre (E pour Efficacit, R pour Robustesse et C pour Continuit) caractristique de la mesure de scurit pouvant permettre de faire des slections de questions (en mode expert).
Colonne K : Rfrence au (ou aux) paragraphe de lISO/IEC 27002 pertinent pour la
question
Colonne L : rserve pour des commentaires libres de lauditeur.
Les seules colonnes remplir lors dun diagnostic sont C F et L.
La feuille 14 Msi ne contribue pas lanalyse de risque mais permet dvaluer le niveau de
ralisation dans le cadre ventuel dun processus de management de la scurit de
linformation.

2.8 Feuille Services

La feuille Services fait la synthse des diagnostics et permet dvaluer la qualit des services de scurit. Chaque service est valu, sur une chelle allant de 0 4 et les valuations concernant la qualit
de chaque service, pour chaque variante retenue du schma daudit, sont regroupes dans la feuille
Services :
Colonne A : numro du domaine, compris entre 01 et 14
Colonnes B et C : numro et description des services de scurit (standard MEHARI)
Colonne D : Indique le thme de scurit auquel le service rpond (voir feuille thmes).
E H : Niveau de qualit calcul des services de scurit (de 0 4). En fonction du
schma daudit (appel dcomposition cellulaire dans les versions prcdentes), plusieurs
diagnostics dun mme service peuvent tre raliss pour diffrentes instances. Les rponses ayant t notes dans des colonnes diffrentes dans chaque domaine sont utilises pour calculer la qualit de chaque service pour chaque variante.
Les questions sans objet (notes X) ne sont pas prises en compte pour la pondration.
En cas de rponses partielles, pour un service (ou une variante de service), la moyenne
pondre est calcule en prenant les notes des questions auxquelles il a t rpondu,
mais en divisant par la somme des poids de toutes les questions (sauf questions sans objet avec un X comme rponse).
Colonne I : minimum des variantes retenues. Par mesure de prcaution, ce minimum est
utilis pour lvaluation des risques. Le minimum est arrondi la valeur entire la plus
proche avec un minimum de 1.
Colonne J : Objectif de qualit retenu par les divers plans daction (voir feuilles
Plans_action et Obj_PA) ou pour les objectifs fixs par projet (feuille Obj_projets). Il
MEHARI 2010 : Manuel de rfrence
de la base de connaissances 2-14

10/21

CLUSIF 2012
30 mars 2012

est en effet possible, dans les plans daction de fixer un objectif aux services de scurit.
De mme on peut assigner des objectifs plusieurs services de scurit dans des projets.
Si un service a fait lobjet de plusieurs dcisions, le niveau maximum fix comme objectif est report automatiquement dans cette colonne.
La valeur de la cellule (2,J), indique la prise en compte de lobjectif (Valeur 1) ou pas (valeur 0). Cette valeur est remplie automatiquement partir de paramtres introduits dans
la feuille Plans_action cellule (2,N).
Colonne K : colonne de travail utilise par les plans daction et la simulation des risques
rsiduels. Selon loption retenue, cellule (2,J), cette colonne contient soit la qualit actuelle du service soit sa qualit objectif (plus exactement le maximum de la qualit actuelle et de la qualit objectif).

2.9 Feuille Thmes

Cette feuille indique des thmes de scurit et, pour chaque thme, les services et sousservices de MEHARI qui pris en compte pour valuer ce thme.
Les calculs sont effectus (par la moyenne des services concerns) :
- colonne D : en valeur actuelle (compte tenu du diagnostic de ltat des services de scurit)
- colonne E : en valeur future (compte tenu des objectifs retenus, si le paramtre dfinissant la
prise en compte des objectifs a bien t positionn dans la feuille Plans_action cellule (2,N)..

2.10 Feuille Score ISO

Cette feuille permet dindiquer un score des points de contrle de la norme ISO/IEC 27002:2005
en fonction des rponses aux questionnaires daudit MEHARI.
Colonnes A D : introduisent la liste des pratiques (controls) de la norme
Colonne E : questions de MEHARI correspondant strictement au control de la norme
Cellule (2,F) : si positionne 1, les questions rfrences en colonne sont sur fond jaune dans les feuilles 01 0rg 13 Man.
Colonne F : note de 0 10, de la conformance pour le control, rsultat de la division du nombre de rponses positives par le nombre total de questions, multipli ensuite
par 10. Le score est calcul uniquement en fonction de la variante 1 de chaque domaine.
Colonne G : remplie par dfaut 1, ce qui indique que le contrle doit tre intgr dans
la dclaration dapplicabilit de ISO 27001 (SOA). Forcer 0 permet de retirer lobjectif
de contrle associ lors dun processus de SMSI selon ISO 27001.
La colonne H est utilise pour indiquer la justification de cette dcision (maintien ou retrait).

2.11 Feuille Expo

La feuille Expo contient le tableau des vnements dclencheurs de scnarios dont la probabilit
constitue la Potentialit Intrinsque des scnarios.
Colonne A D : les colonnes A D contiennent les types dvnements et les codes
MEHARI 2010 : Manuel de rfrence
de la base de connaissances 2-14

11/21

CLUSIF 2012
30 mars 2012

correspondants
Colonne E : la colonne E contient la valeur (de 0 4) de lexposition naturelle propose
en standard par le Clusif
La colonne F permet de forcer une valeur spcifique pour lentit si la valeur standard
ne sapplique pas sa situation ou son environnement.
La colonne G contient par dfaut la valeur standard et, si une valeur a t entre en colonne F, cette dernire valeur est prise en compte.
La colonne H (remplie par dfaut avec des 1) permet de dslectionner (valeur 0) des
menaces (vnements dclencheurs), alors tous les scnarios correspondants sont automatiquement dslectionns aussi.
La colonne I permet de commenter la valeur dcide pour chaque type dvnement.

2.12 Feuille Scnarios

La feuille Scnarios contient les scnarios de risque de la base de connaissances :
Colonne A : colonne contenant des codes de famille de scnarios utiliss galement dans
la feuille Plans daction.
Colonne B (masque) : colonne contenant des codes utiliss uniquement pour le libell
littral du scnario
Colonne C : type dactif primaire concern
Colonnes D G : Vulnrabilit exploite dcrite par un type dactif secondaire, critre
(tel que D, I, C ou E, pour Efficience) et un type de dommage subi et un code significatif de la vulnrabilit ou de lexigence de conformit.
Colonnes H N : Menace lorigine du risque, caractrise par un type dvnement
(dcrit par des types et sous-types dvnements, des circonstances de lieux, de temps,
de type daccs et de processus et un type dacteurs, le tout sous forme de code (les codes sont explicits dans la feuille Codes).
Colonne O : libell descriptif du scnario
Colonne P : Slection directe et manuelle du scnario, dcide par lauditeur. Seuls les
scnarios slectionns, par un 1 (valeur par dfaut) dans cette colonne, ont une gravit
qui est value et sont pris en compte dans les feuilles de synthse Plans daction,
Risk%actif et Risk%event. La slection des scnarios est prise en compte lors de
ltape didentification des risques.
Colonnes Q et R : codes permettant de diffrencier la cause du scnario (A pour accident, E pour Erreur ou M pour Malveillance, V pour acte Volontaire non malveillant)
ou sa consquence (D pour Disponibilit, I pour Intgrit et C pour Confidentialit, L
pour Limitable). Ces indications sont utilises par les formules de calcul de la base de
connaissances pour slectionner les grilles de calcul de potentialit et dimpact.
Colonnes S et T : Report de limpact intrinsque et de lexposition naturelle (Potentialit
intrinsque) du scnario. Ces indicateurs sont remplis automatiquement partir des colonnes C et D, pour limpact intrinsque, et H et I pour lexposition naturelle.
Colonne U (Grav.) : valuation de la Gravit intrinsque, calcule sans facteur de rduction de risque, partir de limpact intrinsque et de lexposition naturelle.
MEHARI 2010 : Manuel de rfrence
de la base de connaissances 2-14

12/21

CLUSIF 2012
30 mars 2012

 Colonnes V Y : valuation des divers facteurs de rduction du risque (Dissuasion, Prvention, Confinement, Palliation), en fonction de la qualit des services de scurit. Nota : en cas de variantes dans le schma daudit, cest le minimum des valuations des diverses variantes qui est pris en compte pour calculer les facteurs de rduction de risque.
Colonne Z : Caractre confinable (1) ou non confinable (0) du scnario (valeur standard attribue par le CLUSIF). Par mesure de prcaution, certains scnarios sont considrs, par dfaut, comme non confinables malgr lexistence de mesures de confinement.
Colonne AA (Confinabilit dcide) : les cellules de la colonne sont livres vides, mais une
valeur diffrente de la valeur standard de la colonne Z permet de dcider de la prise en
compte (ou non) des mesures de confinement .
Colonnes AB et AC : Impact dcid et Potentialit dcide. Ces colonnes permettent de
forcer un impact et/ou une potentialit une valeur diffrente de celle qui est automatiquement calcule (voir guide de la gestion des risques).
Colonnes AD et AE (Impact calcul et Potentialit calcule) : valuations calcules de lImpact
et de la Potentialit du scnario en fonction de limpact intrinsque, de lexposition naturelle et des facteurs dattnuation de risque.
Colonne AF (Gravit calcule) : Gravit tablie en fonction des valeurs de I et de P dcides (colonnes AB et AC) ou calcules (colonnes AD et AE) et de la grille de gravit.
Cellule (1,AA) (Prise en compte des services de scurit) : la feuille Plans action permet de basculer rapidement entre trois vues successives des risques : intrinsques, actuels et futurs
(suite aux mesures additionnelles planifies). La valeur 0 de cette cellule indique que la
colonne AF reprend le rsultat de la colonne U Gravit intrinsque.
La valeur 1 donnera la valeur actuelle ou future en fonction de la cellule (2,N) de la feuille Plans_action.

Colonne AG (Scnario accept ou transfr) : Il est possible dindiquer, dans cette colonne,
que lon accepte le risque du scnario, malgr sa gravit ou quon le traite par transfert
du risque (par lassurance notamment). Certains scnarios peuvent ainsi tre accepts
(A), mme si leur gravit est forte, ou considrs comme transfrs (T), ils ne sont alors
pas compts dans les rcapitulatifs (nombre de scnarios par niveau de gravit) des feuilles plans_action , Risk%actif ou Risk%event .
Colonne AH : colonne de travail (vide si le scnario est accept ou transfr, gravit calcule sinon).
Colonnes AI AL : colonnes contenant les formules littrales des facteurs dattnuation
de risque.
Colonnes AM AT : colonnes de travail pour les formules.

2.13 Feuille Risk%actif

Cette feuille contient un tableau rcapitulatif du nombre de scnarios, par niveau de gravit, par
type dactif et par critre de classification (D, I et C ou E).
Cest une vue de synthse qui permet daller directement travailler, dans le Plans daction, sur une
famille de scnarios.

MEHARI 2010 : Manuel de rfrence

de la base de connaissances 2-14

13/21

CLUSIF 2012
30 mars 2012

A cette fin, des liens hypertexte sont inclus (colonne >) permettant de pointer directement sur
une famille de scnarios (et donc un type dimpact) dans la feuille Plans daction.
La dernire ligne indique le cumul du nombre de scnarios de la colonne (ayant le mme niveau
de gravit)

2.14 Feuille Risk%event

Cette feuille contient un tableau rcapitulatif du nombre de scnarios, par niveau de gravit, et
par type dvnement.

2.15 Feuille Plans_action

Cette feuille contient des indications sur les plans daction susceptibles de rduire les risques.
Les scnarios y sont traits par famille, chaque famille consistant en un type dactif et un type
dimpact.
Pour chaque famille une synthse du nombre de scnarios par niveau de gravit est fournie.
Pour visualiser cette synthse il est possible de slectionner lune des trois options suivantes :
Evaluation de la gravit intrinsque des scnarios (calcule sans prendre en compte le
niveau actuel des services de scurit), obtenue en mettant 0 dans les cellules 1N et 2N.
Evaluation de la gravit rsiduelle : lensemble des calculs prend en compte la qualit actuelle des services de scurit, telle quelle rsulte des feuilles de diagnostic, obtenue en
mettant 1 dans la cellule 1N et 0 dans la cellule 2N.
Prise en compte des actions dcides : lensemble des calculs est effectu en tenant
compte des niveaux dobjectifs attribus aux services de scurit, en mettant 1 dans les
cellules 1N et 2N
Contenu des colonnes :
Colonne A : nom de la famille de scnarios.
Colonnes B F : nombre de scnarios par niveau de gravit et nombre total de scnarios
de la famille (ayant un niveau de gravit calcul).
Colonne G : type des mesures proposes par chaque plan daction, sil est slectionn.
Colonne H : indication de lefficacit (valeur de A E) du plan daction, base sur le
nombre de scnarios de la famille touchs par ce plan.
Colonne I (dcision) : la valeur 1, indique que le plan daction de rduction de risque utilisant les services de scurit de la ligne est slectionn, sinon laisser vide
ou mettre un 0.
Colonnes J, M, P, S, V, Y, AB, AE, AH, AK : services inclus dans le plan.
Colonnes K, N, Q, T, W, AC, AF, AI et AL: Valeurs actuelles des niveaux des services
de scurit (tablies suite la phase de diagnostic)
Colonnes L, O, R, U, AD, AG, AJ et AM : objectif de niveau de qualit (cible) assign
au service amliorer. Cette colonne est modifiable manuellement afin de permettre
lauditeur denvisager plusieurs alternatives.

Fixation dobjectifs de niveaux aux services de scurit

MEHARI 2010 : Manuel de rfrence
de la base de connaissances 2-14

14/21

CLUSIF 2012
30 mars 2012

Les services de scurit pertinents pour la famille de scnarios sont regroups par ensembles homognes et par type deffet. Sur une ligne, les divers services concerns sont affichs avec un niveau dobjectif a priori susceptible de rduire significativement le risque.
Il est propos alors de slectionner lensemble des services de cette ligne et leurs niveaux objectifs
correspondants, en forant un 1 dans la colonne dcision (I). Il est possible de modifier le niveau objectif de chaque service individuellement. Nota : pour exclure un service dun plan
daction, fixer son objectif 1.
Il est ainsi possible de faire des simulations sur leffet de telle ou telle dcision et de dcider des
actions mener en consquence.

2.16 Feuille Obj_PA

Cette feuille est une feuille de travail qui rcapitule les objectifs assigns aux services de scurit
par les plans daction voqus au paragraphe prcdent.
Colonne A C : recopie des colonnes A C de la feuille Services.
Colonne D : Rcapitulatif des objectifs maximaux de niveaux de qualit assigns aux
services de scurit par les plans daction des colonnes suivantes. Cette colonne sert
calculer les cibles dobjectifs de scurit dans la colonne J de la feuille Services.
Colonnes E BC: utilises pour indiquer (par type dactif et par critre de scurit) le
niveau de qualit objectif global en fonction des divers plans slectionns dans la feuille
Plans_action, .

2.17 Feuille Obj_Projets

Cette feuille permet de dfinir des projets avec, pour chaque projet, une date dachvement, des
services amliors et un objectif de qualit (de 1 4) pour chaque service.
Cette feuille contient galement, en colonne I, une valuation dun besoin de service de scurit .
Colonnes A C : recopie des colonnes A C de la feuille Services.
Colonnes D H (normalement caches) : Indication dun besoin de qualit de service en
fonction des types de plans faisant appel chaque service (en fonction de leur efficacit). On tient compte, pour ce calcul du nombre de scnarios de gravit 3 (avec un coefficient de 1) ou 4 (avec un coefficient 8), pour chaque famille de scnarios et on fait la
somme de ces besoins pour lensemble des familles.
Colonne I : synthse des besoins prcdents (calcule avec une fonction logarithme).
A priori, plus cette valeur est forte, plus le besoin damliorer ce service est lev.
Colonne J : Synthse des objectifs assigns aux services de scurit par des projets (dcrits colonnes suivantes).
La cellule (4,J) doit contenir une date de rfrence, au format aa mm (millsime sur
deux chiffres, puis un espace, puis mois sur deux chiffres). Seuls les projets ayant une date dachvement antrieure cette date de rfrence seront pris en compte pour les objectifs des services de scurit.

MEHARI 2010 : Manuel de rfrence

de la base de connaissances 2-14

15/21

CLUSIF 2012
30 mars 2012

 Colonnes K AX : Ces colonnes sont utilises pour dcrire des projets :

La ligne 3 fournit une courte description du projet
La ligne 4 mentionne la date planifie de terminaison du projet (au format aa mm)
Chaque cellule de la colonne indique le niveau de qualit du service atteint lors de la terminaison du projet.
Note : si aucune date nest mentionne en ligne 4, la mthode considre que le projet
sera termin avant la date de rfrence donne dans la cellule (4,J).

2.18 Feuille Vulnrabilits types

La feuille Vulnrabilits types contient la liste, pour chaque type dactif secondaire, des dommages potentiels subis et des vulnrabilits exploitables. Ce tableau peut tre utilis pour analyser et
carter certaines vulnrabilits qui ne seraient pas retenir dans le contexte propre de lentit.
Il convient alors de dslectionner ces vulnrabilits, dans la colonne G, en introduisant un 0, la
place du 1 fourni en valeur standard.
Les scnarios faisant appel ces vulnrabilits seront automatiquement dslectionns.

2.19 Feuille Grilles_IP

La feuille Grilles-IP contient les grilles de dcision utilises pour valuer limpact et la gravit rsiduels en fonction de limpact intrinsque, de la potentialit intrinsque et des facteurs de rduction de risque (voir guide de la gestion des risques).
En mode expert, les valeurs contenues dans ces grilles peuvent ventuellement tre modifies
(aprs avoir retir la protection de la feuille)

2.20 Feuille Gravit

La feuille Gravit contient la grille dacceptabilit des risques utilise pour dcider du niveau de
gravit des risques en fonction de limpact et de la potentialit rsiduels.
En mode expert, les valeurs contenues dans cette grille peuvent ventuellement tre modifies
(aprs avoir retir la protection de la feuille)
A dfaut la grille standard Clusif fournie dans la base devrait tre valide par les parties prenantes.

2.21 Feuille Corr_Services

Cette feuille indique la correspondance entre services de MEHARI 210 et services de MEHARI
2007, en prcisant les services nouveaux, modifis ou supprims.

2.22 Feuille Codes

Cette feuille (masque) contient des libells utiliss dans la description et nont pour seul objectif
que de faciliter la maintenance et la traduction de ces libells

MEHARI 2010 : Manuel de rfrence

de la base de connaissances 2-14

16/21

CLUSIF 2012
30 mars 2012

3 Traitements et calculs effectus

Les traitements effectus pour calculer la qualit des services, limpact, la potentialit ou la gravit
des scnarios dpendent de formules contenues dans les feuilles du fichier .xls (pour Excel ou
OpenOffice).
Ces formules sont mises en place laide de macros qui nont pas tre utilises en dehors de la
maintenance de la base et ne sont pas disponibles dans la version publique de la base.

3.1 Traitements et fonctions utilises

Feuille Services
Cotation des services
La cotation est faite pour 4 variantes de schma daudit maximum.
La cotation des services de scurit, en fonction des rponses aux questionnaires (feuilles 01 Org
14 Msi), vrifie quun service na pas t dclar X (Sans Objet) sur la ligne de titre du service
(et pour la variante considre) dans la feuille de questionnaires.
On teste ensuite sil y a au moins une rponse (1 ou 0) avec un poids non nul (sinon la cotation
nest pas remplie).
Enfin la cotation calcule la moyenne pondre (sans tenir compte des rponses X), puis vrifie
lexistence dun seuil MIN ou dun seuil MAX et affiche le rsultat final.
Les seuils MIN et MAX sont calculs dans des colonnes caches des diffrents domaines.
Les fonctions standard dExcel et OpenOffice utilises sont SI, NON, MIN, MAX et
[Link]

Calcul du min des services

Le minimum des services est calcul et arrondi lentier le plus proche, aprs des tests pour revenir 1 si le service na aucune rponse ou une rponse X (Sans objet)
Fonctions standard utilises : MIN, SI, OU et ARRONDI

Calcul de lobjectif
Lobjectif de qualit de service fix dans la feuille Plans daction est calcul en prenant
lobjectif le plus lev (on naffiche rien sil ny a pas dobjectif fix).
Fonctions standard utilises : MAX et SI

Calcul du service avec objectifs

La valeur affiche dans cette colonne dpend du choix effectu dans la feuille Plans daction ,
choix qui se traduit par un 1 ou un 0 dans la cellule 2,J. Si on tient compte des objectifs fixs, soit
par des plans daction, soit par des projets, la valeur affiche est le maximum de lobjectif et de la
valeur actuelle du service.
Fonctions standard utilises : MAX et SI

Feuille Score ISO

MEHARI 2010 : Manuel de rfrence

de la base de connaissances 2-14

17/21

CLUSIF 2012
30 mars 2012

Les scores sont calculs avec des fonctions SOMME, en ne tenant compte que du nombre de rponses positives, sans tenir compte de leur poids dans les questionnaires MEHARI.

Feuille Thmes
Les calculs sont effectus avec la fonction standard : MOYENNE.

Feuille Scnarios
Recherche de la classification, de lexposition naturelle et texte des scnarios
La classification est recherche, dans la feuille Classif (en fait dans une table dclare dans cette feuille) en fonction du type dactif et du type de dommage.
Lexposition naturelle est recherche, dans la feuille Evnements types (en fait, dans une table
dclare dans cette feuille) en fonction des vnements dclars dans le scnario.
Les libells de scnarios sont eux-mmes dduits des codes dactifs, de vulnrabilits et de menaces.
Fonctions standard utilises : RECHERCHEV et SI

Calculs des facteurs de rduction de risque (dissuasion, prvention, confinement et palliation)

Les calculs emploient les fonctions MAX et MIN refltant les formules littrales et font rfrence
aux services de scurit par leur nom (variables dclares).
Fonctions standard utilises : MAX et MIN

Calculs de P (Potentialit), I (Impact) et G (Gravit)

P et I sont calculs en faisant appel aux grilles IP (nommes par des tables dclares) en fonction
des paramtres du scnario.
La gravit est calcule soit partir des I et P calculs soit partir des I et P dcids.
Fonctions standard utilises : SI, ET, OU, NON et INDEX

Feuilles Plans daction et Risk%event

Le nombre de scnarios par famille est calcul pour chaque niveau de gravit.
Emploi de la fonction standard [Link]

Feuille Obj_PA
Calcul de lobjectif pour chaque catgorie de plan daction
Pour chaque catgorie de plans dactions, si un plan est slectionn, on affiche, pour chaque service contenu dans le plan, lobjectif correspondant. La formule permet de tenir compte du fait
quun service peut tre appel 2 fois (avec 2 objectifs diffrents) dans la mme catgorie de plans
daction.
Fonctions standard utilises : INDEX et SI

Synthse des objectifs en fonction des diffrents plans

Utilisation de la fonction MAX

Feuille OBJ_Projets
Calcul de lobjectif dun service pour diffrents projets
Le calcul test de fin dachvement de projet par rapport la date de rfrence est fait dans des colonnes caches.
Fonctions standards utilises: SI et MAX

MEHARI 2010 : Manuel de rfrence

de la base de connaissances 2-14

18/21

CLUSIF 2012
30 mars 2012

Feuille Expo
Lexposition naturelle est slectionne entre la valeur par dfaut et une valeur dcide (cette dernire prvalant)
Fonctions standard utilises : MAX et SI

3.2 Macros (sous Excel)

Les macros utilises couramment sont uniquement celles de masquage de feuilles.
Dautres macros sont utilises, en mode maintenance, pour mettre jour les codes de fonctions
et surtout les champs de cellules auxquels les fonctions font rfrence.

MEHARI 2010 : Manuel de rfrence

de la base de connaissances 2-14

19/21

CLUSIF 2012
30 mars 2012

LESPRIT DE LCHANGE

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS

11, rue de Mogador
75009 Paris
01 53 25 08 80
clusif@[Link]

Tlchargez les productions du CLUSIF sur

[Link]