Présentation des feuilles de calcul contenues dans le classeur

 Présentation des feuilles de calcul contenues dans le classeur

Les feuilles de calcul contenues dans le classeur distribué par le CLUSIF sont de plusieurs types • Thèmes : feuille récapitulative, par thème de sécurité • Score ISO : résultats des diagnostics selon la classification ISO 27001/27002et table de déclaration d’applicabilité (SOA)  Des feuilles relatives à l’évaluation des risques : • Expo : feuille d’évaluation de l’exposition naturelle aux risques • Scénarios : feuilles descriptives des scénarios • Risk%actif et Risk%event :feuilles récapitulatives de la gravité des scénarios par type d’actif et par type d’événement  Des feuilles relatives à la préparation de plans d’action : • Plans_d’action : Récapitulatif des scénarios par famille et des plans d’actions possibles • Obj_PA : Récapitulatif des objectifs issus des plans d’action • Obj_Projects : objectifs par projet  4 Feuilles d’éléments permanents et de paramétrage de la méthode • Vulnérabilités types •

Feuilles de paramétrage 

Grille-IP et gravité • 1 feuille de correspondance entre les services de Mehari 2010 et Mehari 2007 • 1 feuille de codes (masquée) servant dans la description des scénarios On peut choisir un module et masquer certaines feuilles pour faire un meilleur ciblage et être en conformité avec le périmètre d’audit qu’on avait défini plus haut. Dans notre cas, nous utiliserons le module d’analyse de risque (identification, estimation et évaluation des risques). IV-1-5 : Module d’analyse de risques Comme on l’a décrit plus haut ce module est composé de 4 feuilles :Expo, Risk%actif, Risk%event, Scénarios 

Remplissage de la feuille Expo 

Cette feuille contient le tableau des évènements déclencheurs de scénarios dont la probabilité constitue la Potentialité Intrinsèque des scénarios. Les colonnes A à D contiennent les types d’événements et les codes correspondants. La colonne E contient la valeur (de 0 à 4) de l’exposition proposée en standard par le CLUSIF. La colonne F permet de forcer une valeur spécifique pour l’entité si la valeur standard ne s’applique pas à sa situation ou à son environnement. 25 La colonne G contient par défaut la valeur standard et, si une valeur a été entrée en colonne F, cette dernière valeur est prise en compte. Par défaut la colonne H qui est à 1 permet de désélectionner (valeur 0) des menaces, et de ce fait tous les scénarios correspondants sont automatiquement désélectionnés.

Remplissage de la feuille Scénarios

• Elle contient les scénarios de risque de la base de connaissances : • Colonne A : contient des codes de famille de scénarios utilisés également dans la feuille Plans d’action • Colonne B (masquée): contenant des codes utilisés uniquement pour le libellé littéral du scénario • Colonne C : type d’actif primaire concerné • Colonnes D à G : vulnérabilité exploitée décrite par un type d’actif secondaire, critère (tel que D, I, C ou E pour efficience) et un type de dommage subi et un code significatif de vulnérabilité ou de l’exigence de conformité

• Colonne H à N : menace à l’origine du risque, caractérisé par un type d’événement (décrit par des types et sous types d’événements, des circonstances de lieux, de temps, de types d’accès et de processus et un type d’acteurs, le tout sous forme de code (les codes sont explicités dans la feuille codes) • Colonne O : libellé descriptif du Scénario • Colonne P : Sélection directe et manuelle du scénario, décidée par l’auditeur. Seuls les scénarios sélectionnés, par 1 (valeur par défaut) dans cette colonne ; ont une gravité qui est évaluée et sont pris en compte dans les feuilles de synthèse. Plan d’action, Risk%actif et Risk%event. La sélection des scénarios est prise en compte lors de l’étape d’identification des risques

• Colonnes Q et R : codes permettant de différencier la cause du scénario (A pour accident, E pour erreur ou M pour malveillance, V pour acte volontaire non malveillant) ou sa conséquence (D pour disponibilité, I pour intégrité et C pour confidentialité pour limitable).ces indications sont utilisées par les formules de calcul de la base de connaissances pour sélectionner les grilles de calcul de potentialité et d’impact • Colonnes S et T : report de l’impact intrinsèque et de l’exposition naturelle (Potentialité intrinsèque) du scénario .Ces indicateurs sont remplis automatiquement à partir des colonnes C et D, pour l’impact intrinsèque, et H et I pour l’exposition naturelle • Colonne U (Grav): évaluation de la Gravité intrinsèque, calculée sans facteur de réduction de risque, à partir de l’impact intrinsèque et de l’exposition naturelle

• Colonnes V et Y : évaluation de divers facteurs de réduction du risque (Dissuasion, Prévention, Confinement, Palliation) en fonction de la qualité des services de sécurité. Il faut noter qu’en cas de variantes dans le schéma d’audit, c’est le minimum des évaluations des diverses variantes qui est pris en compte pour calculer les facteurs de réduction du risque • Colonne Z : caractère « confinable » (1) ou non confinable (0) du scénario (valeur standard attribuée par le CLUSIF). Par mesure de précaution, certains scénarios sont considérés ; par défaut, comme non confinables malgré l’existence de mesures de confinement.

Formation et coursTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *