Bruno Kerouanton

Ca a du bon de tenir un blog (quand on arrive à trouver le temps, je me demande parfois comment je fais, enfin j’avoue que ces derniers temps je n’étais pas vraiment assidu), car on apprend des choses insolites en voulant rédiger des billets… Méhari, vous connaissez ? C’est une méthode crée par le CLUSIF, dont l’acronyme signifie “Méthode d’Evaluation Harmonisée de Gestion des Risques“. Et je vais vous en parler plus loin.

Mais en voulant illustrer mon billet, Google m’a fait découvrir la vraie Méhari, celle qui suscite l’admiration et même les fan clubs, j’ai nommé la sympathique et dépouillée Citroën Méhari… d’où l’illustration ci-dessus ! Mais revenons à nos moutons…

Tout RSSI le sait (ou le devrait, si il tient à sa carrière…), il doit faire de la gestion des risques et établir des politiques de sécurité, chartes et autres tableaux de bord organisationnels (vive la suite Office et les camemberts en 3D !).

Pour ce qui est de la politique, on appelle ça une PSSI. Si il veut passer à IEC/ISO 2700x (coucou Hervé !), ce qui est une bonne chose en soi, il doit mettre en place une SMSI.

… et oui, même les RSSI qui ne font pas de technique ont leurs acronymes !

Amis experts de la sécurité, ne croyez pas qu’il n’y a que la technique qui nécessite sueur et patience. Toute l’organisation représente un travail colossal, et parfois rébarbatif… Heureusement que d’autres avant nous ont élaboré des outils pour nous faciliter la tâche et nous épargner de nombreuses heures de travail.

Parmi ces bienfaiteurs, il y a des organismes français bien connus qui ont développé des méthodes et guides :

• La DCSSI a créé la méthode EBIOS, initialement pour les organismes publics et militaires, mais qui est publique et utilisable librement, possède un moteur de saisie écrit en Java et en est à sa version 3. Pour en avoir sué (des litres) et bavé (des centilitres) pendant plus d’un mois lors des TP du mastère SSI l’année dernière, je peux vous dire que la méthode marche, mais qu’il faut un certaine dose de sadomasochisme pour la dérouler en entier… Enfin peut-être qu’avec un peu d’habitude ça s’améliore (ou bien on devient résistant à la douleur !). Humour à part, c’est néanmoins une bonne méthode mais il faut absolument définir un périmètre d’étude restreint et très précis avant de se lancer, faute de quoi on en a pour des mois, ou bien le résultat est incohérent.

• Le CLUSIF a fait évoluer son ancienne méthode Marion, et qui est devenue au gré du temps Méhari. Ce qui est remarquable est que depuis janvier 2007, l’association a décidé pour le plus grand bonheur des RSSI consciencieux (et qui ne sont pas déjà soumis à une autre méthode) de livrer publiquement les guides, méthodes, bases de connaissance et même l’outil d’aide à l’évaluation de la gestion des risques (sous forme d’un classeur Excel et non d’une appli java). Bref, très sympathique également. Lorsqu’on lit les présentations PowerPoint, on est ravi car tout semble simple. Lorsqu’on commence à ouvrir le fichier excel, on est content de tout avoir sous les yeux, mais on se rend compte là encore que la tâche va être rude et que l’instinct de survie sado-masochiste sera encore nécessaire… 12 domaines d’étude (comme les 12 apôtres mais c’est une coincidence). et des centaines (milliers ?) de questions à évaluer… Ouf, de quoi justifier le salaire du RSSI pendant quelques mois de plus !

Connaissant déjà EBIOS et ses méandres, je me suis dit que cette fois-çi j’allais me tenter Méhari. De toute manière dans les deux cas les concepteurs ont réalisé que comme IEC/ISO 27000 et ses dérivés devenait incontournable, il fallait mettre en place des “connecteurs” permettant d’adapter le passage de l’un à l’autre. Et voici donc MEHARI mouture 2007, à la sauce 17799:2005. Parfait pour moi !

Pour ceux et celles qui ne le sauraient pas, les douze apôtres domaines sont les suivants :

1. Organisation (environ 180 questions portant sur la politique générale)
2. Sites et bâtiments (env. 40 points : contrôle d’accès physique)
3. Locaux (clim, énergie, caméras, incendie, protection contre le Glou Man Chou etc.)
4. Liaisons WAN (env. 140 points)
5. Infrastructure des réseaux LAN (env. 200 points de contrôle)
6. Exploitation des réseaux (une centaine de points)
7. Sécurité des systèmes (env. 80 points)
8. Production du SI (allez hop, carrément plus de 300 questions !)
9. Sécurité applicative (ca va un peu mieux : moins de 200 points à contrôler)
10. Sécurité projets et développements (ouf, moins de 80 questions)
11. Environnement et postes de travail (presque 200 points)
12. Juridique et conformité (petite soixantaine de points)

Ca en fait des occupations quand on s’ennuie… (et de toute façon le RSSI qui se respecte a une bonne vingtaine de projets à mener de front). Et puis une fois que tout est rempli, il faut faire la synthèse, la mettre au propre (une copie bien soignée pour la Direction, une copie détaillée pour aller taper sur les admins qui n’ont rien foutu puisque la note est salée, une copie “ajustée” pour la presse et les actionnaires…) Et après, il faut faire des recommandations, budgéter le tout et se retrousser les manches pour que la prochaine fois la note de l’audit soit un peu meilleure… Sachant que d’ici là, de toute manière tout l’architecture du SI et les projets auront changé ! Si on n’a pas été viré…

Et qu’on n’aille pas raconter ici et là que le RSSI ne fout rien de ses journées (enfin il lit et écrit dans des blogs d’experts, mais c’est pour se former, n’est-ce-pas ?) !

Bon, allez je vais m’occuper de la mise en place de mon tableau de bord Méhari… (je vous rassure, les miens seront un peu moins spartiates que celui-ci !!!)

Addendums du 6 avril :

1. en parlant d’analyses de risque, allez lire ces conseils, c’est très vrai !
2. Je n’ai pas résisté à la mode du 1er avril… allez lire ceci.