L'analyse des vulnérabilités

L'analyse des vulnérabilités revient à identifier les faiblesses et les défauts des mesures de sécurité. En pratique, il s'agit d'une évaluation quantitative de la qualité de mesures de sécurité. Les mesures de sécurité évaluées sont, en fait, des services de sécurité, décrits et documentés dans une base de connaissance développée et maintenue par le CLUSIF.

Dans MEHARI, cette analyse couvre :

• L'efficacité des services de sécurité :

  De même que certaines serrures sont plus faciles à violer que d'autres, les services de sécurité sont conçus pour résister à des niveaux d'attaque variables, selon les mécanismes mis en œuvre, ce qui les rend plus ou moins efficaces.

  De même que certaines digues résistent à des crues plus importantes que d'autres, les services de sécurité sont conçus pour résister à des types de circonstances variables, selon les mécanismes mis en œuvre, ce qui les rend plus ou moins efficaces.

• Leur robustesse :

  De même qu'avoir une serrure 5 points d'excellente qualité est une sécurité illusoire si le chambranle n'est pas solide ou si l'on peut aisément passer par la fenêtre, les services de sécurité peuvent être étudiés pour résister à des tentatives de contournement ou d'inhibition, par des mécanismes complémentaires, ce qui les rend plus ou moins robustes.

  De même que certaines protections actives peuvent devenir défaillantes sans que cela provoque une réaction, les services de sécurité peuvent être étudiés pour détecter toute anomalie, par des mécanismes complémentaires, ce qui les rend plus ou moins robustes.

• Leur mise sous contrôle :

  De même qu'un responsable ne sera véritablement sûr de la protection apportée par la serrure de sécurité que s'il s'assure que les occupants ferment effectivement à clé l'issue concernée, ou qu'il ne sera sûr de la protection apportée par une digue que s'il s'assure qu'elle n'a pas été endommagée, les services de sécurité peuvent être accompagnés de mesure de contrôle destinés à garantir la pérennité des mesures pratiques mises en place, ce qui les rend plus ou moins " sous contrôle ".

Cette analyse des vulnérabilités vise, le plus souvent, à :

• Vérifier l'absence de points faibles inacceptables : elle peut alors donner lieu à des plans d'action immédiats
• Évaluer l'efficacité des mesures mises en place et garantir leur efficience : il est alors nécessaire de disposer d'une base de connaissance " experte ".
• Se comparer à l'état de l'art ou aux normes en usage : l'aspect " normatif " est alors plus important que l'expertise de la base de connaissance support.

Dans cette analyse des vulnérabilités, MEHARI apporte :

• Une couverture complète du contexte de travail de l'entreprise :
  • Prise en compte du système d'information au sens large et de tous les types d'information
  • Prise en compte de l'ensemble de l'environnement de travail
• Un guide de mise en œuvre et des bases de connaissance (questionnaires types et manuel de références des services de sécurité) complètes et expertes,
• Une démarche adaptée aux interlocuteurs concernés et aux usages envisagés de l'analyse des vulnérabilités
• Des liens directs vers l'analyse des risques induits par les faiblesses mises en évidence.

L'analyse des vulnérabilités fournit une évaluation quantitative de la qualité de mesures de sécurité. La base de connaissance des mesures de sécurité de MEHARI est structurée par domaines et par services ayant des finalités précises de réduction de potentialité ou d'impact des situations de risques.

Cette analyse des vulnérabilités permet de :

• Corriger les points faibles inacceptables par des plans d'action immédiats.
• Évaluer l'efficacité des mesures mises en place et garantir leur efficience.
• préparer l'analyse des risques induits par les faiblesses mises en évidence.
• Se comparer à l'état de l'art ou aux normes en usage.