Mener une analyse de risques avec Mehari 2010

Mener une analyse de risques avec Mehari 2010

Quelle critères de choix de méthode de gestion des risques :

Nous pensons que Mehari (avec le logiciel Risicare) est en général une bonne méthode s'adaptant au contexte du projet sauf, potentiellement, dans les cas suivants :

  • Si la société n'a encore aucune maturité sur la sécurité de l'informationet la Direction aucune sensibilité sur le sujet, dans ce contexte un diagnostic initial de sécurité doit suffire dans un premier temps (avec ou sans implication des directions métiers).
  • A contrario dans des entreprises avec des enjeux de sécurité forts ou des réglementations spécifiques, un travail préalable de la pertinence des bases de Clusif est à réaliser.

Assistance à Maîtrise d'Ouvrage ou Maîtrise d'Oeuvre

Autrement dit, la démarche doit elle être menée par le Client avec une assistance et un support externe ou menée par des consultants extérieurs à l'entreprise.

Notre préconisation est que cette mission soit menée en interne (Chef de projet sécurité ou RSSI), car elle permettra de batir un référentiel de contrôle qui sera mis en oeuvre ou d'étendre le périmètre initial à d'autres métiers ou entités de l'entreprise.

Mais dans certains contextes (indisponibilité du Responsable sécurité ou absence de RSSI), nous pouvons intervenir en Maîtrise d'Oeuvre.

Les écueils à éviter dans un projet de gestion des risques :

Sans être exhaustif, les conseils pour la réussite d'un projet de gestion des risques :

  • trouver un périmètre de projet pertinent, pour lesquels les résultats seront significatifs mais de taille réaliste pour garantir un délai acceptable.
  • Identifier les métiers à rencontrer et les managers le plus à même d'identifier les enjeux, et à quantifier les impacts potentiels.
  • Prévoir l'implication de la Direction dans la validation des jalons clefs.

Durée et coût du projet

Le principaux facteurs qui influent sur sur la durée du projet et son coût sont :

  • le nombre de métiers à analyser dans le périmètre du projet (et donc de personnes à rencontrer ) pour en classifier les principaux enjeux / impacts.
  • le nombre d'entités (entités physiques, logiques, ..) à diagnostiquer sur la partie vulnérabilté
  • le détail nécessaire dans le plan de traitement des risques (et le chiffrage des mesures de sécurité).

En fonction de ces facteurs, un projet de gestion des risques informatiques dure généralement entre 2 et 6 mois.


Copyright Ysosecure © 2002 - 2018