La méthode Mehari 2010

Objectifs de la méthode MEHARI 2010

MEHARI est une démarche d’analyse et de gestion des risques, issue du CLUSIF, qui fournit un cadre méthodologique, des outils et des bases de connaissance pour :

  • analyser et classifier les enjeux majeurs,
  • étudier les vulnérabilités,
  • réduire la gravité des scénarios de risques,
  • piloter la sécurité de l’information

L’approche modulaire de la méthode MEHARI

1. L’analyse des enjeux

L’analyse des enjeux de MEHARI 2010 permet d’évaluer la gravité de dysfonctionnements en DIC pouvant être causés ou favorisés par une faille ou un défaut de sécurité.

Il s’agit d’une analyse totalement focalisée sur les objectifs et attentes des métiers de l’entreprise mettant à contribution les décideurs et le management de l’entreprise ou de l’entité considérée.

Cette analyse se traduit par :

  • une échelle de valeurs des dysfonctionnements potentiels, élément de référence centré sur les impacts métiers,
  • une classification rigoureuse des actifs (informations et des ressources) du Système d’information,
  • des processus d’assistance pour effectuer cette classification,
  • l’établissement de liens directs vers l’analyse détaillée des risques correspondants

2.L’analyse des vulnérabilités

L’analyse des vulnérabilités fournit une évaluation de la qualité (robustesse, efficacité, mise sous contrôle) des mesures de sécurité en place.

La base de connaissance des mesures de sécurité de MEHARI est structurée par domaines et par services ayant des finalités précises de réduction de potentialité ou d’impact des situations de risques.

Cette analyse des vulnérabilités permet de :

  • corriger les points faibles inacceptables par des plans d’action immédiats,
  • évaluer l’efficacité des mesures mises en place et garantir leur efficience,
  • préparer l’analyse des risques induits par les faiblesses mises en évidence,
  • comparer la maturité de son organisation avec l’état de l’art et la norme ISO 27002

3. L’identification et le traitement des risques

Avec MEHARI, l’analyse des risques permet d’identifier les situations susceptibles de remettre en cause un des résultats attendus de l’entreprise ou de l’entité, et d’évaluer la probabilité de ces situations, leurs conséquences possibles et leur caractère : acceptable ou non.

L’analyse des risques met également en évidence les mesures susceptibles de ramener chaque risque à un niveau acceptable.

Cette analyse des risques s’appuie sur un ensemble de scénarios précis et peut servir à :

  • définir les mesures de sécurité les mieux adaptées au contexte et aux enjeux dans une démarche de management de la sécurité de l’information (SMSI), par exemple dans une démarche ISO 27001
  • mais surtout mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées, prises en compte et un plan d’action défini

Limites de MEHARI 2010 

Mehari est une démarche d’analyse des risques de systèmes d’informations. Elle ne répondra pas efficacement à des besoins :

  • de formalisation d’expression de besoins de sécurité par exemple lors de la rédaction d’un cahier des charges de refonte d’une partie du système d’information,
  • de TPE/PME n’ayant aucune culture sécurité informatique et qui peuvent souhaiter qu’en une poignée de jours, soient définies les solutions de base de sécurité (sauvegardes, authentification, politique de sauvegarde, politique anti virale, …). En 2014, una approche simplifiée a été publié, Mehari Pro, destinée aux PME.
  • d’analyse de conformité technique.

Enfin si les concepts de MEHARI 2010 peuvent s’appliquer à d’autres domaines de la gestion des risques (risques opérationnels, risques cybersécurité Scada…), les bases développées actuellement au CLUSIF ne s’appliquent qu’aux risques liés aux systèmes d’information.

COPYRIGHT YSOSECURE © 2002 - 2021