La version 2010 de Mehari reprend une approche par étape qui avait existé dans la V3 et un peu disparu dans la version 2007. Cette
démarche permet de s'aligner sur les préconisations de l'ISO 27005 en terme des différentes activités.
La phase préparatoire
Cette phase (qui correspondant à l'établissement du contexte dans ISO 27005) permet en synthèse de :
- Définir le contexte
- les objectifs de la démarche de gestion des risques
- les contraintes (légales, réglementaires, normatives,...)
- Définir le cadre de la mission (périmètre de l'analyse des risques, périmètre d'audit, ...)
- et surtout définir les critères définis dans l'ISO 27005 d'acceptabilité des risques et critère d'impact
La phase opérationnelle d'analyse des risques
- L'analyse des enjeux qui débouche sur une classification des actifs (principaux et de support)
- Le diagnostic de la qualité des mesures de sécurité en place
- L'appréciation des risques :
- La sélection des scénarios de risques à traiter (suivant les critères d'évaluation des risques)
- L'estimation de la gravité des risques (à partir des bases de connaissance Mehari 2010)
Phase de planification et de traitement des risques
- Le traitement des risques critiques (suivant les critères d'acceptation des risques)
- Le traitement des risques moins critiques
- La mise en place du pilotage du traitement des risques
- La production d'indicateurs et tableau de bord des risques (communication des risques)