| |
 |
|
Les principes de base de Mehari |
 |
Il n'existe pas une seule bonne méthode de management de la sécurité informatiques. Il faut intégrer le niveau des enjeux, la culture sécurité et l'organisation de l'entreprise. Mehari est avant tout une base de connaissance et un ensemble d'outils permettant de s'adapter au contexte. |
|
| |
| |
|
|
La démarche de gestion des risques avec Mehari |
|
Les étapes de Mehari sont : analyse des enjeux, classification des actifs, diagnostics des vulnérabilités, gestion des risques et élaboration d'un plan d'action. Le point remarquable est le lien direct entre les mesures de sécurité et le niveau de risque résultant de ce choix. |
|
| |
| |
|
|
|
|
Qui dit analyse des enjeux dit implication des métiers de l'entreprise dans la protection des actifs. Mais suivant la maturité de l'entreprise vis à vis de la gestion des risques, sa taille, la problématique à traiter, la démarche projet peut être allégée. |
|
| |
| |
|
|
|
|
L'utilisation d'un outillage qui simplifie la quantification des risques informatiques et le choix des mesures de sécurité est indispensable. Risicare est un outillage puissant en support de Mehari. |
|
| |
| |
|
|
|
|
Mehari est elle "conforme" à l'ISO 27005. Ou plutôt retrouve t'on les principes de gestion des risques dans cette norme ISO 27005 et dans la méthode Mehari ? |
|
| |
| |
|
|
|
|
L'autre grande méthode de sécurité française s'appelle Ebios. Comment les comparer alors qu'elles viennent d'origine très différentes et n'ont pas forcément les mêmes cibles. |
|
| |
|
|
|
|
|
Même si Marion n'a pas évoluée depuis près de 10 ans et n'est plus supportée par le Clusif, certaines entreprises l'utilisent encore. Alors comment évoluer de Marion à Mehari ? |
|
| |
Domaines sécurité