Mehari 2007 : principes de la méthode

Méhari : principes structurants

Mehari en arrive à sa 5ème version et peut-on dire à un stade de maturité en terme de concepts de gestion des risques. Les principes de cette méthode restent :

• une analyse des enjeux métiers qui permet de pondérer la gravité des dysfonctionnements redoutés et indirectement influe sur le choix des mesures de sécurité
• le choix des mesures de sécurité est directement corrélé aux faiblesses de sécurité de l'entreprise (grâce à une analyse du niveau de vulnérabilité)

• un calcul de pertinence des mesures de sécurité par rapport aux scénarios de sinistre potentiel (avec des critères de choix d'un service de sécurité basée sur sa robustesse, son efficacité et la possibilité de mettre sous contrôle)

Ce qui évolue dans la version 2007 de Mehari :

• une cotation de l’état de la sécurité selon les points de contrôle de l’ISO 27002 (ISO 17799 : V2005)

• une assistance à la classification des actifs

• amélioration de certaines fonctions dans la justification des mesures de sécurité

En synthèse Mehari est certainement la méthode d'analyse de risques la plus aboutie en terme de modèle et d'efficacité.

La documentation a été entièrement remaniée et propose maintenant des documents de synthèse et de détail par étape.

L'analyse des enjeux

"Que peut-on redouter et, si cela devait arriver, serait-ce grave". C'est ainsi qu'est défini l'analyse des enjeux dans la méthode Mehari.

Il y des éléments importants de reflexion concernant la réponses à apporter à cette question. Les utilisateurs savent bien répondre sur la deuxième partie de la question, c'est à dire l'impact du sinistre sur son activité (indisponibilité d'une application, de la totalité du système d'information, perte de confidentialité, ... ), mais en revanche ont des difficultés à identifier les origines des sinistres (sauf peut être celles qui sont liées à leur propres collaborateurs).

Cette analyse d'enjeux a donc pour objectifs :

• d'identifier les macro-processus clefs pour l'entreprise
• d'analyser l'impact de scénarios de sinistres et de classer ces impacts
• d'en déduire une classification des actifs essentiels (applications, matériels, équipement mais également ressources humaines).

Le diagnostic de sécurité

Dans Mehari, la sécurité est mis en oeuvre au travers de services de sécurité. Afin de déterminer quel est le niveau actuel de sécurité pour l'entreprise, et donc identifier les vulnérabilités, un diagnostic de sécurité est mené sur la base d'un questionnaire approfondi (environ 1500 questions).

Le questionnaire Mehari est structurée en 12 domaines :

• Organisation de la sécurité
• Sécurité des sites bâtiments
• Sécurité des locaux
• Réseau étendu (intersites)
• Réseau local
• Exploitation des réseaux
• Sécurité des systèmes et de leur architecture
• Production informatique
• Sécurité applicative
• Sécurité des projets et développements applicatifs
• Domaine de la protection de l'environnement de travail
• Domaine Juridique et Réglementaire

A l'issue de cette étape, nous aurons premièrement un état des lieux de la sécurité de l'entreprise : notation du niveau de sécurité pour les 12 domaines, possibilité de faire un scoring ISO 27002.

La gestion des risques

Mehari propose un centaine de scénarios de risques avec systématiquement sa description et sa conséquence , sa cause, son origine.

Par exemple, Indisponibilité passagère de ressources lié à une Impossibilité de maintenance due à un blocage applicatif impossible à résoudre par la maintenance, pour cause de disparition du prestataire ou du fournisseur.

En savoir plus :

La documentation en ligne de Mehari 2007 au Clusif