Mehari : la démarche projet

La démarche d'un projet Mehari

• Une étape en amont qui définit les objectifs et le périmètre, valide les métriques de sécurité.
• Ensuite l'étape d'analyse des enjeux qui se focalise sur les processus clefs de l'entreprise donc de classifier les actifs. cette classification permettra de ne retenir que les risques pesant sur les actifs essentiels de l'entreprise,
• Puis une étape de diagnostic des vulnérabilités permettant d’identifier la possibilité de concrétisation des menaces (potentialité et impact) dans le contexte spécifique de l'entreprise, de les évaluer et les pondérer entre ceux acceptables et ceux inacceptables,
• Face à ces risques, de trouver les mesures de sécurité les plus efficaces et robustes afin de pouvoir justifier leur coût de mise en œuvre,
• Enfin de planifier et piloter les chantiers à mener et les résultats obtenus (tableaux de bord).

Les acteurs nécessaires pour l'analyse des enjeux

La démarche nécessite de s'appuyer sur les utilisateurs métiers pour l'identification des enjeux de l'entreprise et surtout pour l'estimation des impacts potentiels sur leur activité.

En clair, la réponse à ces questions : Quel est l'impact métier si telle application ou telle fonction est indisponible 1/2 journée, 1 journée, 1 semaine (avec ou sans perte de données, ...).

En règle générale les informaticiens (y compris les correspondants Maîtrise d'Ouvrage) ont du mal à être pertinent sur ces enjeux métiers, notamment quend il s'agit de chiffrer l'impact potentiel (perte de productivité, coûts et durée de rattrapage, ...). Il faut donc s'appuyer sur le management opérationnel.

Les acteurs pour le diagnostic des vulnérabilités

A contrario les utilisateurs ne savent pas (ou mal) répondre aux questionnaires d'identification des vulnérabilités (faiblesses) du système d'information.

Donc dans cette étape, il faut se tourner vers les processus transverses de l'entreprise (Direction des Systèmes d'Information, services généraux, Direction des ressources humaines, Direction juridique ...) pour diagnostiquer les faiblesses ou failles de sécurité.

L'enchaînement et la durée des étapes

Les facteurs qui influent sur la charge et la durée d'une démarche d'analyse des risques sont :

• évidemment le périmètre à couvrir et le nombre d'entretiens métiers à fournir,
• la complexité de l'architecture du SI ,
• l'organisation interne des équipes informatiques
• ...

On peut estimer une durée minimale de projet de 8-10 semaines dans un contexte simple d'entreprise allant jusque 6 mois dans un contexte multi-sites. Au delà des 6 mois, il est parait judicieux de se reposer la question du périmètre et de le redécouper.

Maîtrise d'ouvrage ou Maîtrise d'Oeuvre ?

Faut-il une assistance externe pour mener une démarche Mehari ou est-il possible simplement de suivre une formation Mehari et de démarrer ?

Comme toute méthode, Mehari demande de l'avoir "digérée" pour savoir conduire les interviews, découper le périmètre pour le diagnostic de vulnérabilités, classifier les risques ...

La réponse à cette question est assez simple : la personne devant conduire ce projet a t'elle une bonne culture de gestion des risques, du management de la sécurité et ... du temps. Si la réponse est oui, elle peut se lancer sur Mehari après une formation.

Sinon, la réponse est négative, il lui faut une certaine assistance qui peut prendre soit la forme d'une assistance à Maîtrise d'Ouvrage (avec transfert de compétences) ou en Maîtrise d'Oeuvre (lorsque l'on considère que l'on ne recommencera pas une nouvelle analyse de risque avant quelques années).