sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et
ISO 27001

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Comparaison des méthodes Ebios et Mehari

Des origines très différentes

Même si ces deux méthodes datent de la même période (milieu des années 1990) elles ont des origines très différentes :

  • EBIOS : Elle est développée et maintenue par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information), donc un organisme d'état. A l'origine elle a été développée pour traiter de la formalisation d’objectifs de sécurité adaptés aux besoins des administrations et organismes d'état. Mais elle est également utilisée par quelques grands groupes privés .
  • MEHARI : Elle est développée et maintenue par la CLUSIF (Club de la Sécurité de l'Information Français). Elle est surtout développée pour le domaine privé : banque, assurance, industrie, services ... mais elle est également utilisée au Québec dans les administrations et organismes d'état.

Des différences importantes sur l'analyse des enjeux entre Ebios et Mehari

Différence dans la finalité de l'analyse des enjeux ou des besoins

La première différence importante concerne l'analyse des enjeux ou des besoins, c'est à dire ce qui permettra de justifier à la Direction le besoin de mettre en oeuvre renforcer des mesures de sécurité.

La finalité dans EBIOS est de définir un besoin de protection d'un actif (souvent en DIC) sur une échelle.

La finalité dans MEHARI est de définir les processus business les plus critiques (également en DIC) et le niveau d'acceptabilité de l'impact par le management.

Le résultat peut être différent entre ces 2 approches. D'expérience certains événements peuvent être considérés comme graves par des utilisateurs sont considérés comme sans impact par la Direction de l'entreprise.

Différence dans l'équipe en charge de cette analyse des enjeux

EBIOS préconise une démarche en groupe avec les utilisateurs et informaticiens pour déterminer le besoin de sécurité sur le tryptique DIC.

MEHARI propose plutôt de rencontrer le management métier et d'analyser avec lui des gravités de dysfonctionnement.

Cette différence peut s'expliquer de plusieurs manières :

  • pour Ebios : d'abord il existe beaucoup d'organismes où il est difficile de parler de processus métier mais plutôt de services/fonctions et qui ne sont pas "propriétaire de processus" mais effectuent des tâches. Donc définir la criticité d'un processus est très diffficile ou nécessite de regrouper de nombreuses personnes. Il est donc plus facile d'exprimer un besoin de sécurité sur une information ou une fonction, c'est l'approche Ebios.

  • pour Mehari : A contrario, dans le domaine privé, Le processus "métier" est considéré comme un critère concurrentiel déterminant et il est souvent facile de définir un manager responsable d'un processus métier et de travailler avec lui sur les impacts business d'un arrêt ou dysfonctionnement de ce processus (et d'essayer de le chiffrer).

Evidemment cela corrobore avec les différences d'objectifs de l'étape d'analyse des enjeux.

spacer

Un modèle de risque différent

Dans le modèle EBIOS, les risques résultent des diverses possibilités de concomitance du triptyque «menaces, vulnérabilités et actifs cibles ».

Dans le modèle MEHARI, les risques sont définis par le couple «menaces et actifs cibles ». Les vulnérabilités sont alors des "trous" dans les barrières de sécurité pour empêcher la concrétisation de menaces. Dans MEHARI il est nécessaire de connaître son niveau de vulnérabilité (faiblesse) pour estimer la potentialité de réalisation de la menace et également sa capacité à limiter l'impact d'une menace qui se réalise.

Cette différence de modèle explique l'absence dans EBIOS de questionnaire d’audit détaillé et de méthode d’évaluation précise des vulnérabilités et donc, plus globalement, de la probabilité d’occurrence des risques. La détermination de la gravité (résultante de la potentialité et de l'impact) ne peut être qu’une approximation forcément subjective, donc dépendant fortement des personnes en charge de l’évaluation et des circonstances de cette évaluation.

En synthèse

EBIOS constitue une méthode de sensibilisation des décideurs à l’existence de risques, et une approche permettant de définir globalement des plans de sécurité adaptés aux risques encourus, tels qu’ils sont perçus et valorisés par les utilisateurs.

MEHARI est une méthode permettant d’identifier, de justifier et de faire valider par la Direction de l'entreprise les risques majeurs considérés comme critiques. Ensuite elle permet de gérer individuellement ces risques, en définissant pour chacun d'eux les mesures de sécurité nécessaires et l’effet de ces mesures sur le niveau de risque et en mettant en place un pilotage des risques.

Et il ne faut pas oublier que, quelque soit la méthode, le résultat ne repose que sur l'expérience et le pragmatisme de ceux qui les mettent en oeuvre.

Mehari et Ebios : pour aller plus loin dans l'analyse comparative

Il existe des analyses des différences de modèle entre Ebios et Mehari disponibles sur Internet. Le Clusif a d'ailleurs publié un comparatif détaillé des deux méthodes.

Mais une comparaison des usages terrain de 2 méthodes est évidemment difficile.

 

pix1 pix2 pix3 pix4