sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et
ISO 27001

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Principes clefs de Mehari 2007

Objectifs de la méthode MEHARI

MEHARI est une démarche d’analyse et de gestion des risques, qui fournit un cadre méthodologique, des outils et des bases de connaissance pour :

  • analyser et classifier les enjeux majeurs,
  • étudier les vulnérabilités,
  • réduire la gravité des risques,
  • piloter la sécurité de l’information

L'approche modulaire de la méthode MEHARI

1. L'analyse des enjeux

L’analyse des enjeux de MEHARI permet d’évaluer la gravité de dysfonctionnements en DIC pouvant être causés ou favorisés par une faille ou un défaut de sécurité.

Il s’agit d’une analyse totalement focalisée sur les objectifs et attentes des métiers de l’entreprise mettant à contribution les décideurs et le management de l’entreprise ou de l’entité considérée.

Cette analyse se traduit par :

  • une échelle de valeurs des dysfonctionnements potentiels, élément de référence centré sur les impacts métiers,
  • une classification rigoureuse des actifs (informations et des ressources) du système d’information,
  • des processus d’assistance pour effectuer cette classification,
  • l’établissement de liens directs vers l’analyse détaillée des risques correspondants

2.L’analyse des vulnérabilités

L’analyse des vulnérabilités fournit une évaluation quantitative de la qualité de mesures de sécurité. La base de connaissance des mesures de sécurité de MEHARI est structurée par domaines et par services ayant des finalités précises de réduction de potentialité ou d’impact des situations de risques.

Cette analyse des vulnérabilités permet de :

  • corriger les points faibles inacceptables par des plans d’action immédiats,
  • évaluer l’efficacité des mesures mises en place et garantir leur efficience,
  • préparer l’analyse des risques induits par les faiblesses mises en évidence,
  • comparer la maturité de son organisation avec l’état de l’art et la norme ISO 17799:2005

2.L’identification et le traitement des risques

Avec MEHARI, l’analyse des risques permet d’identifier les situations susceptibles de remettre en cause un des résultats attendus de l’entreprise ou de l’entité, et d’évaluer la probabilité de ces situations, leurs conséquences possibles et leur caractère : acceptable ou non.

L’analyse des risques met également en évidence les mesures susceptibles de ramener chaque risque à un niveau acceptable.

Cette analyse des risques s’appuie sur un ensemble de scénarios précis et peut servir à :

  • définir les mesures de sécurité les mieux adaptées au contexte et aux enjeux dans une démarche de management de la sécurité de l’information (SMSI), par exemple dans une démarche ISO 27001
  • mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées, prises en compte et un plan d’action défini
spacer

Le version Mehari 2007à forte valeur ajoutée

MEHARI 2007 apporte plusieurs bénéfices pour les responsables de la sécurité :

  • une riche palette de situations de risques et les moyens de réduire leur gravité,
  • une base d’audit enrichie pour l’environnement de travail, les aspects réglementaires et l’édition d’indicateurs reliés aux contrôles ISO 27002 (anciennement 17799:2005),
  • des possibilités de décomposition du périmètre à étudier (en fonction de la criticité des données, des types de systèmes, etc.) afin de se focaliser sur les environnements les plus sensibles,
  • une évaluation fine de l’exposition naturelle de l’entreprise aux événements,
  • une documentation (guides, manuels) modulaire, ciblée (disponible aussi en Anglais).

Principales caractéristiques de MEHARI

Il n'existe pas « une seule bonne » méthode de management de la sécurité mais plutôt une démarche devant intégrer :

  • le contexte de l’entreprise, ses enjeux, sa taille, son organisation (centralisée/décentralisée), son caractère national ou international,
  • le niveau de départ de l’entreprise vis-à-vis de la sécurité de l’information, sa maturité vis-à-vis d’une politique globale de la sécurité de l'information,
  • le mode de management, la culture qualité de l'entreprise, la culture personnelle du DSI et/ou RSSI

Fort de ces principes d'adaptabilité, MEHARI est une méthode structurée, qui s'appuie sur une boite à outils et pouvant être utilisée dans des contextes d'entreprise différents.

Limites de MEHARI

Mehari est une démarche d'analyse des risques de systèmes d'informations. Elle ne répondra pas efficacement à des besoins :

  • De formalisation d'expression de besoins de sécurité par exemple lors de la rédaction d'un cahier des charges de refonte d'un pan du système d'information,
  • Des TPE n'ayant aucune culture sécurité et qui peuvent souhaiter qu'en une poignée de jours, soient définies les solutions de base de sécurité (authentification, politique de sauvegarde, politique anti virale, ...)
  • A des analyse de conformité technique

Enfin si les concepts de MEHARI peuvent s'appliquer à d'autres domaines de la gestion des risques (risques opérationnels, ...), les bases développées actuellement au CLUSIF ne s'appliquent qu'aux risques liés aux systèmes d'information.

En savoir plus :

Merci de nous contacter pour une présentation de MEHARI :       Nous contacter


Plaquette de présentation de MEHARI

 

pix1 pix2 pix3 pix4