Mehari : une méthode de gestion des risques qui couvre la globalité du cycle de risk management
La méthode MEHARI (MÉthode Harmonisée d'Analyse de RIsques) est une méthode d'analyse des risques. Elle a été conçue pour être adaptable au contexte de l'entreprise (boite à outils avec possibilité d'adapter la démarche) mais elle ne dispose pas de déclinaison par typologie d'entreprise ou métier.
 Mehari existe en Français et en Anglais et est maintenue par le CLUSIF. Elle est dérivée des méthodes Marion et Melisa (qui eux n'évoluent plus depuis plusieurs années). Mehari est utilisée par de nombreuses structures publiques et privées en France mais également au Québec .
Mehari se nourrit des enjeux et des objectifs de l'entreprise afin de livrer un résultat « business » quant aux mesures de sécurité à mettre en ouvre. Les différentes phases sont d'établir le contexte d'entreprise, d'identifier les actifs et les menaces, d'analyser les risques et enfin de définir les mesures de sécurité (traitement du risque). Par la même Mehari respecte les principes de risk management définis dans la norme ISO 13335 partie 2 (en cours de révision).
La méthode Mehari a été conçue pour les grandes entreprises et organismes (qui sont également les principaux demandeurs de méthodologie de risques) et prévoit la démarche de sécurité de l'information à 2 niveaux :
- Niveau stratégique : niveau liée au(x) métier(s) de l'entreprise et indépendantes des processus et technologies mis en ouvre. Ce niveau fixe les objectifs de sécurité et le métrique des risques.
- Niveau opérationnel : entité, filiale, branche, business unit qui met en ouvre cette politique et la décline en analyse précise des risques, définition des mesures de sécurité à mettre en ouvre et pilotage de la sécurité dans le temps (contrôles et tableaux de bord)
|
 |
|
|
Mehari : une méthode de gestion des risques adaptée aux grandes et également aux moyennes entreprises.
Cette « architecture » de Mehari à deux niveaux est bien adaptée pour des grands groupes qui veulent conserver une cohérence entre entités (exemple banque internationales). Elle peut toute à fait être couplée avec ISO 17799 pour l'établissement d'un référentiel de contrôles
Mais évidemment il faudra la simplifier dans beaucoup d'autres contextes car il n'existe pas (encore ?) une version allégée de la méthode orientée « mid-market » ou petits organismes.. Des solutions sont identifiées (simplifier l'analyse des vulnérabilités, la classification des ressources, limiter le périmètre d'analyse, .), mais cette simplification est à construire par le RSSI ou le consultant en charge de la mission.
Un logiciel de gestion des risques Risicare (de la société BUC SA) est proposé en complément de la méthode Mehari pour élaborer des représentations graphiques, des tableaux de cotations, des moyens de reporting et une assistance à la méthode. Cet outil, si il est bien utilisé, permet de simplifier une analyse Mehari et ainsi d'être intéressant pour les moyennes entreprises.
En savoir plus :
La présentation du logiciel de gestion des risques Risicare de BUC SA
Evidemment les informations sur Mehari en ligne sur le site du Clusif.
Des dossiers très intéressant réalisés par Jean-Philippe Jouas (2SI), un des concepteurs de Mehari.
|
Domaines sécurité
