Les principes de la méthode Mehari

Méhari : principes structurants

Mehari en arrive à sa 6ème version et peut-on dire à un stade de maturité en terme de concepts de gestion des risques. Les principes de cette méthode restent :

  • une analyse des enjeux métiers qui permet de pondérer la gravité des dysfonctionnements redoutés et indirectement influe sur le choix des mesures de sécurité
  • le choix des mesures de sécurité est directement corrélé aux faiblesses de sécurité de l'entreprise (grâce à une analyse du niveau de vulnérabilité)
  • un calcul de pertinence des mesures de sécurité par rapport aux scénarios de sinistre potentiel (avec des critères de choix d'un service de sécurité basée sur sa robustesse, son efficacité et la possibilité de mettre sous contrôle)

Ce qui a évolué dans la version 2007 de Mehari :

  • une cotation de l’état de la sécurité selon les points de contrôle de l’ISO 27002
  • une assistance à la classification des actifs
  • amélioration de certaines fonctions dans la justification des mesures de sécurité

Ce qui a évolué dans la version 2010 de Mehari :

  • des changements de vocabilaires et concepts pour s'aligner sur ISO 27005
  • des clarifications sur les définitions de termes telles que Menaces,
  • une nouvelle structure des scénario de risque qui définit désormais plusieurs niveaux d’actifs
  •  une clarification des questionnaires en cas d’ambiguïté d’interprétation

En synthèse Mehari est certainement la méthode d'analyse de risques la plus aboutie en terme de modèle et d'efficacité.

La documentation a été entièrement remaniée et propose maintenant des documents de synthèse et de détail par étape.

L'analyse des enjeux

"Que peut-on redouter et, si cela devait arriver, serait-ce grave". C'est ainsi qu'est défini l'analyse des enjeux dans la méthode Mehari.

Il y des éléments importants de reflexion concernant la réponses à apporter à cette question. Les utilisateurs savent bien répondre sur la deuxième
partie de la question, c'est à dire l'impact du sinistre sur son activité (indisponibilité d'une application, de la totalité du système d'information, perte de confidentialité, ... ), mais en revanche ont des difficultés à identifier les origines des sinistres (sauf peut être celles qui sont liées à leur propres collaborateurs).

Cette analyse d'enjeux a donc pour objectifs :

  • d'identifier les macro-processus clefs pour l'entreprise
  • d'analyser l'impact de scénarios de sinistres et de classer ces impacts
  • d'en déduire une classification des actifs essentiels (applications, matériels, équipement mais également ressources humaines).

Copyright Ysosecure © 2002 - 2018