La méthode MEHARI1, créée par le CLUSIF2, est destinée à l’évaluation des risques mais également au contrôle et à la gestion de la sécurité de l’entreprise à court, moyen et long termes. Elle est basée sur des scénarios de risques et permet d’évaluer les causes et les conséquences de ces scénarios.
Cette méthode est adaptée aux normes BS3 7799 « Information security management systems. Guidelines for information security risk management » et ISO4 27001 « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences ».
Le principe de MEHARI :
MEHARI consiste à faire un point sur les enjeux liés à la sécurité du système d’information dans l’entreprise et à en faire un classement par rapport aux critères de sécurité de base : confidentialité, intégrité et disponibilité. Les dysfonctionnements ayant un impact sur l’activité de l’entreprise sont ainsi répertoriés et évalués selon des scénarios.
Avec cette méthode la gravité d’un scénario est déterminée par le schéma suivant :
Ainsi, 4 niveaux d’impact sont définis par la méthode :
- impact nul ;
- impact des détériorations ;
- impact des dysfonctionnements ;
- impact des pertes finales.
La potentialité du risque est également déterminée en 4 niveaux :
- l’exposition nulle ;
- l’exposition naturelle – qui peut être diminuée par des mesures structurelles ;
- l’intention d’agression – qui peut être diminuée par des mesures dissuasives ;
- la possibilité de sinistre – qui elle peut être diminuée par des mesures préventives.
Des audits sont réalisés afin de constater les vulnérabilités du système de l’information.
Ces audits permettent une analyse précise des risques et facilitent la mise en place de plans d’actions. La méthode permet également de rechercher et d’évaluer des mesures contre les agressions potentielles.
La méthode MEHARI propose une analyse des risques de 8 cellules de l’entreprise :
- L’entité – l’ensemble des services non techniques de nature organisationnelle ;
- Le site – situation du site et protection ;
- Les locaux ;
- Les applicatifs – les applications et processus ;
- Les services offerts par les systèmes et l’infrastructure ;
- Le développement – cycle de vie des projets ;
- La production informatique ;
- Les réseaux et les télécoms.
La démarche conduit à la création de plans :
- le PSS5 qui permet d’établir les objectifs de sécurité ainsi que les indicateurs permettant de mesurer les risques ;
- le POS6 définit, par site ou entité géographique, les mesures de sécurité qui doivent être mises en œuvre. Grâce aux audits, une évaluation de chaque risque (probabilité, impact) est obtenue et permet de définir les besoins et mesures de protection nécessaires. Une planification est faite afin de mettre à niveau la sécurité du système d’information ;
- le POE7 assure le pilotage stratégique de la sécurité par la mise en place d’indicateurs et la mise en avant des scénarios les plus critiques. Cette méthode, grâce à sa démarche centrée sur les besoins de continuité de l’entreprise, permet la mise en place de plans d’actions concrets et atteindre les niveaux de sécurité définis dans le PSS. D’autres méthodes concernant la gestion de la sécurité du système d’information :
- la méthode CRAMM;
- la méthode EBIOS ;
- le modèle COBIT.
1 : Méthode Harmonisée d’Analyse des Risques
2 : Club de la Sécurité de l’Information Français
3 : British Standard
4 : International Organization for Standardization, traduit en français par Organisation Internationale de Normalisation
5 : Plan Stratégique de Sécurité
6 : Plan Opérationnel de Sécurité
7 : Plan Opérationnel d’Entreprise
Copyright : INFOQUALITE
Partager cet article
1 Comment
Comments are closed.