Les fondamentaux de la démarche

Sidebar

Les fondamentaux de Méhari

 

Positionnement et principe de base de Méhari

 

Le domaine visé par MEHARI est celui de la sécurité de l’information, englobant les systèmes informatisés mais aussi l’information sous toutes ses formes, numériques, analogiques, écrites, etc.

Dans ce domaine, l’objectif de Méhari n’est pas seulement d’identifier les situations de risque et d’en apprécier le niveau, mais de mettre en évidence les mesures permettant de ramener les risques à un niveau acceptable.

Au-delà de la nature des mesures à mettre en œuvre, Méhari s’attache en outre à en définir le niveau de qualité et d’efficacité requis.

Enfin, Tous les modules de Méhari sont fondés sur un principe de base qui est de ne jamais sous-évaluer un risque et qui se décline de deux manières :

  • Toujours envisager le pire en termes de conséquences
  • Ne tenir compte que des effets « contrôlés » des mesures de sécurité

Modèle de risque de Méhari

 

MEHARI est basé sur un modèle de risque qui comprend :

  • Un aspect « qualitatif » visant à mettre en lumière les différents aspects d’un risque et de sa survenance, afin de mieux comprendre les paramètres qui jouent sur le niveau de gravité du risque
  • Un aspect « quantitatif » visant à quantifier les divers facteurs de risque et à pondérer les effets cumulés des services de sécurité, afin de pouvoir évaluer les niveaux de risque.

Méhari décrit chaque risque comme un scénario qui comprend plusieurs éléments, chaque élément étant décrit et expliqué.

Pour ce faire, Méhari définit des typologies qui permettent une standardisation des descriptifs et une exhaustivité dans la recherche des situations de risque.

Sur la base de ces éléments et typologies, Méhari décrit quatre modes d’action possibles des mesures visant à réduire des risques :

  • La « dissuasion » qui a pour effet de diminuer, par des mesures « dissuasives », la probabilité qu’un acteur décide de mener l’action à l’origine du risque
  • La « prévention » qui rend plus difficile, donc moins probable, le fait que le déclenchement de l’événement initial conduise effectivement à la réalisation du risque
  • Le « confinement » qui va limiter l’étendue des dommages directs possibles
  • La « palliation » qui limite l’étendue des conséquences indirectes des dommages

Ces modes d’action sont des « Facteurs de réduction de risque ». Le modèle global en résultant est présenté sur le schéma ci-dessous :

Apport des bases de connaissances

La richesse de MEHARI est basée sur l’utilisation de bases de connaissances. Les bases de connaissances de Méhari permettent, par une dépersonnalisation et une généralisation des situations de risque, de :

  • Viser l’exhaustivité des situations de risque analysées
  • Apporter de l’expertise
  • S’enrichir de l’expérience cumulée
  • Harmoniser et coordonner les plans d’action

Les bases de connaissances de Méhari contiennent ainsi, quelle que soit sa version :

  • Des scénarios de risque standards
  • Des dispositifs de sécurité matérialisés par des « services de sécurité »
  • Des questionnaires d’évaluation de ces services
  • Des mécanismes d’évaluation de l’ensemble des paramètres caractéristiques des risques
  • Des mécanismes d’aide à la définition de plans et projets de sécurité aptes à réduire les risques
  • Des outils de pilotage des risques

Méhari comprend 3 bases de connaissances :

  • Méhari-Expert
    Version destinée aux grandes ou très grandes entreprises et nécessitant une bonne expertise de la méthode
  • Méhari-Standard
    Nouvelle version, destinée aux entreprises moyennes ou grandes, dotée de plus d’outils de pilotage et d’accès plus facile
  • Mehari-Pro
    Version destinée aux petites, voire très petites entreprises

Méhari comprend également un module sans base de connaissances : Méhari-Manager, version destinée à l’analyse directe, avec les managers, de situations de risques métiers.

Les aides au traitement et au pilotage des risques

Le traitement des risques consiste à analyser chaque scénario de risque et à prendre des décisions spécifiques qui peuvent être de :

  • Réduire le risque c’est-à-dire prendre des mesures pour que l’impact ou la potentialité ou les deux soient réduits et diminuent la gravité résiduelle en conséquence
  • Décider d’éviter le risque en supprimant la situation de risque par des mesures structurelles ou organisationnelles
  • Transférer le risque, essentiellement par l’assurance
  • Accepter le risque tel quel

En pratique, il est rationnel d’organiser le travail de manière structurée et de commencer par la mise en place de mesures propres à réduire le maximum de risques à un niveau acceptable, puis s’il en reste quelques-uns dont la réduction s’avère difficile ou trop onéreuse, d’analyser s’il est possible de les éviter ou de les transférer ou enfin s’il faut les accepter.

Pour la réduction des risques, Mehari propose de travailler par « Plans d’action » ou par « projets », sélectionnés et décidés selon des processus qui peuvent varier d’une version de base de connaissances à l’autre.

Un projet ou un plan comprend un ou plusieurs services de sécurité, avec pour les services inclus dans le projet, un objectif cible de qualité (comprenant l’efficacité du service, sa robustesse et sa mise sous contrôle). Il s’agit généralement d’un ensemble de services qu’il est cohérent de traiter ensemble.

La planification de la réduction des risques consiste ainsi à :

  • Sélectionner ou présélectionner un ensemble de plans ou de projets décrits dans la base de connaissances
  • Vérifier qu’avec la mise en place de ces plans ou projets les risques à réduire sont bien ramenés à un niveau acceptable
  • Décider quels projets seront engagés et les budgéter
  • Planifier ces projets en déterminant une date de début et une date de fin

Le détail des aides fournies par les différentes versions de Méhari dans ce processus est fourni dans des documents séparés et spécifiques de chaque base de connaissances.