Les modules de Méhari

Sidebar

Les modules de MEHARI

 

L’analyse des enjeux et la classification des actifs

 

L’analyse des enjeux est une étape essentielle de tout processus de gestion des risques et constitue le premier module de MEHARI.

L’analyse des enjeux se concrétise par deux résultats principaux :

  • L’échelle de valeurs des dysfonctionnements
  • La classification des actifs du système d’information, et, en particulier, le tableau d’impact intrinsèque utilisé par les bases de connaissances de MEHARI pour l’évaluation des scénarios de risque
La démarche MEHARI consiste à procéder à une analyse des activités et donc des processus de l’entreprise ou de l’organisme, d’en déduire les dysfonctionnements qui peuvent être redoutés, puis d’évaluer en quoi et jusqu’à quel point ces dysfonctionnements peuvent être plus ou moins graves, avant d’effectuer, éventuellement, la classification proprement dite des actifs du système d’information.
La démarche est décrite en détail dans le « Guide de l’analyse des enjeux et de la classification » téléchargeable depuis l’espace Bibliothèque de ce site.

Le diagnostic de l’état des services de sécurité

 

La qualité et l’efficacité des mesures de sécurité mises en œuvre sont, à l’évidence, des paramètres que l’on ne peut ignorer pour évaluer les risques auxquels une entreprise ou un organisme est confronté.

Dans MEHARI, ces mesures de sécurité sont définies par des « services de sécurité » qui décrivent une réponse à un besoin de sécurité, exprimée en termes génériques et fonctionnels décrivant la finalité du service, indépendamment des mécanismes et solutions concrètes permettant la réalisation effective du service.

Les services de sécurité peuvent avoir des niveaux de performance très différents selon les mécanismes employés. Ils seront plus ou moins efficaces (performants) dans leur fonction et plus ou moins robustes dans leur capacité à résister à une attaque directe.
Un des fondements de MEHARI est que l’on peut évaluer cette qualité globale (efficacité et robustesse) par des questionnaires adaptés et utiliser ensuite cette évaluation lors de l’évaluation quantitative des risques.

Le module de diagnostic de MEHARI comprend ainsi une série de questionnaires (plus ou moins détaillés selon les versions) inclus dans chaque base de connaissances.

La démarche et les processus détaillés de diagnostic sont décrits en détail dans le « Guide du diagnostic de l’état des services de sécurité » téléchargeable depuis l’espace Bibliothèque de ce site.

L’analyse des risques

Mehari se distingue par le fait qu’elle permet une gestion directe et individuelle des risques, en s’appuyant sur les principes de base rappelés. Les risques peuvent être identifiés et décrits par des scénarios contenant un certain nombre d’éléments précis
Chaque scénario de risque peut être évalué quantitativement et cette évaluation prend en compte :

  • L’impact intrinsèque maximal du scénario de risque qui reflète le niveau de conséquence du scénario, s’il se réalise, en l’absence de toute mesure de sécurité et qui peut être déduit de l’analyse des enjeux (module 1)
  • La potentialité intrinsèque du scénario (ou exposition naturelle au scénario), qui reflète le niveau de probabilité de survenance du scénario, en l’absence de toute mesure de sécurité et qui peut être évaluée directement (évaluation standard fournie par les bases de connaissances)
  • Des facteurs de réduction de risque, différenciés par leur type d’effet sur l’impact ou la potentialité, facteurs qui dépendent des mesures de sécurité et de la qualité de ces mesures et qui peuvent être évalués à partir du diagnostic de l’état des services de sécurité (module 2)

Les bases de connaissances de Méhari contiennent les descriptions des scénarios de risque et l’ensemble des processus et algorithmes de l’analyse des risques sont décrits en détail dans le « Guide de l’analyse et du traitement des risques » téléchargeable depuis l’espace Bibliothèque de ce site.

Le traitement des risques

Le traitement des risques consiste à analyser chaque scénario de risque et à prendre des décisions spécifiques qui peuvent être de réduire le risque c’est-à-dire prendre des mesures pour que l’impact ou la potentialité ou les deux soient réduits et diminuent la gravité résiduelle en conséquence, de l’éviter en supprimant la situation de risque par des mesures structurelles ou organisationnelles, de le transférer, en particulier par l’assurance, voire d’accepter le risque tel quel.

En pratique, Méhari propose d’organiser le travail de manière structurée et de commencer par la mise en place de mesures propres à réduire le maximum de risques à un niveau acceptable, puis s’il en reste quelques-uns dont la réduction s’avère difficile ou trop onéreuse, d’analyser s’il est possible de les éviter ou de les transférer ou enfin s’il faut les accepter.

Pour la réduction des risques, MEHARI propose de travailler par « Plans d’action » ou par « projets », sélectionnés et décidés selon des processus qui peuvent varier d’une version de base de connaissances à l’autre.

Un projet ou un plan comprend un ou plusieurs services de sécurité, avec pour les services inclus dans le projet, un objectif cible de qualité.

Le détail des aides fournies par les différentes versions de MEHARI dans ce processus est fourni dans des documents séparés et spécifiques de chaque base de connaissances.