Méthode MEHARI

Home/À propos/Méthode MEHARI
Méthode MEHARI 2017-10-17T14:09:17+00:00

logo-mehariMEHARI est une méthodologie intégrée et complète d’évaluation et de management des risques associés à l’information et à ses traitements .

La méthode MEHARI est développée, diffusée et actualisée depuis 1996.

MEHARI respecte les lignes directrices tracées par la norme ISO/IEC 27005 et permet une intégration dans une démarche complète qui permet d’être utilisée aussi dans le cadre d’un Système de Management de la Sécurité de l’Information (ISO/IEC 27001:2013) grâce à sa capacité à impliquer et sensibiliser la Direction de l’entité comme les responsables opérationnels.

La méthode MEHARI peut être réalisée selon plusieurs démarches, basées sur le même modèle de risque, intégrant l’évaluation des enjeux business, des menaces et des vulnérabilités attachées aux actifs dans des situations de risque.

Le niveau de gravité des scénarios de risque est déterminé à partir des niveaux de potentialité et d’impact et la structure de la méthode permet de sélectionner les mesures de sécurité susceptibles de traiter (réduire son niveau de gravité) chaque risque au mieux des ressources de l’organisation.

Les démarches de la méthode actuellement diffusées sont les suivantes :

MEHARI EXPERT (2010)

La base de connaissance associée, disponible en Français, en Anglais et en Farsi,  est complète et fournit une interface utilisateur de haut niveau s’appuyant sur un tableur comme Excel. Elle peut être utilisée pour tout type d’organisation, moyenne ou grande, en totalité ou ne traiter qu’un sous ensemble de ses activités et permet de situer le niveau de conformité de l’organisation avec les normes ISO 27001 et 27002:2013.

La base de connaissance de MEHARI EXPERT a été chargée vers plus de 175 pays et a été légèrement révisée pour considérer  les points de contrôle de la révision des normes ISO 27001/27002:2013 et introduire plusieurs aménagements permettant aux entreprises de mieux s’approprier leur utilisation de la méthode sur la durée dans un processus d’amélioration continue de la sécurité.

MEHARI MANAGER

Cette démarche permet d’identifier et d’analyser les principales exigences de sécurité de l’information pour un responsable métier sans passer par une analyse de risque complète de l’organisme ou en complément de celle-ci. Elle s’effectue directement lors d’un entretien avec le responsable concerné, pour identifier et évaluer la gravité d’un ou plusieurs scénarios de risque. Chaque scénario fait alors l’objet d’une analyse selon un cadre fixé par la méthode dans un fichier pour tableur Excel. MEHARI MANAGER s’applique particulièrement bien dans le cadre de nouveaux projets ou de changements d’architecture comme de fonctionnalités.

MEHARI PRO

Cette démarche d’analyse est spécialement adaptée pour les petites et moyennes organisations ou entités. MEHARI PRO reprend fidèlement les principes de MEHARI EXPERT de façon compacte pour de telles structures afin de réaliser un management du risque plus rapidement.

Les bases de connaissance de MEHARI sont diffusées gratuitement sous licence CreativeCommons.

Pour plus d’information

Pour plus d’information, visitez le forum mehari.info

Ce forum d’échanges sur les démarches de la méthode est ouvert à tous en lecture et sur demande en écriture.

Vous pouvez également écrire à mehari.info@gmail.com

MEHARI est une marque déposée par le CLUSIF