Méthode MEHARI

Home/À propos/Méthode MEHARI
Méthode MEHARI 2017-11-02T08:30:50+00:00

matrice gravitélogo-mehariMEHARI est une méthodologie intégrée et complète d’évaluation et de management des risques associés à l’information et à ses traitements .

La méthode MEHARI est développée et actualisée depuis 1996.

Sa diffusion est gratuite sous licence Creative Commons.

MEHARI respecte les lignes directrices tracées par la norme ISO/IEC 27005 et permet une intégration dans une démarche complète qui permet d’être utilisée aussi dans le cadre d’un Système de Management de la Sécurité de l’Information (ISO/IEC 27001:2013) grâce à sa capacité à impliquer et sensibiliser la Direction de l’entité comme les responsables opérationnels.

La méthode MEHARI peut être réalisée selon plusieurs démarches, basées sur le même modèle de risque, intégrant l’évaluation des enjeux business, des menaces et des vulnérabilités attachées aux actifs dans des situations de risque.

Le niveau de gravité des scénarios de risque est déterminé à partir des niveaux de potentialité et d’impact et la structure de la méthode permet de sélectionner les mesures de sécurité susceptibles de traiter (réduire son niveau de gravité) chaque risque au mieux des ressources de l’organisation.

 

Les démarches de la méthode actuellement diffusées sont les suivantes :

Pro Standard Expert
Taille entreprise Petite Petite – moyenne Moyenne – grande
Nombre de sites 1 – 3 2 – 10+ 3 – 20+
Liens avec ISO 27002 :2013 NON OUI + OUI
Efficience vs. Lois et règlements NON OUI OUI +
Administrations systèmes et réseau Unique Unique Séparées
Langues Français Fr Fr – En – Farsi
Date de Création 2013 2017 2016 (2010)
Nombre de types d’actifs 10 13 26
Nombre de services de sécurité 43 142 300
Nombre de domaines de services 6 8 14
Nombre de questions de diagnostic 380 900 2150
Nombre de scénarios de risque 74 210 800

MEHARI EXPERT (2010)

La base de connaissance associée, disponible en Français, en Anglais et en Farsi,  est complète et fournit une interface utilisateur de haut niveau s’appuyant sur un tableur comme Excel. Elle peut être utilisée pour tout type d’organisation, moyenne ou grande, en totalité ou ne traiter qu’un sous ensemble de ses activités et permet de situer le niveau de conformité de l’organisation avec les normes ISO 27001 et 27002:2013.

La base de connaissance de MEHARI EXPERT a été chargée vers plus de 175 pays et a été légèrement révisée pour intégrer les points de contrôle de la révision des normes ISO 27001 et 27002:2013 ainsi qu’introduire plusieurs aménagements permettant aux entreprises de mieux s’approprier leur utilisation de la méthode sur la durée dans un processus d’amélioration continue de la sécurité.

MEHARI STANDARD

Cette base de connaissance, introduite en 2017, est structurée pour prendre en compte strictement la révision de la norme ISO 27001:2013 dans son diagnostic des vulnérabilités tout en ajoutant ses objectifs propres d’analyse et de traitement des risques liés à l’information, elle s’applique pour tous types et tailles d’organisations.

La mise en oeuvre de MEHARI Standard est plus légère que pour MEHARI Expert en ce qui concerne les questionnaires de vulnérabilités et le nombre de scénarios  mais apporte un plus en ce qui concerne l’évolution des risques en fonction des projets décidés et réalisés en support de la politique de sécurité de l’organisme.

MEHARI MANAGER

Cette démarche permet d’identifier et d’analyser les principales exigences de sécurité de l’information pour un responsable métier sans passer par une analyse de risque complète de l’organisme ou en complément de celle-ci. Elle s’effectue directement lors d’un entretien avec le responsable concerné, pour identifier et évaluer la gravité d’un ou plusieurs scénarios de risque. Chaque scénario fait alors l’objet d’une analyse selon un cadre fixé par la méthode dans un fichier pour tableur Excel.
MEHARI MANAGER s’applique particulièrement bien dans le cadre de nouveaux projets ou de changements d’architecture comme de fonctionnalités.

MEHARI PRO

Cette démarche d’analyse est spécialement adaptée pour les petites et moyennes organisations ou entités. MEHARI PRO reprend fidèlement les principes de MEHARI EXPERT de façon compacte pour de telles structures afin de réaliser un management du risque plus rapidement.

Les bases de connaissance de MEHARI sont diffusées gratuitement sous licence CreativeCommons.

Pour plus d’information

* visitez le forum mehari.info

Ce forum d’échanges sur les démarches de la méthode est ouvert à tous en lecture et sur demande en écriture.

Vous pouvez également écrire à mehari.info@gmail.com

MEHARI est une marque déposée par le CLUSIF.