MEHARI EXPERT 2010 Fr

Home/MEHARI EXPERT 2010 Fr
MEHARI EXPERT 2010 Fr 2017-12-02T15:30:28+00:00

MEHARI est une méthode complète d’évaluation et de management des risques liés à l’information, ses traitements et les ressources mises en œuvre. Les tableurs de Mehari ont été téléchargés plus de 50 000 fois vers plus de 175 pays. L’utilisation de la méthode est gratuite et sa distribution est réalisée selon les dispositions de la licence Creative Commons.

Réduire les risques impose de connaître les enjeux et les processus majeurs pour l’organisation afin d’appliquer les mesures organisationnelles et techniques de manière à optimiser les investissements. Cette démarche implique donc d’utiliser les pratiques et solutions à la hauteur des enjeux et des types de menaces pesant sur l’information, sous toutes ses formes, et les processus comme les éléments qui la gèrent et la traitent.

MEHARI, conforme aux exigences de la norme ISO/IEC 27005 pour gérer les risques, peut ainsi s’insérer dans une démarche de type SMSI promue par l’ISO/IEC 27001:2013, en identifiant et évaluant les risques dans le cadre d’une politique de sécurité (Planifier), en fournissant des indications précises sur les plans à bâtir (Déployer) à partir de revues des points de contrôle des vulnérabilités (Contrôler) et dans une approche cyclique de pilotage (Améliorer).

MEHARI apporte une aide efficace pour manager et sécuriser l’information de toutes sortes d’organisations.

MEHARI fournit un cadre méthodologique, des outils et des bases de connaissance pour :

  • analyser les enjeux majeurs,
  • étudier les vulnérabilités,
  • réduire la gravité des risques,
  • piloter la sécurité de l’information.

Les modules de MEHARI peuvent être combinés, en fonction de choix d’orientation ou de politiques d’entreprise, pour bâtir des plans d’action ou, tout simplement, pour aider la prise de décision concernant la sécurité de l’information.

Avant d’activer le chargement de la base de connaissance Expert, vous êtes invité(e) à remplir le formulaire suivant qui, seul, vous permettra d’être informé(e) des révisions et des événements concernant exclusivement la méthode mehari.

Veuillez remplir soigneusement le formulaire de contact ci dessous si vous désirez recevoir des messages concernant la méthode. Si, cependant, vous voulez conserver votre anonymat tous les champs sont optionnels.

Télécharger MEHARI EXPERT 2010

L’analyse des enjeux

Dans MEHARI, on appelle “Analyse des enjeux de la sécurité” :

  • L’identification des dysfonctionnements potentiels pouvant être causés ou favorisés par un défaut de sécurité,
  • L’évaluation de la gravité de ces dysfonctionnements.

Cette analyse répond aussi au “BIA” (Business Impact Analysis) de ISO 22301.

Il s’agit d’une analyse totalement focalisée sur les objectifs et attentes des “métiers” de l’entreprise, et, de ce fait pérenne. Elle met à contribution les décideurs et le haut management de l’entreprise ou de l’entité dans laquelle elle est menée.

Cette analyse se traduit par :

  • Une échelle de valeurs des dysfonctionnements potentiels, document de référence centré sur les impacts “business”,
  • Une classification formelle des informations et ressources du système d’information.

Il ne s’agit en aucun cas d’un audit des dysfonctionnements réels qui pourraient être constatés, mais d’une réflexion sur les risques majeurs auxquels l’entité est exposée et sur le niveau de gravité de leurs conséquences éventuelles.

Cette analyse des enjeux vise, le plus souvent, à :

  • Être sélectif dans les moyens à mettre en oeuvre pour la sécurité de l’information et ne pas engager de dépenses là où les enjeux sont faibles,
  • Éviter des contraintes inutiles aux utilisateurs,
  • Définir les priorités,
  • Répondre à l’inévitable question d’un décideur en face d’un budget de sécurité : “est-ce bien nécessaire ?”.

Dans cette analyse, MEHARI apporte :

  • Une démarche centrée sur les besoins du business et une implication des managers et dirigeants,
  • Un guide de mise en oeuvre et des livrables types,
  • Des liens directs vers l’analyse détaillée des risques correspondants.

L’analyse des vulnérabilités

L’analyse des vulnérabilités revient à identifier les faiblesses et les défauts des mesures de sécurité. En pratique, il s’agit d’une évaluation quantitative de la qualité de mesures de sécurité. Les mesures de sécurité évaluées sont, en fait, des services de sécurité, décrits et documentés dans une base de connaissance développée et maintenue par le CLUSIF et le CLUSIQ.

Dans MEHARI, cette analyse couvre :

  • L’efficacité des services de sécurité :

De même que certaines serrures sont plus faciles à violer que d’autres, les services de sécurité sont conçus pour résister à des niveaux d’attaque variables, selon les mécanismes mis en oeuvre, ce qui les rend plus ou moins efficaces.

De même que certaines digues résistent à des crues plus importantes que d’autres, les services de sécurité sont conçus pour résister à des types de circonstances variables, selon les mécanismes mis en oeuvre, ce qui les rend plus ou moins efficaces.

  • Leur robustesse :

De même qu’avoir une serrure 5 points d’excellente qualité est une sécurité illusoire si le chambranle n’est pas solide ou si l’on peut aisément passer par la fenêtre, les services de sécurité peuvent être étudiés pour résister à des tentatives de contournement ou d’inhibition, par des mécanismes complémentaires, ce qui les rend plus ou moins robustes.

De même que certaines protections actives peuvent devenir défaillantes sans que cela provoque une réaction, les services de sécurité peuvent être étudiés pour détecter toute anomalie, par des mécanismes complémentaires, ce qui les rend plus ou moins robustes.

  • Leur mise sous contrôle :

De même qu’un responsable ne sera véritablement sûr de la protection apportée par la serrure de sécurité que s’il s’assure que les occupants ferment effectivement à clé l’issue concernée, ou qu’il ne sera sûr de la protection apportée par une digue que s’il s’assure qu’elle n’a pas été endommagée, les services de sécurité peuvent être accompagnés de mesure de contrôle destinés à garantir la pérennité des mesures pratiques mises en place, ce qui les rend plus ou moins “sous contrôle”.

Cette analyse des vulnérabilités vise, le plus souvent, à :

  • Vérifier l’absence de points faibles inacceptables : elle peut alors donner lieu à des plans d’action immédiats
  • Évaluer l’efficacité des mesures mises en place et garantir leur efficience : il est alors nécessaire de disposer d’une base de connaissance “experte”.
  • Se comparer à l’état de l’art ou aux normes en usage : l’aspect “normatif” est alors plus important que l’expertise de la base de connaissance support.

Dans cette analyse des vulnérabilités, MEHARI apporte :

  • Une couverture complète du contexte de travail de l’entreprise :
    • Prise en compte du système d’information au sens large et de tous les types d’information
    • Prise en compte de l’ensemble de l’environnement de travail
  • Un guide de mise en oeuvre et des bases de connaissance (questionnaires types et manuel de références des services de sécurité) complètes et expertes,
  • Une démarche adaptée aux interlocuteurs concernés et aux usages envisagés de l’analyse des vulnérabilités
  • Des liens directs vers l’analyse des risques induits par les faiblesses mises en évidence.

L’analyse des vulnérabilités fournit une évaluation quantitative de la qualité de mesures de sécurité. La base de connaissance des mesures de sécurité de MEHARI est structurée par domaines et par services ayant des finalités précises de réduction de potentialité ou d’impact des situations de risques.

Cette analyse des vulnérabilités permet de :

  • Corriger les points faibles inacceptables par des plans d’action immédiats.
  • Évaluer l’efficacité des mesures mises en place et garantir leur efficience.
  • Préparer l’analyse des risques induits par les faiblesses mises en évidence.
  • Se comparer à l’état de l’art ou aux normes en usage.

L’analyse des risques

Dans MEHARI, “l’analyse des risques” couvre :

  • L’identification des situations susceptibles de remettre en cause un des résultats attendus de l’entreprise ou de l’organisme ou d’une entité en son sein.
  • L’évaluation :
    • de la probabilité de telles situations,
    • de leurs conséquences possibles,
    • de leur caractère acceptable ou non.
  • La mise en évidence des mesures susceptibles de ramener chaque risque à un niveau acceptable.

Cette analyse des risques vise, le plus souvent, à :

  • Définir les mesures les mieux adaptées au contexte et aux enjeux : il peut s’agir d’une démarche de management traditionnel par “politique de sécurité” orientée et alimentée par une analyse de risques.
  • Mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées et prises en compte : il s’agit alors d’une politique de management de la sécurité par le management des risques.
  • Analyser et gérer les risques d’un nouveau projet (IT, business, implantation, etc.).

MEHARI apporte :

  • Un modèle de risque et des métriques associées :
    • Évaluation de la potentialité intrinsèque de situations de risques types (en l’absence de toute mesure de sécurité)
    • Évaluation du niveau intrinsèque des conséquences possibles de la situation de risque (en l’absence de toute mesure de sécurité)
    • Évaluation des facteurs de réduction de risque, en fonction des mesures de sécurité mises en place et de leur niveau
  • Des automatismes de calcul du niveau de gravité des risques
  • Une démarche structurée et des guides de mise en œuvre
  • Des bases de connaissance
  • Une consolidation des analyses de risque sous forme de plan d’action : Module de consolidation des besoins et optimisation des mesures à mettre en œuvre.

Le pilotage de la sécurité

Le “pilotage de la sécurité” demande :

  • Un cadre structurant pour définir les objectifs annuels ou les étapes de plans d’action
  • Des indicateurs permettant de comparer les résultats obtenus aux objectifs :
    • en termes qualitatifs et quantitatifs
    • en termes de délais
  • Des références externes permettant un “benchmarking”

Dans ce domaine, MEHARI apporte :

  • Un cadre adapté à différentes démarches et différentes sortes de management de la sécurité :
    • Les modes de pilotage de la sécurité peuvent évoluer avec le temps
    • Les demandes du management peuvent évoluer en fonction de la maturité de l’entreprise
  • Une variété d’indicateurs et de synthèses :
    • Niveaux de vulnérabilités et de risques,
    • centres d’intérêt de sécurité (16 thèmes, dont contrôle d’accès, plan de secours,…),
    • relatifs aux points de contrôles ISO 27002:2013,
    • tableau de bord des risques critiques.

Télécharger MEHARI 2010

MEHARI 2010 apporte plusieurs éléments très utiles pour les responsables de la sécurité de l’information :

  • aides intégrées pour la l’évaluation des risques et la sélection des plans de sécurité,
  • affirmation de la conformité de la méthode relativement à la norme ISO/IEC 27005:2011,
  • intégration dans les processus de SMSI, tels que préconisés par ISO/IEC 27001:2013,
  • clarification de la distinction entre vulnérabilité intrinsèque et faiblesse des mesures de sécurité,
  • extension de la base des scénarios de risque, désignés par l’actif, le critère (D, I, C) considéré et par les circonstances de la menace, permettant des sélections et des regroupements par familles,
  • clarification des liens entre les risques et les choix de traitements appropriés,
  • visualisation des améliorations correspondant aux plans de sécurité,
  • enfin, les formules de chaque étape de l’analyse sont prises en compte directement par la méthode, assurant ainsi une automatisation de l’obtention des résultats en fonction des décisions et des acquisitions des auditeurs.

Chaque fichier des bases de connaissance de MEHARI 2010 contient un ensemble de formules pour exécution avec un tableur Excel ou OpenOffice (la version 3.1 minimum est exigée).

Cependant, la politique de sécurité de l’organisation peut bloquer l’utilisation des éléments de calcul et il convient alors de valider l’option d’autorisation d’utiliser des macros.

La documentation de MEHARI est en accès libre ici.

MEHARI est une marque déposée du CLUSIF