MEHARI Pro

Home/MEHARI Pro
MEHARI Pro 2017-05-17T11:22:38+00:00

MEHARI PRO fait partie de l’ensemble des démarches d’analyse de risques développées à partir du modèle d’analyse de risques créé par Jean-Philippe Jouas et Albert Harari en 1992, modèle utilisé par le CLUSIF, pour MEHARI, depuis 1996.

MEHARI PRO est une démarche ciblée pour les petites et moyennes entreprises ou entités et est basée sur les mêmes processus d’analyse et d’évaluation des risques que l’ensemble des variantes de MEHARI en utilisant une base de connaissances spécifiques adaptée à la cible visée.

Télécharger MEHARI PRO

Objectifs

Le premier objectif de MEHARI PRO est de faciliter l’appropriation par les PME d’une méthode d’analyse et de gestion des risques et, plus particulièrement pour le domaine de la sécurité de l’information, une méthode conforme aux exigences de la norme ISO/IEC 27005:2011, avec l’ensemble des outils et moyens requis pour :

  • Identifier de manière précise et exhaustive les situations de risque auxquelles l’organisation doit faire face;
  • Permettre une analyse directe et individualisée des situations de risque décrites par des scénarios de risque;
  • Proposer des mesures de sécurité permettant de réduire les risques jugés inacceptables et permettre d’en évaluer l’effet sur les niveaux de risques résiduels.

À cet objectif premier s’ajoute l’objectif complémentaire de fournir une gamme d’outils adaptée à la gestion de la sécurité de l’information, et ce, quels que soient les types d’actions envisagés.

Compte-tenu de ces objectifs, MEHARI PRO propose un ensemble méthodologique cohérent, faisant appel à des bases de connaissances adaptées et capables d’accompagner les responsables de la sécurité dans leurs différentes démarches et actions, incluant des acteurs impliqués dans la gestion des risques.

Domaines d’application

MEHARI PRO est une méthode rigoureuse de gestion de risque destinée aux responsables d’entreprise et professionnels de la sécurité. Elle vise principalement les petites ou moyennes organisations, privées ou publiques, ou encore les organisations plus importantes qui souhaitent, au moins dans un premier temps, avoir une vision et une analyse globale de leurs risques sans entrer dans le détail de l’infrastructure et du fonctionnement des systèmes d’information et de communication.

Ses domaines d’application sont, principalement :

  • L’analyse des risques induits par une nouvelle application ou de nouvelles fonctionnalités d’un système d’information;
  • L’analyse de risques liée à un projet visant la mise en place d’un nouveau système d’information;
  • L’analyse des risques d’organisation de toutes les tailles qui ont peu de maturité en gestion de risques des TIC.

Principes directeurs

Cette déclinaison de MEHARI, comme toutes les autres, respecte les principes directeurs suivants :

  • Identifier les situations de risque par une démarche structurée et arborescente partant des activités de l’organisation et en recherchant les dysfonctionnements possibles et leurs causes;
  • Évaluer les conséquences d’un risque potentiel à partir d’une classification des actifs, elle-même basée sur les impacts maximum des risques sur les processus d’affaires de l’organisation;
  • Évaluer la probabilité de survenance d’un risque à partir de la potentialité initiale d’occurrence de l’événement;
  • Tenir compte, dans l’évaluation d’un risque, non seulement des mesures de sécurité existantes mais aussi de leur niveau de qualité et d’efficacité;
  • Appuyer l’évaluation de la qualité des mesures de sécurité en place (ou prévues) sur une base de connaissance apportant l’expertise requise.

Démarche d’analyse de risque

La démarche d’analyse de risque MEHARI PRO consiste en :

  • l’analyse des enjeux et à la classification des actifs de l’organisation (DIC);
  • la détermination du niveau de maturité de l’organisation en gestion de la sécurité de ses principaux processus d’affaires;
  • le diagnostic de la qualité des services de sécurité en place (vulnérabilité);
  • l’identification des scénarios de risques pouvant altérer la nature ou le fonctionnement des actifs impliqués;
  • l’identification des mesures à mettre en place pour réduire la gravité des risques non acceptables et le choix des actions à entreprendre sur les autres risques;
  • la définition d’un plan d’action priorisant les mesures ayant le plus grand effet sur l’atténuation des risques.

La documentation de MEHARI est en accès libre ici.

 
MEHARI est une marque déposée du CLUSIF