Méthode harmonisée d'analyse des risques

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Méhari.

La méthode harmonisée d'analyse des risques (MEHARI) est une méthode complète, outillée de gestion de risque associée à la sécurité de l'information d'une entreprise ou d'un organisme. Elle a été développée initialement (depuis 1996) par le CLUSIF en France puis le CLUSIQ au Canada.

L'outil mehari le plus diffusé est MEHARI EXPERT, dont la dernière révision date de 2016.

MEHARI répond pleinement aux lignes directrices édictées par la norme ISO 27005:2011, donc ISO 31000.

Plusieurs instanciations basées sur le même modèle de risque sont diffusées gratuitement, sous licence Creative Commons,

Depuis le site www.meharipedia.org, sous forme de bases de connaissance:qui sont des "applications" de haut niveau sous Excel :

  • MEHARI EXPERT (2010) s'applique à tout type d'organisme et dans sa révision actuelle s'intègre et facilite aussi la réalisation d'un SMSI (Système de Management de la Sécurité de l'Information) aligné sur ISO 27001 et 27002:2013. Plus de 50 000 chargements de cette base de connaissance vers plus de 175 pays, depuis 2010 et de nombreuses traductions assurent de la notoriété de la méthode.
  • MEHARI PRO dont la base de connaissance simplifie et facilite l'évaluation et le traitement des risques pour les petites et moyennes entités. Cette instance est diffusée depuis 2014.
  • MEHARI Manager permet de comprendre rapidement les principes de la méthode pour tout responsable métier ou opérationnel mais aussi de préparer la réalisation de la gestion de risque pour de nouveaux projets ou clients.
  • Un forum d'échanges est disponible: www.linkedin.com /groups/3147109 Relevant web site : meharipedia.org

Objectifs[modifier | modifier le code]

  • mieux connaître les activités et les processus mis en place par l'organisme afin d'en évaluer les risques en cas de dysfonctionnements, bien délimiter les actifs contribuant au traitements de l'information,
  • connaître les menaces pouvant les atteindre,
  • auditer les modes de mise en œuvre des services de sécurité (destinés à réduire les vulnérabilités) ;
  • Déterminer les situations de risque à partir de scénarios intégrant les éléments précédents;
  • Évaluer les niveaux de risque ainsi que les options de traitement et les moyens d'en diminuer le niveau;
  • Préparer des plans de réduction des risques et s'assurer de leur mise en place dans le temps;
  • limiter le volume de travail à fournir pour l'étude.

Découpage en objectifs :

  • base étendue d'appréciation de la sécurité ;
  • délégation des décisions ;
  • équilibre des moyens et cohérence des contrôles.

Concepts[modifier | modifier le code]

Séparation en cellules[modifier | modifier le code]

MEHARI considère plusieurs types d'actifs:

  • les données constitutives de l'information et leurs supports :
  • l'entité ;
  • le site ;
  • les locaux ;
  • les applicatifs ;
  • les services offerts par les systèmes et l'infrastructure ;
  • les développements et la maintenance des logiciels ;
  • la production informatique ;
  • les réseaux et les télécoms.

Scénarios de sinistre[modifier | modifier le code]

Les situations de risques sont classées selon :

  • l'actif cible et le critère atteint (disponibilité, intégrité, confidentialité) .::
  • leur cause :accident, erreur, malveillance;
  • leur conséquence .

Méthodes de résolution[modifier | modifier le code]

  • Combattre les agressions.
    • connaître les menaces, les vulnérabilités et les mesures de sécurité actuelles ;
    • connaitre la source (interne ou externe)
    • imaginer les agressions ;
  • Élaborer des mesures à mettre en place : évaluer l'efficacité, évaluer la robustesse ;
  • Recours possible : transfert sur un tiers — l'assurance, le responsable de l'attaque.

Impact[modifier | modifier le code]

L'impact est l'ampleur des conséquences de la survenue d'un événement possible.

  • L'impact des détériorations peut être réduit par des mesures de protection.
  • L'impact des dysfonctionnements peut être réduit par des mesures palliatives.
  • L'impact des pertes finales peut être réduit par des mesures de récupération ou de partage de risque (assurance, ...).

L'impact, fonction de ces trois critères, est évalué de 1 (faible) à 4 (grave).

Potentialité[modifier | modifier le code]

La potentialité est la probabilité qu'un événement possible survienne effectivement. Elle peut être due à :

  • une exposition naturelle : elle peut être diminuée par des mesures structurelles ;
  • une intention d'agression : elle peut être diminuée par des mesures dissuasives ;
  • des possibilités de sinistre : elle peut être diminuée par des mesures préventives.

Elle est mesurée de 0 (nulle) à 4 (forte).

Gravité[modifier | modifier le code]

La gravité est fonction, et non le produit, de l'impact et de la potentialité. Sa valeur en fonction de ces deux facteurs s'obtient par des grilles (table), qui peuvent être personnalisées par l'entreprise qui applique la méthode.

Démarche[modifier | modifier le code]

  • Découpage en cellules
  • Échelles de valeurs et objectifs de sécurité compris
  • Classification exhaustive des ressources
  • Scénarios représentatifs des risques
  • Participation active des intéressés
  1. Créer un plan stratégique
    • Objectifs du plan stratégique :
      • les dirigeants choisissent les objectifs de sécurité ;
      • budgétisation et instruments de pilotage ;
      • mise en application ;
      • charte de management en matière de sécurité.
    • Contenu du plan stratégique :
      • définir une métrique des risques ;
      • établir une classification globale des ressources (utilisation de l'évaluation gravité) ;
      • définir une politique de sécurité : indications générales, instructions spécifiques ;
      • charte de management, rapports entreprise/employés.
  2. Créer des projets de réduction de risque, constitutifs de plans opérationnels
    • s'appuyant sur des métriques de réduction de risque fournies par la méthode
    • préconisant les directions à réaliser et les mesures de sécurité à privilégier pour chaque scénario,
    • s'intégrant alors dans la politique de sécurité de l'information pour l'organisme.
  3. Réalisation :
    • acteurs : direction, experts informatiques, utilisateurs ;
    • outils : logiciels commerciaux, tables et grilles fournis avec la méthode ;
    • évolution : introduire l'évolution constante du système dans la réalisation.

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Bibliographie[modifier | modifier le code]

  • Jean-Philippe Jouas (1992) Le risque informatique Les éditions d'organisation
  • Alphonse Carlier (2006). Stratégie appliquée à l'audit des SI. Editions Lavoisier (Paris) 432 p.

Liens externes[modifier | modifier le code]