Méhari / Gestion des risques SSI

MEHARI est l’abréviation de « Méthode Harmonisée d’Analyse des Risques ».
Cette méthode a été mise au point en 1996 par le CLUSIF, un club de sécurité informatique français. Elle permet l’évaluation des risques, mais aussi le contrôle et la gestion de la sécurité des systèmes d’information.

Cette méthode respecte les lignes directrices tracées par la norme ISO 27005 et s’intègre dans une démarche complète qui permet d’établir le cadre d’un Système de Management de la Sécurité de l’Information (ISO 27001).
Le logiciel RISICAIRE développé par la société BUC SA est un outil de gestion des risques basé sur la méthode Méhari.

La méthode Méhari se compose de trois grandes phases:

La phase préparatoire

Cette phase consiste à étudier le contexte et le périmètre de l’étude. Il s’agit d’identifier les événements pouvant impacter le fonctionnement du SI et d’évaluer la gravité de cet impact pour l’organisation. Il s’agit également de recenser et de classifier l’ensemble des actifs du SI.
Cette phase permet de générer le Plan Stratégique de Sécurité (PSS).
Le PSS fixe les objectifs de sécurité, c’est-à-dire le niveau de sécurité requis en termes de confidentialité, d’intégrité et de disponibilité pour chaque actif identifié.
Il fixe également les métriques permettant d’évaluer le niveau de gravité d’un risque. Il définit la politique de sécurité ainsi que la charte d’utilisation du SI pour ses utilisateurs.

La phase d’analyse des risques

Cette phase permet d’identifier les situations susceptibles de remettre en cause un des objectifs de sécurité de l’entreprise.
Il s’agit d’élaborer des scénarios de risque et d’effectuer un diagnostic des services de sécurité. Une évaluation des risques (probabilité, impact) est réalisée, permettant par la suite d’exprimer les besoins de sécurité, et les mesures nécessaires au traitement du risque.
Cette phase permet de générer le Plan Opérationnel de Sécurité (POS) qui définit les mesures de sécurité qui doivent être mises en œuvre.

La phase de planification du traitement des risques

Cette phase consiste à analyser les scénarios de risque identifiés afin de décider du traitement à adopter :
• accepter le risque tel quel,
• réduire le risque, c’est-à-dire prendre des mesures pour réduire l’impact ou la potentialité du risque,
• éviter le risque, c’est-à-dire supprimer l’origine du risque par des mesures structurelles ou organisationnelles,
• transférer le risque, essentiellement par l’assurance.

Pour planifier le traitement des risques, il est possible de regrouper les risques par familles de scénarios.
Cette phase permet de générer le Plan Opérationnel d’Entreprise (POE) qui assure le suivi de la sécurité par l’élaboration d’indicateurs sur les risques identifiés et le choix des scénarios de risque contre lesquels il faut se prémunir.

Liens utiles
Site du CLUSIF

Méhari / Gestion des risques SSI