Club de la Sécurité de l’Information Français
Bienvenue au Clusif !
Accès membres | Evénements en région | Informations légales | English version
logo Clusif
Club de la Sécurité de l’Information Français

clusif@clusif.asso.fr / +33 1 53 25 08 80 / 11, rue de Mogador 75009 Paris
Adresse de cette page : http://www.clusif.asso.fr/fr/production/mehari/index.asp

Présentation de Mehari

MEHARI est une méthode complète d’évaluation et de management des risques liés à l'information, ses traitements et les ressources mises en œuvre. Le tableur de la version 2007 a été téléchargé 16 000 fois vers plus de 100 pays. L’utilisation de la méthode est gratuite et sa distribution est réalisée selon les dispositions du logiciel libre (Open Source).

Réduire les risques impose de connaître les enjeux et les processus majeurs pour l'organisation afin d'appliquer les mesures organisationnelles et techniques de manière à optimiser les investissements. Cette démarche implique donc d'utiliser les pratiques et solutions à la hauteur des enjeux et des types de menaces pesant sur l'information, sous toutes ses formes, et les processus comme les éléments qui la gèrent et la traitent. Schéma 1

MEHARI, conforme aux exigences de la norme ISO/IEC 27005 pour gérer les risques, peut ainsi s'insérer dans une démarche de type SMSI promue par l’ISO/IEC 27001, en identifiant et évaluant les risques dans le cadre d’une politique de sécurité (Planifier), en fournissant des indications précises sur les plans à bâtir (Déployer) à partir de revues des points de contrôle des vulnérabilités (Contrôler) et dans une approche cyclique de pilotage (Améliorer). Ainsi MEHARI apporte une aide efficace pour manager et sécuriser l’information de toutes sortes d’organisations.

Mehari fournit un cadre méthodologique, des outils et des bases de connaissance pour :

Les modules de Mehari peuvent être combinés, en fonction de choix d'orientation ou de politiques d'entreprise, pour bâtir des plans d'action ou, tout simplement, pour aider la prise de décision concernant la sécurité de l'information.

Schéma 2

L'analyse des enjeux

Dans MEHARI, on appelle " Analyse des enjeux de la sécurité " :
  • L'identification des dysfonctionnements potentiels pouvant être causés ou favorisés par un défaut de sécurité,
  • L'évaluation de la gravité de ces dysfonctionnements.

Il s'agit d'une analyse totalement focalisée sur les objectifs et attentes des " métiers " de l'entreprise, et, de ce fait pérenne. Elle met à contribution les décideurs et le haut management de l'entreprise ou de l'entité dans laquelle elle est menée.

Cette analyse se traduit par :
  • Une échelle de valeurs des dysfonctionnements potentiels, document de référence centré sur les impacts " business ",
  • Une classification formelle des informations et ressources du système d'information

Il ne s'agit en aucun cas d'un audit des dysfonctionnements réels qui pourraient être constatés, mais d'une réflexion sur les risques majeurs auxquels l'entité est exposée et sur le niveau de gravité de leurs conséquences éventuelles.

Cette analyse des enjeux vise, le plus souvent, à :
  • Etre sélectif dans les moyens à mettre en œuvre pour la sécurité de l'information et ne pas engager de dépenses là où les enjeux sont faibles,
  • Éviter des contraintes inutiles aux utilisateurs,
  • Définir les priorités,
  • Répondre à l'inévitable question d'un décideur en face d'un budget de sécurité : " est-ce bien nécessaire ? ".
Dans cette analyse, MEHARI apporte :
  • Une démarche centrée sur les besoins du business et une implication des managers et dirigeants,
  • Un guide de mise en œuvre et des livrables types,
  • Des liens directs vers l'analyse détaillée des risques correspondants.

L'analyse des vulnérabilités

L'analyse des vulnérabilités revient à identifier les faiblesses et les défauts des mesures de sécurité. En pratique, il s'agit d'une évaluation quantitative de la qualité de mesures de sécurité. Les mesures de sécurité évaluées sont, en fait, des services de sécurité, décrits et documentés dans une base de connaissance développée et maintenue par le CLUSIF.

Dans MEHARI, cette analyse couvre :
  • L'efficacité des services de sécurité :

    De même que certaines serrures sont plus faciles à violer que d'autres, les services de sécurité sont conçus pour résister à des niveaux d'attaque variables, selon les mécanismes mis en œuvre, ce qui les rend plus ou moins efficaces.

    De même que certaines digues résistent à des crues plus importantes que d'autres, les services de sécurité sont conçus pour résister à des types de circonstances variables, selon les mécanismes mis en œuvre, ce qui les rend plus ou moins efficaces.

  • Leur robustesse :

    De même qu'avoir une serrure 5 points d'excellente qualité est une sécurité illusoire si le chambranle n'est pas solide ou si l'on peut aisément passer par la fenêtre, les services de sécurité peuvent être étudiés pour résister à des tentatives de contournement ou d'inhibition, par des mécanismes complémentaires, ce qui les rend plus ou moins robustes.

    De même que certaines protections actives peuvent devenir défaillantes sans que cela provoque une réaction, les services de sécurité peuvent être étudiés pour détecter toute anomalie, par des mécanismes complémentaires, ce qui les rend plus ou moins robustes.

  • Leur mise sous contrôle :

    De même qu'un responsable ne sera véritablement sûr de la protection apportée par la serrure de sécurité que s'il s'assure que les occupants ferment effectivement à clé l'issue concernée, ou qu'il ne sera sûr de la protection apportée par une digue que s'il s'assure qu'elle n'a pas été endommagée, les services de sécurité peuvent être accompagnés de mesure de contrôle destinés à garantir la pérennité des mesures pratiques mises en place, ce qui les rend plus ou moins " sous contrôle ".

Cette analyse des vulnérabilités vise, le plus souvent, à :
  • Vérifier l'absence de points faibles inacceptables : elle peut alors donner lieu à des plans d'action immédiats
  • Évaluer l'efficacité des mesures mises en place et garantir leur efficience : il est alors nécessaire de disposer d'une base de connaissance " experte ".
  • Se comparer à l'état de l'art ou aux normes en usage : l'aspect " normatif " est alors plus important que l'expertise de la base de connaissance support.
Dans cette analyse des vulnérabilités, MEHARI apporte :
  • Une couverture complète du contexte de travail de l'entreprise :
    • Prise en compte du système d'information au sens large et de tous les types d'information
    • Prise en compte de l'ensemble de l'environnement de travail
  • Un guide de mise en œuvre et des bases de connaissance (questionnaires types et manuel de références des services de sécurité) complètes et expertes,
  • Une démarche adaptée aux interlocuteurs concernés et aux usages envisagés de l'analyse des vulnérabilités
  • Des liens directs vers l'analyse des risques induits par les faiblesses mises en évidence.

L'analyse des vulnérabilités fournit une évaluation quantitative de la qualité de mesures de sécurité. La base de connaissance des mesures de sécurité de MEHARI est structurée par domaines et par services ayant des finalités précises de réduction de potentialité ou d'impact des situations de risques.

Cette analyse des vulnérabilités permet de :
  • Corriger les points faibles inacceptables par des plans d'action immédiats.
  • Évaluer l'efficacité des mesures mises en place et garantir leur efficience.
  • préparer l'analyse des risques induits par les faiblesses mises en évidence.
  • Se comparer à l'état de l'art ou aux normes en usage.

L'analyse des risques

Dans Mehari, " l'analyse des risques " couvre :
  • L'identification des situations susceptibles de remettre en cause un des résultats attendus de l'entreprise ou de l'organisme ou d'une entité en son sein.
  • L'évaluation :
    • de la probabilité de telles situations,
    • de leurs conséquences possibles,
    • de leur caractère acceptable ou non.
  • La mise en évidence des mesures susceptibles de ramener chaque risque à un niveau acceptable
Cette analyse des risques vise, le plus souvent, à :
  • Définir les mesures les mieux adaptées au contexte et aux enjeux : il peut s'agir d'une démarche de management traditionnel par " politique de sécurité " orientée et alimentée par une analyse de risques.
  • Mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées et prises en compte : il s'agit alors d'une politique de management de la sécurité par le management des risques.
  • Analyser et gérer les risques d'un nouveau projet (IT, business, implantation, etc.).
Mehari apporte :
  • Un modèle de risque et des métriques associées :
    • Évaluation de la potentialité intrinsèque de situations de risques types (en l'absence de toute mesure de sécurité)
    • Évaluation du niveau intrinsèque des conséquences possibles de la situation de risque (en l'absence de toute mesure de sécurité)
    • Évaluation des facteurs de réduction de risque, en fonction des mesures de sécurité mises en place et de leur niveau
  • Des automatismes de calcul du niveau de gravité des risques
  • Une démarche structurée et des guides de mise en œuvre
  • Des bases de connaissance
  • Une consolidation des analyses de risque sous forme de plan d'action : Module de consolidation des besoins et optimisation des mesures à mettre en œuvre.
Schéma 3

Le pilotage de la sécurité

Le " pilotage de la sécurité " demande :
  • Un cadre structurant pour définir les objectifs annuels ou les étapes de plans d’action
  • Des indicateurs permettant de comparer les résultats obtenus aux objectifs :
    • en termes qualitatifs et quantitatifs
    • en termes de délais
  • Des références externes permettant un " benchmarking "
Dans ce domaine, MEHARI apporte :
  • Un cadre adapté à différentes démarches et différentes sortes de management de la sécurité :
    • Les modes de pilotage de la sécurité peuvent évoluer avec le temps
    • Les demandes du management peuvent évoluer en fonction de la maturité de l’entreprise
  • Une variété d’indicateurs et de synthèses :
    • Niveaux de vulnérabilités et de risques,
    • centres d’intérêt de sécurité (16 thèmes, dont contrôle d’accès, plan de secours,…),
    • relatifs aux points de contrôles ISO 17799:2005 (repris dans ISO 27001),
    • tableau de bord des risques critiques.

Télécharger Mehari 2010

Télécharger Mehari 2010

Démarrer le téléchargement de Mehari en cliquant sur le lien ci-dessous.

Télécharger Mehari 2010
MEHARI 2010 apporte plusieurs éléments très utiles pour les responsables de la sécurité de l’information :
  • aides intégrées pour la l’évaluation des risques et la sélection des plans de sécurité,
  • affirmation de la conformité de la méthode relativement à la norme ISO/IEC 27005,
  • intégration dans les processus de SMSI, tels que préconisés par ISO/IEC 27001,
  • clarification de la distinction entre vulnérabilité intrinsèque et faiblesse des mesures de sécurité,
  • extension de la base des scénarios de risque, désignés par l’actif, le critère (D, I, C) considéré et par les circonstances de la menace, permettant des sélections et des regroupements par familles,
  • clarification des liens entre les risques et les choix de traitements appropriés,
  • visualisation des améliorations correspondant aux plans de sécurité,
  • enfin, les formules de chaque étape de l’analyse sont prises en compte directement par la méthode, assurant ainsi une automatisation de l’obtention des résultats en fonction des décisions et des acquisitions des auditeurs.

Chaque fichier des bases de connaissance de MEHARI 2010 contient un ensemble de formules pour exécution avec un tableur Excel ou OpenOffice (la version 3.1 minimum est exigée).

Cependant la politique de sécurité de l’organisation peut bloquer l’utilisation des éléments de calcul et il convient alors de valider l’option d’autorisation d’utiliser des macros.

La documentation de MEHARI est en accès libre depuis le site du CLUSIF.

Club de la Sécurité de l'Information Français
Association loi de 1901
11, rue de Mogador 75009 Paris
+33 1 53 25 08 80