Présentation de Mehari

MEHARI une méthode complète d’évaluation et de management des risques liés à l'information, ses traitements et les ressources mises en œuvre. Le tableur de la version 2007 a été téléchargé 16 000 fois vers plus de 100 pays. L’utilisation de la méthode est gratuite et sa distribution est réalisée selon les dispositions du logiciel libre (Open Source).

Réduire les risques impose de connaître les enjeux et les processus majeurs pour l'organisation afin d'appliquer les mesures organisationnelles et techniques de manière à optimiser les investissements. Cette démarche implique donc d'utiliser les pratiques et solutions à la hauteur des enjeux et des types de menaces pesant sur l'information, sous toutes ses formes, et les processus comme les éléments qui la gèrent et la traitent.

MEHARI, conforme aux exigences de la norme ISO/IEC 27005 pour gérer les risques, peut ainsi s'insérer dans une démarche de type SMSI promue par l’ISO/IEC 27001, en identifiant et évaluant les risques dans le cadre d’une politique de sécurité (Planifier), en fournissant des indications précises sur les plans à bâtir (Déployer) à partir de revues des points de contrôle des vulnérabilités (Contrôler) et dans une approche cyclique de pilotage (Améliorer). Ainsi MEHARI apporte une aide efficace pour manager et sécuriser l’information de toutes sortes d’organisations.

Mehari fournit un cadre méthodologique, des outils et des bases de connaissance pour :

• analyser les enjeux majeurs,
• étudier les vulnérabilités,
• réduire la gravité des risques,
• piloter la sécurité de l'information.

Les modules de Mehari peuvent être combinés, en fonction de choix d'orientation ou de politiques d'entreprise, pour bâtir des plans d'action ou, tout simplement, pour aider la prise de décision concernant la sécurité de l'information.