Les fondamentaux de MÉHARI

MÉHARI repose sur quelques fondamentaux, quasiment inchangés depuis l’origine, et qui concernent : 

  • Le positionnement et le principe de base de l’analyse des risques selon MÉHARI ;
  • Un modèle de risque, tant qualitatif que quantitatif ;
  • L’appel à des bases de connaissances pour identifier, analyser et traiter les risques ;
  • L’utilisation d’outils et d’automatismes pour la gestion des risques.

Positionnement et principe de base de MÉHARI

Le domaine visé par MÉHARI est celui de la sécurité de l’information, englobant les systèmes informatisés mais aussi l’information sous toutes ses formes, numériques, analogiques, écrites, etc.

Dans ce domaine, l’objectif de MÉHARI n’est pas seulement d’identifier les situations de risque et d’en apprécier le niveau, mais de mettre en évidence les mesures permettant de ramener les risques à un niveau acceptable.

Au-delà de la nature des mesures à mettre en œuvre, MÉHARI s’attache en outre à en définir le niveau de qualité et d’efficacité requis.

Enfin, Tous les modules de MÉHARI sont fondés sur un principe de base qui est de ne jamais sous-évaluer un risque et qui se décline de deux manières :

  • Toujours envisager le pire en termes de conséquences ;
  • Ne tenir compte que des effets « contrôlés » des mesures de sécurité.

Modèle de risque de MÉHARI

MÉHARI est basé sur un modèle de risque qui comprend :

  • un aspect « qualitatif » visant à mettre en lumière les différents aspects d’un risque et de sa survenance, afin de mieux comprendre les paramètres qui jouent sur le niveau de gravité du risque ;
  • et un aspect « quantitatif » visant à quantifier les divers facteurs de risque et à pondérer les effets cumulés des services de sécurité, afin de pouvoir évaluer les niveaux de risque.

Le modèle de risque qualitatif

MÉHARI décrit chaque risque comme un scénario qui comprend plusieurs éléments, chaque élément étant décrit et expliqué.

evenement_incident_actif

Pour ce faire, MÉHARI définit des typologies qui permettent une standardisation des descriptifs et une exhaustivité dans la recherche des situations de risque.

Types_actifs_dommages_evenement_circonstances

Sur la base de ces éléments et typologies, MÉHARI décrit quatre modes d’action possibles des mesures visant à réduire des risques :

  • La « dissuasion » qui a pour effet de diminuer, par des mesures « dissuasives », la probabilité qu’un acteur décide de mener l’action à l’origine du risque ;
  • La « prévention » qui rend plus difficile, donc moins probable, le fait que le déclenchement de l’événement initial conduise effectivement à la réalisation du risque ;
  • Le « confinement » qui va limiter l’étendue des dommages directs possibles ;
  • La « palliation » qui limite l’étendue des conséquences indirectes des dommages.

Ces modes d’action sont des « Facteurs de réduction de risque ». Le modèle global en résultant est présenté sur le schéma ci-dessous :

Risque_identifie

 

Le modèle de risque quantitatif

La partie « quantitative » du modèle de risque comprend trois aspects essentiels :

  • La définition de services de sécurité et l’évaluation quantitative de la qualité de ces services (voir sur ce point la description du module « Diagnostic de l’état des services de sécurité ») ;
  • L’évaluation quantitative, pour chaque scénario de risque, des facteurs de réduction de risque. Chaque scénario décrit dans les bases de connaissances de MÉHARI contient les éléments nécessaires et suffisants à l’évaluation de ces facteurs, en fonction de la qualité des services de sécurité pertinents pour ce scénario ;
  • L’évaluation des effets cumulés des facteurs de réduction de risque et, in fine, l’évaluation chiffrée du niveau de gravité de chaque risque. Les bases de connaissances contiennent également les fonctions de calcul et les algorithmes permettant, sur la base des éléments ci-dessus, d’évaluer la gravité de chaque situation de risque.

Apport des bases de connaissances

La richesse de MÉHARI est basée sur l’utilisation de bases de connaissances.
Les bases de connaissances de MÉHARI permettent, par une dépersonnalisation et une généralisation des situations de risque, de :

  • viser l’exhaustivité des situations de risque analysées ;
  • apporter de l’expertise ;
  • s’enrichir de l’expérience cumulée ;
  • harmoniser et coordonner les plans d’action.

Vous trouverez sur ce site deux types de bases :

  • Les bases partielles d’analyse ;
  • Les bases complètes par version de MÉHARI.

Les bases de connaissances de chaque version de MÉHARI contiennent :

  • Des scénarios de risque standards ;
  • Des dispositifs de sécurité matérialisés par des « services de sécurité » ;
  • Des questionnaires d’évaluation de ces services ;
  • Des mécanismes d’évaluation de l’ensemble des paramètres caractéristiques des risques ;
  • Des mécanismes d’aide à la définition de plans et projets de sécurité aptes à réduire les risques ;
  • Des outils de pilotage des risques.

MÉHARI comprend trois bases de connaissances :

  • Méhari-Expert : version destinée aux grandes ou très grandes entreprises et nécessitant une bonne expertise de la méthode ;
  • Méhari-Standard : nouvelle version, destinée aux entreprises moyennes ou grandes, dotée de plus d’outils de pilotage et d’accès plus facile ;
  • Méhari-Pro : version destinée aux petites, voire très petites entreprises.

MÉHARI comprend également un module sans base de connaissances : Méhari-Manager, version destinée à l’analyse directe, avec les managers, de situations de risques métiers.

Les aides au traitement et au pilotage des risques

Le traitement des risques consiste à analyser chaque scénario de risque et à prendre des décisions spécifiques qui peuvent être de :

  • Réduire le risque c’est-à-dire prendre des mesures pour que l’impact ou la potentialité ou les deux soient réduits et diminuent la gravité résiduelle en conséquence ;
  • Décider d’éviter le risque en supprimant la situation de risque par des mesures structurelles ou organisationnelles ;
  • Transférer le risque, essentiellement par l’assurance ;
  • Accepter le risque tel quel.

En pratique, il est rationnel d’organiser le travail de manière structurée et de commencer par la mise en place de mesures propres à réduire le maximum de risques à un niveau acceptable, puis s’il en reste quelques-uns dont la réduction s’avère difficile ou trop onéreuse, d’analyser s’il est possible de les éviter ou de les transférer ou enfin s’il faut les accepter.

Pour la réduction des risques, MÉHARI propose de travailler par « Plans d’action » ou par « projets », sélectionnés et décidés selon des processus qui peuvent varier d’une version de base de connaissances à l’autre.

Un projet ou un plan comprend un ou plusieurs services de sécurité, avec pour les services inclus dans le projet, un objectif cible de qualité (comprenant l’efficacité du service, sa robustesse et sa mise sous contrôle). Il s’agit généralement d’un ensemble de services qu’il est cohérent de traiter ensemble.

La planification de la réduction des risques consiste ainsi à :

  • Sélectionner ou présélectionner un ensemble de plans ou de projets décrits dans la base de connaissances ;
  • Vérifier qu’avec la mise en place de ces plans ou projets les risques à réduire sont bien ramenés à un niveau acceptable ;
  • Décider quels projets seront engagés et les budgéter ;
  • Planifier ces projets en déterminant une date de début et une date de fin.

Le détail des aides fournies par les différentes versions de MÉHARI dans ce processus est fourni dans des documents séparés et spécifiques de chaque base de connaissances.

Pour aller plus loin :