Les versions de MÉHARI

MÉHARI – Expert, MÉHARI – Standard et MÉHARI – Pro sont les trois principales versions de MÉHARI basées sur l’utilisation de bases de connaissances. Il existe également la version MÉHARI – Manager sans base de connaissances. On trouvera ci-dessous une présentation générale de ces bases et de leurs différences et dans les pages dédiées les particularités de chacune d’elles.

Versions de MÉHARI avec base de connaissance

Les bases de connaissances MÉHARI – Expert, MÉHARI – Standard et MÉHARI – Pro se différencient principalement par le niveau de détail avec lequel sont décrits ou définis :

  • Les actifs primaires, répartis entre actifs de service (fonctionnels), actifs de données (nécessaires aux services fonctionnels) et processus de management (les règles et comportements qu’il convient de respecter) ;
  • Dans une très faible mesure, les types d’incidents que peuvent subir ces actifs ;
  • Les menaces pouvant être à l’origine des incidents que peuvent subir ces actifs ;
  • Les services de sécurité pouvant venir réduire ces risques qui doivent être en cohérence avec les types d’actifs et les menaces considérées.

En outre, les aides à l’évaluation des risques et les outils de pilotage de la réduction des risques sont plus ou moins développés selon les bases de connaissances.

Enfin, il existe des différences de correspondances avec les contrôles de la norme ISO 27002, selon les bases de connaissances.

Les différences de conception des bases de connaissances évoquées ci-dessus ont plusieurs types de conséquences.

La précision de l’identification des risques et leur analyse

En pratique, les différences entre les bases traduisent différentes manières de décrire l’architecture du système (au sens large) de traitement de l’information et l’organisation en charge d’administrer et de piloter ce système :

  • Vision plus ou moins globale de l’infrastructure informatique et télécom et des services de sécurité associés ;
  • Regroupement plus ou moins fin des catégories d’acteurs et des circonstances de survenance d’un incident.

Cela se traduit par des scénarios de risque plus ou moins détaillés et en nombre plus ou moins grand et, en corollaire, par une vision des risques plus ou moins globale au moment de la prise de décision.

Il est clair cependant que si l’analyse est moins détaillée lors de la prise de décision, elle pourra l’être davantage, et le sera le plus souvent, lors du déploiement et de la mise en place des mesures correctrices.

Ceci étant des architectures complexes seront mieux analysées par une base telle que MÉHARI – Expert.

La répartition dans le temps de la charge d’analyse et de planification des actions correctrices

Une autre manière de décrire les différences entre bases est de considérer que cela revient, en grande partie, à répartir différemment dans le temps les charges de travail d’analyse : plus d’analyse avant décision de plans d’action avec les bases plus détaillées, plus d’analyse après décision et avant déploiement avec les bases plus globales.

Les outils de pilotage et de management des risques

Les outils de pilotage comprennent deux types d’aides :

  • Les présentations de « panorama » de risques ;
  • Les outils d’aide à la sélection des mesures nécessaires ;
  • Les outils de simulation de l’effet des mesures décidées.

Ces outils sont plus ou moins développés selon les bases et sont décrits dans les paragraphes correspondant à chacune d’elles.

La correspondance avec les contrôles de l’ISO 27002

Alors que les bases de connaissances contiennent des questionnaires de diagnostic de l’état des services de sécurité, certaines entreprises souhaitent faire un lien entre les réponses à ces questionnaires et la conformité aux bonnes pratiques recommandées par la norme ISO 27002.

Ce point est abordé de manière différente dans les différentes bases de connaissances et les traitements correspondants sont décrits dans les pages relatives à ces bases.

Version de MÉHARI sans base de connaissances

La version actuelle (MÉHARI – Manager) et les éventuelles futures versions de MÉHARI sans base de connaissance sont des démarches et des outils permettant de s’appuyer sur le modèle de risque de MÉHARI pour mener avec des responsables métiers ou des responsables de projets – les « Managers » – une analyse et une réflexion sur les risques auxquels ils sont confrontés et sur les solutions à apporter.

C’est une démarche brève (une journée maximum) et focalisée (un type d’activité ou un projet) qui permet de sensibiliser les responsables et de trouver des solutions « métiers » à des risques spécifiques.

Pour aller plus loin :