Management des risques
Le Clusif s’est toujours investi dans une approche de management des risques, dès les années 1980 avec Marion, Incas ou Arome puis, au milieu des années 1990 et sans discontinuité depuis, avec Méhari. Cette expertise acquise dans le développement de méthodes de gestion de risques nous a permis de contribuer au développement d’EBIOS Risk Manager en proposant des outils d‘analyse complémentaires, en accord avec l’Anssi et le club EBIOS.
Nous mettons à la disposition de nos membres et du public :
- La méthode Méhari, avec ses fondamentaux, ses modules, ses versions, ses bases de connaissances et sa documentation
- Des outils d’analyse généralistes utilisables dans le cadre d’autres méthodologies d’analyse ou de gestion des risques,
- Le glossaire des menaces.
MÉHARI – EXPERT
MÉHARI-Expert s’adresse plus particulièrement à des architectures comprenant plusieurs sites et des organisations décentralisées avec pluralité d’acteurs.
MÉHARI – STANDARD
MÉHARI-Standard s’adresse plus particulièrement à des architectures moyennes comprenant un seul site et une organisation des systèmes d’information centralisée (DSI).
MÉHARI – PRO
MÉHARI-Pro s’adresse plus particulièrement à des petites ou très petites entreprises ou structures.
MÉHARI – MANAGER
MÉHARI-Manager fait partie de l’ensemble de méthodes d’analyse de risques développées à partir du modèle de risque Méhari publié par le CLUSIF, pour la première fois en 1996.
La méthode MÉHARI
MÉHARI est une méthodologie intégrée et complète d’évaluation et de management des risques associés à l’information et à ses traitements. Conçue en 1996 par le CLUSIF et mise à jour depuis par l’association, cette méthode est désormais développée et diffusée par le CLUSIQ (Club de la sécurité de l’information québécois) avec qui le CLUSIF a établi un partenariat en 2015.
La méthode MÉHARI respecte les lignes directrices tracées par la norme ISO 27005:2013 et permet une intégration dans une démarche complète dans le cadre d’un Système de Management de la Sécurité de l’Information (ISO 27001:2005) grâce à sa capacité à impliquer et sensibiliser la Direction de l’entité comme les responsables opérationnels.
La méthode MÉHARI peut être utilisée selon plusieurs versions, dépendant de la taille et du contexte de l’entreprise, basées sur les mêmes fondamentaux, pour identifier, analyser, évaluer et gérer les risques liés à l’information auxquels l’organisme est confronté.

Pour toute question relative à cette méthode d’analyse des risques, nous vous invitons à consulter le Forum des utilisateurs de MÉHARI