MÉHARI repose sur quelques fondamentaux, quasiment inchangés depuis l’origine, et qui concernent :
- Le positionnement et le principe de base de l’analyse des risques selon MÉHARI ;
- Un modèle de risque, tant qualitatif que quantitatif ;
- L’appel à des bases de connaissances pour identifier, analyser et traiter les risques ;
- L’utilisation d’outils et d’automatismes pour la gestion des risques.
Positionnement et principe de base de MÉHARI
Le domaine visé par MÉHARI est celui de la sécurité de l’information, englobant les systèmes informatisés mais aussi l’information sous toutes ses formes, numériques, analogiques, écrites, etc.
Dans ce domaine, l’objectif de MÉHARI n’est pas seulement d’identifier les situations de risque et d’en apprécier le niveau, mais de mettre en évidence les mesures permettant de ramener les risques à un niveau acceptable.
Au-delà de la nature des mesures à mettre en œuvre, MÉHARI s’attache en outre à en définir le niveau de qualité et d’efficacité requis.
Enfin, Tous les modules de MÉHARI sont fondés sur un principe de base qui est de ne jamais sous-évaluer un risque et qui se décline de deux manières :
- Toujours envisager le pire en termes de conséquences ;
- Ne tenir compte que des effets « contrôlés » des mesures de sécurité.
Modèle de risque de MÉHARI
MÉHARI est basé sur un modèle de risque qui comprend :
- un aspect « qualitatif » visant à mettre en lumière les différents aspects d’un risque et de sa survenance, afin de mieux comprendre les paramètres qui jouent sur le niveau de gravité du risque ;
- et un aspect « quantitatif » visant à quantifier les divers facteurs de risque et à pondérer les effets cumulés des services de sécurité, afin de pouvoir évaluer les niveaux de risque.
Le modèle de risque qualitatif
MÉHARI décrit chaque risque comme un scénario qui comprend plusieurs éléments, chaque élément étant décrit et expliqué.
Pour ce faire, MÉHARI définit des typologies qui permettent une standardisation des descriptifs et une exhaustivité dans la recherche des situations de risque.
Sur la base de ces éléments et typologies, MÉHARI décrit quatre modes d’action possibles des mesures visant à réduire des risques :
- La « dissuasion » qui a pour effet de diminuer, par des mesures « dissuasives », la probabilité qu’un acteur décide de mener l’action à l’origine du risque ;
- La « prévention » qui rend plus difficile, donc moins probable, le fait que le déclenchement de l’événement initial conduise effectivement à la réalisation du risque ;
- Le « confinement » qui va limiter l’étendue des dommages directs possibles ;
- La « palliation » qui limite l’étendue des conséquences indirectes des dommages.
Ces modes d’action sont des « Facteurs de réduction de risque ». Le modèle global en résultant est présenté sur le schéma ci-dessous :
Le modèle de risque quantitatif
La partie « quantitative » du modèle de risque comprend trois aspects essentiels :
- La définition de services de sécurité et l’évaluation quantitative de la qualité de ces services (voir sur ce point la description du module « Diagnostic de l’état des services de sécurité ») ou, pour Méhari-ManagerBC la définition de fonctions de sécurité et l’évaluation quantitative des effets de ces fonctions;
- L’évaluation quantitative, pour chaque scénario de risque, des facteurs de réduction de risque. Chaque scénario décrit dans les bases de connaissances de MÉHARI contient les éléments nécessaires et suffisants à l’évaluation de ces facteurs, en fonction de la qualité des services ou fonctions de sécurité pertinents pour ce scénario ;
- L’évaluation des effets cumulés des facteurs de réduction de risque et, in fine, l’évaluation chiffrée du niveau de gravité de chaque risque. Les bases de connaissances contiennent également les fonctions de calcul et les algorithmes permettant, sur la base des éléments ci-dessus, d’évaluer la gravité de chaque situation de risque.
Apport des bases de connaissances
La richesse de MÉHARI est basée sur l’utilisation de bases de connaissances.
Les bases de connaissances de MÉHARI permettent, par une dépersonnalisation et une généralisation des situations de risque, de :
- viser l’exhaustivité des situations de risque analysées ;
- apporter de l’expertise ;
- s’enrichir de l’expérience cumulée ;
- harmoniser et coordonner les plans d’action.
Les bases de connaissances de chaque version de MÉHARI contiennent :
- Des scénarios de risque standards ;
- Des dispositifs de sécurité matérialisés par des « services de sécurité » ou des « fonctions de sécurité » ;
- Des questionnaires d’évaluation de ces services (Méhari-Expert et Méhari- Standard);
- Des mécanismes d’évaluation de l’ensemble des paramètres caractéristiques des risques ;
- Des mécanismes d’aide à la définition de plans et projets de sécurité aptes à réduire les risques ;
- Des outils de pilotage des risques.
MÉHARI comprend trois bases de connaissances :
- Méhari-Expert : version destinée aux grandes ou très grandes entreprises et nécessitant une bonne expertise de la méthode ;
- Méhari-Standard : version, destinée aux entreprises moyennes ou grandes, dotée de plus d’outils de pilotage et d’accès plus facile ;
- Méhari-ManagerBC : version destinée aux analyses ciblées d’activités ou de projets.
Les aides au traitement et au pilotage des risques
Le traitement des risques consiste à analyser chaque scénario de risque et à prendre des décisions spécifiques qui peuvent être de :
- Réduire le risque c’est-à-dire prendre des mesures pour que l’impact ou la potentialité ou les deux soient réduits et diminuent la gravité résiduelle en conséquence ;
- Décider d’éviter le risque en supprimant la situation de risque par des mesures structurelles ou organisationnelles ;
- Transférer le risque, essentiellement par l’assurance ;
- Accepter le risque tel quel.
Pour la réduction des risques, MÉHARI propose de travailler par « Plans d’action » ou par « projets », sélectionnés et décidés selon des processus qui peuvent varier d’une version de base de connaissances à l’autre.
Le détail des aides fournies par les différentes versions de MÉHARI dans ce processus est fourni dans des documents séparés et spécifiques de chaque base de connaissances.
Pour aller plus loin :
- Les modules de MÉHARI
- Les versions de MÉHARI