Toutes les versions de MEHARI sont désormais basées sur l’utilisation de bases de connaissances, mais ces dernières incluent ou non, selon les versions, des questionnaires d’audit des services de sécurité. On trouvera ci-dessous une présentation générale de ces bases et de leurs différences et dans les pages dédiées les particularités de chacune d’elles.
Versions de MÉHARI avec base d’audit des services de sécurité
Les bases de connaissances de MÉHARI – Expert et de MÉHARI – Standard se différencient principalement par le niveau de détail avec lequel sont décrits ou définis :
- Les actifs primaires, répartis entre actifs de service (fonctionnels), actifs de données (nécessaires aux services fonctionnels) et processus de management (les règles et comportements qu’il convient de respecter) ;
- Dans une très faible mesure, les types d’incidents que peuvent subir ces actifs ;
- Les menaces pouvant être à l’origine des incidents que peuvent subir ces actifs ;
- Les services de sécurité pouvant venir réduire ces risques qui doivent être en cohérence avec les types d’actifs et les menaces considérées.
En outre, les aides à l’évaluation des risques et les outils de pilotage de la réduction des risques sont plus ou moins développés selon les bases de connaissances.
Enfin, il existe des différences de correspondances avec les contrôles de la norme ISO 27002, selon les bases de connaissances.
Les différences de conception des bases de connaissances évoquées ci-dessus ont plusieurs types de conséquences.
La précision de l’identification des risques et leur analyse
En pratique, les différences entre les bases traduisent différentes manières de décrire l’architecture du système (au sens large) de traitement de l’information et l’organisation en charge d’administrer et de piloter ce système :
- Vision plus ou moins globale de l’infrastructure informatique et télécom et des services de sécurité associés ;
- Regroupement plus ou moins fin des catégories d’acteurs et des circonstances de survenance d’un incident.
Cela se traduit par des scénarios de risque plus ou moins détaillés et en nombre plus ou moins grand et, en corollaire, par une vision des risques plus ou moins globale au moment de la prise de décision.
Il est clair cependant que si l’analyse est moins détaillée lors de la prise de décision, elle pourra l’être davantage, et le sera le plus souvent, lors du déploiement et de la mise en place des mesures correctrices.
Ceci étant des architectures complexes seront mieux analysées par une base telle que MÉHARI – Expert.
La répartition dans le temps de la charge d’analyse et de planification des actions correctrices
Une autre manière de décrire les différences entre bases est de considérer que cela revient, en grande partie, à répartir différemment dans le temps les charges de travail d’analyse : plus d’analyse avant décision de plans d’action avec les bases plus détaillées, plus d’analyse après décision et avant déploiement avec les bases plus globales.
Les outils de pilotage et de management des risques
Les outils de pilotage comprennent deux types d’aides :
- Les présentations de « panorama » de risques ;
- Les outils d’aide à la sélection des mesures nécessaires ;
- Les outils de simulation de l’effet des mesures décidées.
Ces outils sont plus ou moins développés selon les bases et sont décrits dans les paragraphes correspondant à chacune d’elles.
La correspondance avec les contrôles de l’ISO 27002
Alors que les bases de connaissances contiennent des questionnaires de diagnostic de l’état des services de sécurité, certaines entreprises souhaitent faire un lien entre les réponses à ces questionnaires et la conformité aux bonnes pratiques recommandées par la norme ISO 27002.
Ce point est abordé de manière différente dans les différentes bases de connaissances et les traitements correspondants sont décrits dans les pages relatives à ces bases.
Version de MÉHARI sans base d’audit des services de sécurité
La version actuelle (MÉHARI – Manager BC) est une démarche permettant de s’appuyer sur le modèle de risque de MÉHARI et sur les mêmes éléments de description des risques que Méhari-Standard-2022 pour mener avec des responsables métiers ou des responsables de projets – les « Managers » – une analyse et une réflexion sur les risques auxquels ils sont confrontés et sur les solutions à apporter, en se basant sur une évaluation directe de l’effet des mesures de sécurité sans recourir à un audit précis.
C’est une démarche brève (une journée maximum) et focalisée (un type d’activité ou un projet) qui permet de sensibiliser les responsables et de trouver des solutions « métiers » à des risques spécifiques.
Le tableau ci-dessous offre une comparaison entre les différentes versions de Méhari.