MÉHARI – Expert fait partie de l’ensemble de méthodes d’analyse de risques développées à partir du modèle de risque MÉHARI publié par le Clusif, pour la première fois en 1996. Elle s’adresse plus particulièrement à des architectures comprenant plusieurs sites et des organisations décentralisées avec pluralité d’acteurs.
MÉHARI – Expert s’appuie sur une base de connaissance et consiste à :
- Procéder à une analyse des activités du domaine concerné, à en déduire les dysfonctionnements qui peuvent être redoutés, puis à évaluer en quoi ces dysfonctionnements peuvent être plus ou moins graves,
- Procéder à un diagnostic de l’état des services de sécurité auprès des divers responsables techniques ou organisationnels.
- Analyser les risques résultants et décider des services de sécurité améliorer pour réduire les risques inadmissibles, avec l’aide des outils de simulation
Le schéma ci-dessous résume la démarche.
OUTILS DE PILOTAGE ET TABLEAUX DE BORD
Méhari – Expert offre plusieurs types d’indicateurs et de tableau de bord :
- Une vision de synthèse des risques : nombre de scénarios de risque positionnés sur une grille I/P (Impact/Potentialité)
- Un tableau du nombre de scénarios de risque par domaine de scénario (par gravité, par type d’actifs et et par type de dommage – D, I, C)
- Un tableau du nombre de scénarios de risque par gravité et par type ‘événement déclencheur
Pour ces trois panoramas de risque, l’utilisateur a le choix entre 4 options :
- Risques intrinsèques, en l’absence de toute mesure de sécurité ;
- Risques actuels en fonction du diagnostic de l’état actuel des services de sécurité ;
- Risques futurs tenant compte de tous les plans d’action sélectionnés ;
- Risques prévus à une date donnée, tenant compte des projets (voir ci-dessous) planifiés et terminés à cette date.
MÉHARI – Expert propose aussi une démarche pour sélectionner des projets de réduction des risques :
- La pré-sélection de plans d’action et la simulation de leurs effets sur les niveaux de risques ;
- La possibilité de définir des « projets » que l’on peut ensuite planifier pour avoir une vision des niveaux de risques dans le temps.