MÉHARI – Expert

MÉHARI – Expert fait partie de l’ensemble de méthodes d’analyse de risques développées à partir du modèle de risque MÉHARI publié par le Clusif, pour la première fois en 1996. Elle s’adresse plus particulièrement à des architectures comprenant plusieurs sites et des organisations décentralisées avec pluralité d’acteurs.

MÉHARI – Expert s’appuie sur une base de connaissance et consiste à :

  • Procéder à une analyse des activités du domaine concerné, à en déduire les dysfonctionnements qui peuvent être redoutés, puis à évaluer en quoi ces dysfonctionnements peuvent être plus ou moins graves,
  • Procéder à un diagnostic de l’état des services de sécurité auprès des divers responsables techniques ou organisationnels.
  • Analyser les risques résultants et décider des services de sécurité  améliorer pour réduire les risques inadmissibles, avec l’aide des outils de simulation

Le schéma ci-dessous résume la démarche.

image1 1

OUTILS DE PILOTAGE ET TABLEAUX DE BORD

Méhari – Expert offre plusieurs types d’indicateurs et de tableau de bord :

  • Une vision de synthèse des risques : nombre de scénarios de risque positionnés sur une grille I/P (Impact/Potentialité)
  • Un tableau du nombre de scénarios de risque par domaine de scénario (par gravité, par type d’actifs et et par type de dommage – D, I, C)
  • Un tableau du nombre de scénarios de risque par gravité et par type ‘événement déclencheur

Pour ces trois panoramas de risque, l’utilisateur a le choix entre 4 options :

  • Risques intrinsèques, en l’absence de toute mesure de sécurité ;
  • Risques actuels en fonction du diagnostic de l’état actuel des services de sécurité ;
  • Risques futurs tenant compte de tous les plans d’action sélectionnés ;
  • Risques prévus à une date donnée, tenant compte des projets (voir ci-dessous) planifiés et terminés à cette date.

MÉHARI – Expert propose aussi une démarche pour sélectionner des projets de réduction des risques :

  • La pré-sélection de plans d’action et la simulation de leurs effets sur les niveaux de risques ;
  • La possibilité de définir des « projets » que l’on peut ensuite planifier pour avoir une vision des niveaux de risques dans le temps.