MÉHARI – Standard fait partie de l’ensemble de méthodes d’analyse de risques développées à partir du modèle de risque MÉHARI publié par le Clusif, pour la première fois en 1996. Il s’adresse plus particulièrement à des architectures moyennes comprenant un seul site et une organisation des systèmes d’information centralisée (DSI).
MÉHARI – Standard est également adapté à toutes sortes d’organisations quand il est souhaité d’avoir une vision plus globale des risques et des outils de pilotage plus complets, quitte à reporter aux phases de déploiement les adaptations des décisions aux particularités et sensibilités des éléments de l’architecture. Il est également adapté aux entreprises ou organismes qui souhaitent un alignement complet des services de sécurité sur les contrôles de l’ISO 27002 :2013.
MÉHARI – Standard s’appuie sur une base de connaissance et consiste à :
- Procéder à une analyse des activités du domaine concerné, à en déduire les dysfonctionnements qui peuvent être redoutés, puis à évaluer en quoi ces dysfonctionnements peuvent être plus ou moins graves,
- Procéder à un diagnostic de l’état des services de sécurité auprès des divers responsables techniques ou organisationnels.
- Analyser les risques résultants et sélectionner les services de sécurité à améliorer pour réduire les risques inadmissibles, avec l’aide des outils de simulation
- Décider des plans d’action retenus et les planifier
Le schéma ci-dessous résume la démarche.
OUTILS DE PILOTAGE ET TABLEAUX DE BORD
MÉHARI – Standard offre plusieurs types d’indicateurs et de tableau de bord :
- Une vision de synthèse des risques : nombre de scénarios de risque positionnés sur une grille I/P (Impact/Potentialité)
- Un tableau du nombre de scénarios de risque par domaine de scénario (par gravité, par type d’actifs et par type de dommage – D, I, C)
- Un tableau du nombre de scénarios de risque par gravité et par type d’événement déclencheur
Pour ces trois panoramas de risque, l’utilisateur a le choix entre 4 options :
- Risques intrinsèques, en l’absence de toute mesure de sécurité ;
- Risques actuels en fonction du diagnostic de l’état actuel des services de sécurité ;
- Risques futurs tenant compte de tous les plans d’action sélectionnés ;
- Risques prévus à une date donnée, tenant compte des projets (voir ci-dessous) planifiés et terminés à cette date.
MÉHARI – Standard propose aussi une démarche pour sélectionner des projets de réduction des risques prédéfinis (parmi 52 projets standards) et propose :
- Des aides à la sélection de projets, par un automatisme permettant de mettre en évidence les projets susceptibles de réduire le maximum de risques de niveaux élevés (insupportables ou inadmissibles) ;
- Une présentation synthétique du nombre de risques de niveaux 3 et 4 (insupportables et inadmissibles) par année en fonction des dates d’achèvements des projets décidés et planifiés ;
- Un tableau de bord général des risques.
CORRESPONDANCE ISO
Les services de sécurité de la base de connaissance de MÉHARI Standard ont été redéfinis pour s’aligner au maximum sur la norme ISO 27002:2022.