32
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
B) La méthode MEHARI La méthode MEHARI (Méthode Harmonisée d’Analyse de Risques) a été développée dans les années 1990 par le CLUSIF (Club de la Sécurité de l’Information Français). A l’origine, cette méthode ne traitait que de l’analyse des risques. Elle a évolué pour permettre une gestion de la sécurité de l’organisme dans un environnement ouvert et géographiquement réparti. MEHARI a été adoptée par des milliers d’organismes à travers le monde et reste la méthode la plus utilisée en France, en particulier dans l’industrie. L’utilisation et la distribution de son logiciel sont libres. En outre, certaines bases de connaissances sont disponibles et une étude illustre la méthode pour faciliter son utilisation. Contrairement à la méthode EBIOS, MEHARI repose sur des scénarios de risques qui permettent d’identifier les risques potentiels au sein de l’organisme. Elle est définie comme une boîte à outils conçue pour la gestion de la sécurité. En fonction des besoins, des choix d’orientation, de politique de l’organisation ou simplement des circonstances, la méthode veille à ce qu’une solution d’appréciation des risques appropriée puisse être élaborée. La méthode est présentée sous la forme d’un ensemble que l’on appelle modules, centrés sur l’évaluation des risques et leur gestion. 1- Principe de fonctionnement La méthode méhari prend avant tout en compte les informations de l’entreprise afin de développer un plan afin de mieux définir les points à protéger dans l’entreprise. MEHARI permettra à l’entreprise de définir : – Un plan stratégique de sécurité – Un plan opérationnel de sécurité par site ou entité – Un plan opérationnel d’entreprise – Le traitement d’une famille de scénarios ou d’un scénario particulier – Le traitement d’un risque spécifique (Accident, Erreur, Malveillance) – Le traitement d’un critère de sécurité (Disponibilité, Intégrité, Confidentialité) MEHARI, conjugue la rigueur d’une analyse des risques liés formellement au niveau de vulnérabilité du système d’information, à l’adaptabilité de la gravité des risques étudiés. En effet, la présence ou l’absence de mesures de sécurité va réduire ou non, soit la potentialité de survenance d’un sinistre, soit son impact. L’interaction de ces types de mesures concoure à réduire la gravité du risque jusqu’au niveau choisi.