LA METHODE MEHARI

La méthode MÉHARI du Clusif

La méthode

Méthode d’analyse de risques mise en œuvre par le CLUSIF (Club de la Sécurité des Systèmes d’Informations Français).

L‘objectif de Méhari est de fournir un ensemble méthodologique d’outils cohérents adaptés au Management de la Sécurité.

Méhari, a été conçu dans le respect de l'ISO 13335 (ISO 27005) pour gérer les risques, la méthodologie peut être utilisée dans une démarche d’implémentation d’un Système de Management conformément aux exigences de la norme ISO/IEC 27001, en identifiant et évaluant les risques dans le cadre d’une politique de sécurité (Plan), en fournissant des indications précises sur les plans à bâtir (Do) à partir de revues des points de contrôle des vulnérabilités (Check) et dans une approche cyclique de pilotage (Act). Ainsi Mehari apporte une aide efficace pour manager et sécuriser l’information de toute sorte d’organisation.

Méhari fournit un cadre méthodologique, des outils et des bases de connaissance pour :

  • Analyser les enjeux majeurs;
  • Étudier les vulnérabilités;
  • Réduire la gravité des risques;
  • Piloter la sécurité de l'information.

Les modules de Mehari peuvent être combinés, en fonction de choix d'orientation ou de politiques d'entreprise, pour bâtir des plans d'action ou, tout simplement, pour aider la prise de décision concernant la sécurité de l'information.

 

Conformité avec l'ISO 27001

Méhari permet de répondre aux exigences générales de la norme ISO 27001 pour l’établissement du SMSI (phase Plan).

Méhari permet de définir une approche d’appréciation du risque de l’entreprise comparable et reproductible; d’identifier, d’analyser et d’évaluer les risques et permet de déterminer si les risques sont acceptables pour l’entreprise ou nécessitent d’être traités.

 

Avantages de la méthode

  • Elle propose un cadre et une méthode qui garantit la cohérence des décisions prises au niveau directorial.
  • Elle structure la sécurité de l'entreprise sur une base unique d'appréciation dans la complexité des systèmes d’information.
  • Elle permet la recherche de solutions au niveau opérationnel de la sécurité en délégant les décisions aux unités opérationnelles et autonomes.
  • Elle assure, au sein de l'entreprise, l'équilibre des moyens et la cohérence des contrôles.
  • Elle garantie que la politique de sécurité mise en œuvre est adaptée aux enjeux et aux risques réels et donc garantie la justesse des investissements.

 

Inconvénients de la méthode

Elle a la réputation d’être lourde !

Réputation peu justifiée si l’on est capable de la dérouler de façon pragmatique…

 

Logiciel Risicare

BYWARD a choisit le logiciel Risicare qui utilise les notions fondamentales du modèle de risque de la méthode MEHARI.

 

 

Haut de page

 Byward certifié

Mentions légales