Mehari en informatique : présentation détaillée et concrète de la méthode
Protéger ses données et ses informations reste une source de préoccupation fondamentale dans le domaine professionnel, tout secteur économique confondu. La méthode harmonisée d'analyse des risques (ou Mehari) permet d'évaluer et d'identifier les failles de sécurité. En quoi s'avère-t-elle efficace comme outil de cybersécurité ?
Qu’est-ce que la méthode Mehari en sécurité informatique ?
Mehari n’est autre que l’acronyme pour désigner la méthode harmonisée d’analyse des risques. Comme sa dénomination l’indique, il s’agit d’un processus rigoureux pour gérer et mieux encadrer les risques potentiels liés à la sécurisation de l’information au sein d’une structure. Celle-ci peut être une entreprise, une association ou encore un organisme public.
Cette méthodologie assure l’identification et l’évaluation des risques, tout en suggérant des mesures concrètes pour les endiguer. Le principe repose sur une surestimation du risque potentiel afin de définir un modèle qualitatif et quantitatif adapté à des besoins spécifiques.
Quelles sont les étapes de la méthode harmonisée d’analyse des risques ?
Afin d’effectuer une méthode harmonisée d’analyse des risques par niveau, Mehari met en œuvre un protocole qui respecte les phases d’exécution suivantes :
- Étape préliminaire : indispensable pour élaborer un plan stratégique de sécurité. Elle prend en compte le contexte et les événements qui peuvent altérer le système d’information. Le paramétrage permet ainsi de mieux déterminer les objectifs de sécurité ;
- Analyse opérationnelle pour la gestion des risques : à partir de scénarios préétablis, un diagnostic des services de sécurité est réalisé afin d’éprouver leur efficacité et leur pertinence dans les situations décrites. Cette analyse permet d’obtenir un plan opérationnel de sécurité pour ajuster les mesures afférentes ;
- Planification et traitement des risques identifiés : il s’agit de l’étape décisionnelle dédiée aux risques de sécurité. Sur la base des informations précédemment recueillies, il est ainsi possible de les accepter, de les éviter, de les transférer ou de les supprimer.
Quelques exemples d’outils d’audit de sécurité informatique
Afin d’entreprendre un audit de sécurité informatique dans de bonnes conditions, Mehari se décline en différentes versions. Mehari Standard convient pour des architectures de taille moyenne, tandis que Mehari Expert est plus conforme aux besoins des organismes décentralisés, possédant plusieurs sites. Quant à Mehari Pro, il s’adresse essentiellement aux petites structures et sociétés de type PME ou PMI. À noter qu’il existe également Mehari Manager conçu pour ce corps de métiers et les décideurs qui souhaitent réaliser une analyse des risques fiable.
Acteurs
La méthode harmonisée d’analyse des risques a été développée par CLUSIF (Club de la sécurité de l’information français). Cette association est spécialisée dans la sécurité informatique. Son expertise s’étend sur les questions et les enjeux de la cybersécurité, ainsi que sur la sécurisation des systèmes d’information. Le travail sur Mehari s’est poursuivi sous la supervision de CLUSIQ, son homologue canadien.