Vous êtes sur la page 1sur 21

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Methode Mehari
www.ofppt.info

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION


SECTEUR NTIC
Titre du document

Sommaire

1. Introduction ........................................................................................ 2
2. Chapitre 1 .................................................... Erreur ! Signet non dfini.
2.1.1. Item ................................................ Erreur ! Signet non dfini.
2.1.2. Item ................................................ Erreur ! Signet non dfini.

Sommaire cr
partir des 3
premiers niveaux
de titre

Document Millsime Page


OFPPT @ moethode mehari.doc aot 14 1 - 21
Titre du document

1. Introduction
MEHARI a t initialement conu et est en constant dveloppement pour
aider les RSSI1 dans leur tche de management de la scurit de
linformation et des systmes dinformation. Cette prsentation gnrale
leur est ainsi principalement destine, mais elle sadresse galement aux
auditeurs ou aux Risk Managers qui partagent, dans une large mesure,
les mmes proccupations.
Cette prsentation vise principalement dcrire les utilisations que lon
peut faire de MEHARI, tant entendu quune description plus complte de
la mthode et de ses outils est fournie dans la documentation du CLUSIF,
savoir :

La prsentation des principes et mcanismes de MEHARI,

Trois guides dutilisation, respectivement pour lanalyse des enjeux, le


diagnostic des services de scurit et lanalyse des risques,

Des manuels de rfrence (services de scurit et scnarios de risque)


et des bases de connaissance.

Lobjectif de MEHARI est donc de fournir une gamme doutils adapte au


management de la scurit. Or, celui-ci se concrtise par un ensemble
dactions qui ont, chacune, des objectifs particuliers.
Parmi les actes de management citons :

Llaboration de plans de scurit, ou de schmas directeurs.

La mise en place de rgles ou politiques de scurit, que nous


regrouperons sous lappellation de Rfrentiel de Scurit .

La conduite de diagnostics, rapides ou approfondis sur ltat de la


scurit.

Lvaluation et le management des risques

La gestion de la scurit dans la conduite de projets de


dveloppement.

La sensibilisation et la formation la scurit.

Le pilotage de la scurit et le contrle des actions dcides.

Ces diffrents actes de management et leurs variantes ne sont pas


exclusifs, mais au contraire des actions pouvant tre menes
simultanment ou successivement, par des entits distinctes ou par la
mme entit, en fonction de besoins ponctuels ou permanents,
indpendamment ou comme parties dun programme densemble.
En outre, les mmes actes de management peuvent tre conduits
diffremment selon :

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 2 - 21
Titre du document

la maturit de lentreprise et de son personnel en termes de scurit,

la volont dimpliquer plus ou moins fortement les managers


oprationnels dans les prises de dcision concernant la scurit de
linformation,

la culture de lentreprise : hirarchique et technocratique (il existe


des rglements et ils sont appliqus) ou, au contraire, dcentralise et
responsabilisante.

1 RSSI : Responsable de la Scurit des Systmes dInformation


MEHARI-2007 : Prsentation gnrale 06 fvrier 2007 MEHARI est une
marque dpose par le CLUSIF 3
Dans ces conditions, il importe de trouver dans un ensemble
mthodologique les outils adapts chaque situation et que ces outils
soient cohrents et relis les uns aux autres de sorte quils se compltent
sans duplication excessive de tches et de charges.
MEHARI propose cet ensemble mthodologique cohrent, faisant appel
des bases de connaissance adaptes, et capable daccompagner les
responsables dentreprise et les responsables de la scurit dans leurs
diffrentes dmarches et actions, ainsi que les acteurs impliqus dans la
rduction des risques.
Lobjet principal de cette prsentation est de dcrire les utilisations que
lon peut faire de MEHARI. Le positionnement de MEHARI vis--vis des
normes internationales est abord en fin de document.
MEHARI-2007 : Prsentation gnrale 06 fvrier 2007 MEHARI est une
marque dpose par le CLUSIF 4

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 3 - 21
Titre du document

2. 2. Utilisations de M EHARI

MEHARI est, avant tout, une mthode danalyse et de management de


risques.
En fait, cela veut dire que MEHARI et lensemble de ses bases de
connaissance sont btis pour permettre une analyse prcise des risques,
quand cela sera jug ncessaire, sans pour autant imposer lanalyse de
risque comme une politique majeure de management.
En effet, le management de la scurit est une fonction ou une activit
qui volue au cours du temps et les actes de management ne sont pas de
mme nature selon que lentreprise na encore rien fait dans ce domaine
ou, au contraire, quelle a dj accompli des efforts substantiels.
Lors des premiers pas dans une dmarche de scurit, il sera sans doute
bon de faire un bilan de ltat de la scurit et de comparer ce bilan un
norme pour mettre en vidence le foss combler.
Ensuite, ce bilan fait et la dcision prise de mettre en place une
dmarche scuritaire, des actions concrtes devront tre dcides. Ces
dcisions, qui seront le plus souvent regroupes dans des plans, schmas
directeurs, rfrentiels ou politiques de scurit, devront tre prises dans
le cadre dune approche structure. Une telle approche peut tre base
sur une analyse des risques, ou inclure des concepts de risques, mais
cela nest pas obligatoire et il existe bien dautres voies, dont lalignement
sur une norme , que cette norme soit interne, professionnelle ou
interprofessionnelle.
Il reste que, ds ce stade, et sans vritablement parler danalyse de
risque, la question des enjeux de la scurit se pose. Bien souvent, en
effet, quelle que soit la manire dont la dcision a t prpare, le
dcideur ultime qui doit allouer le budget correspondant aura cette
question : est-ce bien ncessaire ? . Sans analyse prliminaire des
enjeux et sans consensus sur ce point, beaucoup de projets de scurit
sont abandonns ou repousss.
Souvent plus tard, mais parfois ds lorigine dune dmarche de scurit,
la question se pose du niveau de risque auquel est expos lentreprise ou
lorganisme, et cette question se pose en ces termes : A-t-on identifi
tous les risques auxquels lorganisme est expos et a-t-on lassurance
que leur niveau est acceptable ? . Cette question peut, en outre, tre
pose dans toute sa gnralit ou dans le cadre limit dun nouveau
projet. Il faudra alors utiliser une mthode danalyse des risques.
Le principe sur lequel est fond MEHARI est que les outils ncessaires,
chaque tape du dveloppement de la scurit, doivent tre cohrents,
cest--dire que les rsultats acquis un stade donn doivent pouvoir
tre rutiliss ultrieurement.
Les diffrents outils et modules de lensemble mthodologique MEHARI,
conus pour pouvoir supporter lanalyse des risques, sont utilisables

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 4 - 21
Titre du document

indpendamment les uns des autres, tous les stades de dveloppement


de la scurit, dans diffrents modes de management, et garantissent
une cohrence densemble des dcisions.
Ces diffrents modules et outils, qui sont dcrits brivement ci-dessous,
comprennent des modules de diagnostic de ltat de la scurit, un
module danalyse des enjeux et une mthode danalyse de risques avec
des outils associs.

2.1. Les diagnostics de scurit

Il existe deux modules de diagnostic dans lensemble MEHARI :

Un module de diagnostic rapide2


Un module de diagnostic approfondi

Dans lun et lautre cas lobjectif est dvaluer un niveau de scurit. En


pratique, le diagnostic portera sur ltat de services de scurit. Il est
clair que si le diagnostic est rapide la prcision sera moindre et que si le
diagnostic est approfondi, on peut attendre un rsultat plus fiable.
Le premier module est utilisable lors dune premire approche, pour
mettre en vidence les faiblesses majeures. Les services de scurit
abords sont les mmes que ceux du diagnostic approfondi, mais les
questions visent savoir si la fonction de scurit a t mise en place,
sans chercher vrifier si elle prsente des points faibles. En ce sens, les
points faibles mis en vidence le sont certainement, alors que les points
forts ventuels ne peuvent tre garantis.
Le module de diagnostic approfondi recherche, de surcrot, toutes les
faiblesses possibles de chaque service de scurit. Il constitue une base
dexpertise, pouvant tre le support dune analyse de risque.
La cohrence de ces deux modules permet de partir du premier et
dapprofondir, tout moment, tel ou tel point pour lequel on voudrait une
meilleure assurance.
Ces modules de diagnostic peuvent tre utiliss de diverses manires.

2.1.1. 2.1.1 Le diagnostic de scurit, lment dune analyse


des risques
MEHARI propose une mthode structure danalyse des risques qui sera
prsente plus loin.
Disons simplement, ce niveau, que le modle de risque prend en
compte des facteurs de rduction de risque , prcisment
concrtiss par des services de scurit.
Le diagnostic approfondi de ces services sera donc, lors de lanalyse
des risques, un lment important dassurance que les services
remplissent bien leur rle, ce qui est essentiel pour quune analyse de
risque soit crdible.

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 5 - 21
Titre du document

2.1.2. Les plans de scurit bass sur un diagnostic de


scurit

Une dmarche relativement rpandue consiste btir des plans daction


directement partir dun diagnostic de ltat de la scurit.
Le processus de management de la scurit par le diagnostic de ltat des
services de scurit est extrmement simple : on dclenche un diagnostic
et on dcide damliorer tous les services qui nont pas un niveau de
qualit suffisant.
Lutilisation dune analyse pralable des enjeux est galement prvue,
faisant ainsi la liaison avec cet autre module de MEHARI, prsent plus
loin dans ce document.
Les diffrentes tapes et les conseils de mise en oeuvre relatifs ce type
de management sont dcrits dans le guide du diagnostic des services de
scurit.

2.1.3. 2.1.3 Le support des bases de connaissance pour


laborer un rfrentiel de scurit

Le module de diagnostic approfondi sappuie, en pratique, sur une base


de connaissance des services de scurit (appele Manuel de rfrence
des services de scurit) qui dcrit, pour chaque service, la finalit (ce
quil fait), quoi il sert (ce contre quoi il lutte), les mcanismes et
solutions supports du service et les lments prendre en compte pour
valuer la qualit du service.
Cette base dexpertise, sans doute unique en son genre, peut tre
employe directement pour btir un rfrentiel de scurit (parfois aussi
appel politiques de scurit) qui contiendra et dcrira lensemble des
rgles et instructions de scurit respecter dans lentreprise ou
lorganisme.
Cette dmarche est souvent employe dans des organismes ou
entreprises ayant un grand nombre dentits autonomes ou de sites. Il
peut sagir dentreprises multinationales ayant de nombreuses
filiales, mais aussi, tout simplement, dentreprises moyennes, voire
petites, ayant de nombreuses agences ou reprsentations rgionales. Il
est en effet difficile, dans de tels cas, de multiplier les diagnostics ou les
analyses de risque.
laboration du rfrentiel
Les questionnaires de diagnostic, mais surtout le manuel de rfrence
des services de scurit avec les explications quil contient, seront une
bonne base de travail pour que les responsables de la scurit dcident
de ce qui devra tre appliqu dans lentreprise.
La gestion des drogations
La mise en place dun corpus de rgles, par le biais dun rfrentiel, se
heurte souvent des difficults dapplications locales et il faut savoir
grer les drogations.
Le fait demployer une base de connaissance cohrente avec des moyens
et une mthode danalyse de risque permet alors de grer les difficults

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 6 - 21
Titre du document

locales en traitant les demandes de drogations par une analyse de


risques cible sur la difficult mise en vidence.

2.1.4. 2.1.4 Les domaines couverts par les modules de


diagnostic

Dans loptique dune analyse des risques, au sens de lidentification de toutes les situations de risque
et de la volont de sattaquer tous les risques inacceptables, le domaine couvert par MEHARI ne
sarrte pas aux systmes informatiques.
Les modules de diagnostic couvrent ainsi, outre les systmes
dinformation et de communication, lorganisation gnrale, la protection
gnrale des sites, lenvironnement de travail des utilisateurs et les
aspects rglementaires et juridiques.

2.1.5. 2.1.5 Vue densemble sur les modules de diagnostic

Ce quil faut retenir en synthse, sur les modules de diagnostic, est quils
offrent une vision large et cohrente de la scurit, utilisable dans
diffrentes approches, avec une progressivit dans la profondeur
danalyse permettant de les utiliser tous les stades de maturit de la
scurit dans lentreprise.

2.2. Lanalyse des enjeux

Quelles que soient les orientations ou la politique, en matire de scurit,


il y a un principe sur lequel tous les dirigeants saccordent, cest celui de
la juste proportion entre les moyens investis dans la scurit et la
hauteur des enjeux de cette mme scurit.
Cest dire quavoir une juste connaissance des enjeux de la scurit est
fondamental et que lanalyse des enjeux mrite un trs haut degr de
priorit et une mthode dvaluation rigoureuse.
Lobjectif de lanalyse des enjeux est de rpondre cette double question
:
Que peut-on redouter et, si cela devait arriver, serait-ce grave ?
Cest dire que dans le domaine de la scurit, les enjeux sont vus comme
des consquences dvnements venant perturber le fonctionnement
voulu de lentreprise ou de lorganisme.
MEHARI propose un module danalyse des enjeux, dcrit dans le guide Analyse des enjeux et de la
classification , qui dbouche sur deux types de rsultats :

Une chelle de valeurs des dysfonctionnements

Une classification des informations et ressources du systme dinformation

chelle de valeur des dysfonctionnements

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 7 - 21
Titre du document

La recherche des dysfonctionnements dans les processus oprationnels


ou des vnements que lon peut redouter est une dmarche qui sexerce
partir des activits de lentreprise. Une telle dmarche

dbouche sur:

Une description des types de dysfonctionnements redouts

Une dfinition des paramtres qui influent sur la gravit de chaque dysfonctionnement

Lvaluation des seuils de criticit de ces paramtres qui font passer la gravit des
dysfonctionnements dun niveau un autre

Cet ensemble de rsultats constitue une chelle de valeur des


dysfonctionnements.
Classification des informations et ressources
Il est dusage, dans le domaine de la scurit des systmes
dinformation, de parler de la classification des informations et de la
classification des ressources du systme dinformation.
Une telle classification consiste dfinir, pour chaque type dinformation
et pour chaque ressource du systme dinformation, et pour chacun des
critres de classification, classiquement la Disponibilit, lIntgrit et la
Confidentialit, des indicateurs reprsentatifs de la gravit dune atteinte
ce critre pour cette information ou cette ressource.
La classification des informations et ressources est la traduction, pour les
systmes dinformation, de lchelle de valeur des dysfonctionnements,
dfinie prcdemment, en indicateurs de sensibilit associs aux
ressources du systme dinformation.
Expression des enjeux de la scurit
Lchelle de valeurs des dysfonctionnements et la classification sont deux
manires distinctes dexprimer les enjeux de la scurit.
La premire est plus dtaille et fournit plus de renseignements pour des
responsables de scurit, la seconde est plus globale et plus utile la
communication sur le degr de sensibilit, avec une perte de prcision.

2.2.1. 2.2.1 Lanalyse des enjeux, base de lanalyse des


risques

Il est clair que ce module est un lment cl de lanalyse des risques et


que sans consensus sur les consquences des dysfonctionnements
potentiels, tout jugement sur un niveau de risque est impossible.

2.2.2. 2.2.2 Lanalyse des enjeux, support de tout plan


daction ou schma directeur

Comme nous lavons indiqu en introduction, lanalyse des enjeux est


trs souvent ncessaire pour la mise en oeuvre de tout plan de scurit.
En effet, quelle que soit la dmarche suivie, il y aura un moment o il

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 8 - 21
Titre du document

faudra allouer des moyens pour mettre en oeuvre les plans daction et
immanquablement la question sera pose du bien fond dun tel
investissement.
Les moyens que lon est dispos octroyer la scurit sont, comme
pour lassurance, directement fonctions de limportance du risque et, sil
ny a pas de consensus sur les enjeux des dysfonctionnements redouts,
il y a fort craindre que les budgets ne soient pas accords.

2.2.3. 2.2.3 La classification, lment essentiel dune


politique de scurit

Nous avons dj voqu les rfrentiels ou politiques de scurit et ce


mode de management de la scurit.
En pratique, les entreprises qui grent la scurit par un corpus de rgles
sont amenes diffrencier, dans les rgles elles-mmes, les actions
mener en fonction de la sensibilit des informations traites. La manire
usuelle de le faire est de se rfrer une classification des informations
et des ressources du systme dinformation.
Le module danalyse des enjeux de MEHARI permet alors deffectuer cette classification.
MEHARI-2007 : Prsentation gnrale 06 fvrier 2007 MEHARI est une marque dpose par le CLUSIF 8

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 9 - 21
Titre du document

2.2.4. 2.2.4 Lanalyse des enjeux, base de plans de scurit

Le processus mme danalyse des enjeux, qui met bien entendu


contribution les responsables oprationnels, engendre, trs souvent, un
besoin dactions immdiates.
Lexprience prouve que quand on a rencontr des responsables
oprationnels un haut niveau de responsabilit dans lentreprise,
indpendamment dailleurs de la taille de lentreprise, et quils se sont
exprims sur ce quils estimaient tre des dysfonctionnements graves,
cela a fait natre chez eux des besoins de scurit dont ils navaient pas
conscience et auxquels il faut rpondre rapidement.
On peut alors btir directement des plans daction, par une approche
directe et lgre base sur la rencontre de deux expertises : celle du
mtier, par les responsables oprationnels et celle des solutions de
scurit par les responsables de la scurit.

2.3. Lanalyse des risques

Lanalyse de risque est cite dans beaucoup douvrages sur la scurit,


comme devant tre le moteur de la scurit, mais la plupart sinon tous
sont silencieux quant la mthode employer.
MEHARI propose, depuis plus de 10 ans, une approche structure du risque3 qui repose sur quelques
lments simples.
Pour ne retenir que lessentiel, une situation de risque peut tre
caractrise par divers facteurs :

Des facteurs structurels qui ne dpendent pas des mesures de scurit, mais du mtier de
lentreprise, de son environnement et de son contexte.

Des facteurs de rduction de risque qui sont, eux, directement fonction des mesures de
scurit mises en place.

MEHARI permet dvaluer, qualitativement et quantitativement, ces facteurs et de porter, en


consquence, un jugement sur le niveau de risque.
Prcisons simplement que lanalyse des enjeux sera prise en compte pour
dterminer la gravit maximale des consquences dune situation de
risque, ce qui est typiquement un facteur structurel, alors que les
diagnostics de scurit seront pris en compte pour valuer les facteurs de
rduction de risque.

2.3.1. 2.3.1 Lanalyse de risque, mthode dlaboration dun


schma directeur

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 10 - 21
Titre du document

La mise en vidence de facteurs de rduction de risque, eux-mmes


fonction de mesures de scurit, offre un base mthodologique pour
laborer un plan de scurit ou schma directeur.
Sur cette base, MEHARI propose et structure une dmarche organise qui conduit llaboration de
plans de scurit.
Cette dmarche sappuie sur une base de connaissance de situations de risques et sur des
automatismes dvaluation des facteurs de rduction de risque. Elle est soutenue par un outil logiciel4
qui dcharge lutilisateur de toutes les tches de calcul et permet simulations et optimisations.
Dans cette utilisation de MEHARI, laccent est port sur loptimisation globale des mesures de scurit
dans loptique dune rduction des risques.
3 Le dtail du modle de risque est donn dans le document Principes et mcanismes de MEHARI , disponible
sur le site du Clusif.
4 RISICARE dit par la socit BUC S.A.

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 11 - 21
Titre du document

2.3.2. 2.3.2 Lanalyse systmatique des situations de risque

Sur la mme base mthodologique, une approche sensiblement diffrente


consiste identifier toutes les situations de risque potentielles, analyser
individuellement les plus critiques, puis dcider des action mener afin
de les ramener un niveau acceptable.
MEHARI permet galement cette approche et les bases de connaissance ont t dveloppes afin de
rpondre cet objectif.
Dans cette utilisation de MEHARI, laccent est port sur lassurance que chaque situation de risque
critique a t prise en compte et est bien couverte par un plan daction.

2.3.3. 2.3.3 Lanalyse ponctuelle de situations de risque

Les mmes outils peuvent tre utiliss ponctuellement dans le cadre


dautres modes de pilotage de la scurit.
Dans les cas que nous avons voqus, de pilotage par les diagnostics de
scurit ou par des rfrentiels de scurit, il se trouvera toujours des
cas particuliers o les rgles dcides ne pourront sappliquer. Il est fort
utile alors de pouvoir sappuyer sur une analyse ponctuelle de risque pour
dcider de la conduite tenir.

2.3.4. 2.3.4 Lanalyse des risques lis de nouveaux projets

Le modle et les mcanismes danalyse de risque peuvent enfin tre


utiliss dans le cadre de la gestion de projets, pour en analyser les
risques et dcider en consquence des mesures prendre.

2.4. Vue densemble sur les utilisations de MEHARI

Il est clair que lorientation majeure de MEHARI est lanalyse et la rduction des risques et que ses
bases de connaissance, ses mcanismes et les outils support ont t construits dans ce but.
Il est clair aussi, dans lesprit des concepteurs de cet ensemble
mthodologique, que lappel une mthode structure danalyse et de
rduction de risque peut tre, selon les entreprises :

une mthode de travail permanente, principale et structurante,

une mthode de travail permanente employe concurremment avec dautres mthodes de


pilotage de la scurit,

un mode de travail occasionnel venant en complment dautres mthodes de pilotage.

Dans cet esprit, ce que MEHARI apporte est un ensemble de concepts et doutils permettant de
recourir lanalyse de risque quand cela sera jug utile ou ncessaire.

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 12 - 21
Titre du document

MEHARI est diffus par le CLUSIF, sous forme de fichiers tlchargeables contenant les bases de
connaissances ainsi que des manuels permettant de mieux apprhender les diffrents modules (enjeux
risques -vulnrabilits), afin daider les responsables de la scurit de linformation (RSSI, Risk
Manager, auditeurs, DSI, ..) dans leurs dmarches de management.

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 13 - 21
Titre du document

3. MEHARI et les normes


La question est souvent pose du positionnement de MEHARI vis--vis des normes internationales
et en particulier ISO 13335, ISO177995 et ISO/IEC 270016.
Il ne sagit pas de comparer MEHARI et les divers outils mthodologiques crs autour de normes,
mais seulement daborder le positionnement de MEHARI vis--vis de normes de lISO, en termes
dobjectifs et de compatibilit.
En ce qui concerne la norme ISO 13335, celle-ci contient un modle de management de risque
auquel MEHARI se rfre et avec lequel MEHARI est totalement compatible. MEHARI propose une
mthode et des outils tels que la norme le rclame.
Nous abordons donc plus particulirement ci-dessous le positionnement de MEHARI vis--vis de
lISO 17799 et de lISO/IEC 27001.

3.1. Objectifs respectifs de lISO 17799, de lISO/IEC


27001 et de MEHARI

3.1.1. 3.1.1 Objectifs de la norme ISO/IEC 17799:2005


Cette norme indique quune organisation doit identifier ses exigences de scurit en partant de trois
sources principales :

lanalyse de risques,

les exigences lgales, statutaires, rglementaires ou contractuelles,

lensemble des principes, objectifs et exigences relatives au traitement de linformation que


lorganisation a dvelopp pour supporter ses oprations.

Partant de l, les points de contrle peuvent tre choisis et implments selon la liste fournie dans la
partie code des pratiques pour le management de la scurit de linformation de la norme ou provenir de tout
autre ensemble de points de contrle (4.2).
Note : Dans le Scope de la version 17799:2005, il est prcis que la norme fournit des
guidelines and general principles for initiating, implementing, maintaining and improving
information security management , ce qui indique que la norme ISO peut tre regarde comme
un point de dpart , mais lISO/IEC 27001 indique (1.2) que toute exclusion doit tre justifie et
quil est cependant possible dajouter des objectifs de contrle (Annexe A - A.1)
La norme ISO 17799 fournit donc un recueil de lignes directrices dont les entreprises devraient
(should) tirer parti, en prcisant que ce recueil nest pas exhaustif et que des mesures complmentaires
peuvent tre ncessaires, mais aucune mthodologie nest indique pour laborer le systme complet
de management de la scurit.
Par contre, chaque partie du guide des meilleures pratiques comprend
des introductions et des commentaires sur les objectifs poursuivis qui
peuvent constituer une aide apprciable.
Note : La norme ISO indique galement dans son Scope quil peut tre utilis o help build
confidence in inter-organizational activities . Ceci nest pas un hasard et met en lumire un
objectif essentiel des promoteurs de la norme qui est lvaluation, voire la certification, du

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 14 - 21
Titre du document

5 dans sa version ISO/IEC 17799:2005(E)


6 dans sa version ISO/IEC 27001-2005 t
MEHARI-2007 : Prsentation gnrale 06 fvrier 2007 MEHARI est une marque dpose par le CLUSIF 11

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 15 - 21
Titre du document

point de vue de la scurit de linformation, de partenaires ou de prestataires.

3.1.2. 3.1.2 Objectifs de lISO/IEC 27001

Lobjectif de lISO/IEC 27001 est clairement prsent comme celui de


fournir un modle pour tablir et grer un systme de gestion de la
scurit de linformation (ISMS) dune organisation et dtre utilis
soit en interne soit par des tiers, y compris des organismes de
certification .
Cet objectif dvaluation et de certification conduit mettre fortement
laccent sur des aspects de formalisation (documentation et
enregistrement des dcisions, dclaration dapplicabilit, registres, etc.)
et sur les contrles (revues, audits, etc.). A ce titre, il sagit dune
approche trs oriente qualit.
Il reste que le fond de la dmarche de scurit prsente implique de
raliser au pralable une analyse des enjeux puis des risques auxquels
lentreprise ou lorganisation est expose et slectionner les mesures
adquates pour rduire ces risques un niveau acceptable (4.2.1).
ISO/IEC 27001 indique quune mthode danalyse de risque doit tre
utilise, mais elle ne fait pas partie de la norme et rien nest propos,
sinon de lintgrer dans le processus rcursif du modle (PDCA Plan,
Do, Check, Act) dfini pour raliser lISMS
Par ailleurs, les recommandations ou les meilleures pratiques pouvant
tre slectionnes pour rduire les risques sont alignes sur celles
listes dans ISO/IEC 17799:2005 , dont la liste de points de contrle est
fournie en annexe.
Le fondement de lvaluation du systme de management de la scurit
selon lISO/IEC 27001 nest pas de savoir ou de vrifier si les dcisions
prises sont pertinentes et si elles refltent bien les besoins de
lentreprise, mais de vrifier quune fois ces dcisions prises, le systme
de management est bien tel que lon pourra avoir une certaine assurance
quelles seront appliques ( on dsignant un auditeur ou un
certificateur).

3.1.3. 3.1.3 Objectifs de MEHARI


MEHARI se prsente comme un ensemble cohrent doutils et de
mthodes de management de la scurit, fonds sur lanalyse des
risques. Les deux aspects fondamentaux de MEHARI que sont le modle
de risque (qualitatif et quantitatif) et les modles de management de la
scurit bass sur lanalyse de risque nont pas dquivalent ni dans
lISO/IEC 27001 ni dans lISO 17799.

3.1.4. 3.1.4 Analyse compare des objectifs de MEHARI et


des normes ISO 17799 et ISO/IEC 27001

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 16 - 21
Titre du document

Les objectifs de MEHARI dune part et des normes ISO ci-dessus


mentionnes dautre part sont radicalement diffrents :

MEHARI vise donner des outils et des mthodes pour slectionner les
mesures de scurit les plus pertinentes pour une entreprise donne, ce
qui nest absolument pas le point de vue des deux normes ISO.

Les deux normes ISO fournissent un ensemble de bonnes pratiques,


certainement utiles mais pas forcment adaptes aux enjeux de
lorganisation, et un moyen de jugement de la maturit, au plan de la
scurit de linformation, dentits internes autonomes ou de partenaires.

Le seul point de lensemble MEHARI qui pourrait tre compar lISO


17799 (et lannexe A de lISO/IEC 27001) est le Manuel de rfrence
des services de scurit7 qui donne effectivement
7 Ce manuel est disponible sur le site du Clusif.
les lments dtaills pouvant tre utiliss pour btir un rfrentiel de
scurit. Concernant cet aspect, il est clair que la couverture des services
de MEHARI est plus vaste que celle de lISO et couvre des aspects
essentiels de la scurit en dehors des systmes informatiques
proprement dits.

3.2. Compatibilit de ces approches

Lapproche de MEHARI est, en ralit, totalement conciliable avec celle de


lISO 17799 car, bien quelles ne poursuivent pas les mmes objectifs, il
est possible de reprsenter facilement (si cela est ncessaire) les
rsultats obtenus lissue de la dmarche MEHARI en indicateurs ISO
17799.
MEHARI permet de rpondre la demande des deux normes de
sappuyer sur une analyse de risques pour dfinir les mesures mettre
en oeuvre.

3.2.1. 3.2.1 Compatibilit avec ISO 17799

Les contrles standards ou bonnes pratiques de lISO sont


majoritairement des mesures gnrales (organisationnelles et
comportementales) alors que MEHARI met prioritairement laccent sur
des mesures techniques dont on puisse garantir lefficacit. Les rsultats,
en termes de management de la scurit, seront donc radicalement
diffrents avec ces deux approches.
Malgr cette diffrence, il existe, dans MEHARI, particulirement avec la
version 2007, des tables de correspondance qui permettent de fournir
des rsultats de points de contrle sous forme dindicateurs aligns sur le
dcoupage de le norme ISO 17799:2005, pour ceux qui ont un besoin
particulier de fournir des preuves de conformit cette norme.
Il est bon de rappeler ici que les questionnaires daudit de MEHARI sont
conus et dcoups afin de raliser efficacement lanalyse des

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 17 - 21
Titre du document

vulnrabilits auprs des responsables oprationnels concerns et den


dduire la capacit de chacun des services de scurit rduire les
risques.

3.2.2. 3.2.2 Compatibilit avec ISO 27001

Il est ais dintgrer MEHARI dans les processus dfinis par lISO/IEC
27001, principalement dans la phase PLAN (4.2.1) dont MEHARI couvre
compltement la description des tches permettant dtablir les bases de
lISMS.
Pour la phase DO (4.2.2), destine implmenter et administrer
lISMS, MEHARI apporte des lments initiaux utiles tels que
ltablissement des plans de traitement des risques, avec des priorits
directement lies la classification des risques et des indicateurs de
progrs au cours de leur ralisation.
Pour la phase CHECK (4.2.3), MEHARI fournit les lments permettant
de dterminer les risques rsiduels et les amliorations introduites dans
les mesures de scurit. Par ailleurs, toute modification de
lenvironnement (enjeux, menaces, solutions et organisation) peut tre
rvalue aisment par des audits plus cibls sappuyant sur les rsultats
de laudit initial ralis par MEHARI afin de rviser les plans de scurit
au fil du temps.
Pour la phase ACT (4.2.4), MEHARI appelle implicitement au contrle
et lamlioration continus de la scurit afin dassurer la tenue des
objectifs de rduction des risques. Dans ces trois phases, MEHARI nest
pas au coeur des processus mais contribue leur ralisation et
lassurance de leur efficacit.

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 18 - 21
Titre du document

Note dattention particulire.

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 19 - 21
Titre du document

Pour approfondir le sujet.


Proposition de rfrences utiles permettant dapprofondir le thme abord

Sources de rfrence
Citer les auteurs et les sources de rfrence utilises pour llaboration du
support

Document Millsime Page


www.ofppt.info moethode mehari.doc aot 14 20 - 21