CLUSIF 2013 MEHARI Manager

METHODES
MEHARI MANAGER
Février 2013
Espace MEHARI
CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS

11 rue de Mogador - 75009 Paris
Tél. : +33 1 53 25 08 80 – Fax : +33 1 53 25 08 88
clusif@clusif.fr – www.clusif.fr
MEHARI est une marque déposée par le CLUSIF.
La loi du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute représentation ou reproduction intégrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alinéa 1er de l'article 40)
Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les
articles 425 et suivants du Code Pénal
Table des matières
1. Introduction .................................................................................................................................................. 4
2. Vue d’ensemble de la méthode................................................................................................................... 5
3. Recherche et analyse des dysfonctionnements ....................................................................................... 6
3.1. Identification des dysfonctionnements redoutés ..................................................................................... 6
3.2. Analyse de la gravité des dysfonctionnements identifiés ........................................................................ 7
3.3. Échelle de valeurs des dysfonctionnements ............................................................................................. 8
4. Identification des scénarios de risque ........................................................................................................ 9
4.1. Identification des incidents pouvant conduire aux dysfonctionnements ............................................. 9
4.2. Identification des causes d’incidents ......................................................................................................... 9
4.3. Identification des scénarios de risque ...................................................................................................... 10
4.4. Gravité intrinsèque du scénario de risque............................................................................................... 11
5. Analyse des risques..................................................................................................................................... 14
5.1. Les facteurs de réduction de la potentialité ............................................................................................ 14
5.2. Les facteurs de réduction de l’impact ...................................................................................................... 15
5.3. Gravité résiduelle d’un scénario de risque .............................................................................................. 17
6. Plans d’action .............................................................................................................................................. 17
7. Fiche de risque complète........................................................................................................................... 18
8. Annexe 1 : Typologie de dysfonctionnements...................................................................................... 19
9. Annexe 2 : Compléments sur l’échelle d’impact ................................................................................... 20
10. Annexe 3 : Exemple d’échelle de valeur de dysfonctionnements ...................................................... 21
11. Annexe 4 : Typologie d’éléments du système d’information .............................................................. 22
12. Annexe 5 : Types d’incident et d’événements déclencheurs ............................................................... 23
13. Annexe 6 : Exposition naturelle standard.............................................................................................. 25
14. Annexe 7 : Échelles d’évaluation des facteurs de réduction de risques............................................. 26
MEHARI Manager 3/28 © CLUSIF 2013

1. Introduction
MEHARI-Manager fait partie de l’ensemble de méthodes d’analyse de risques développées à partir du mo-
dèle de risque publié par des membres du CLUSIF1 et utilisé par MEHARI depuis 1996.
MEHARI-Manager reprend les mêmes principes et notions que Mehari 2010, développés en conformité
avec les lignes directrices édictées par la norme ISO/IEC 27005 pour les méthodes d'analyse de risque.
MEHARI–Manager s'adresse aux managers ou décideurs qui souhaitent procéder à une analyse de risques
plus particulièrement ciblée sur leur activité.
L'analyse s'effectue lors d'un entretien en face à face entre le manager et une personne habituée à l'ana-
lyse de risque, apte à comprendre les enjeux métiers ou en très petit groupe.
Les domaines d’application sont, en effet, principalement :
— L’analyse des risques induits par un nouveau projet (projet applicatif ou projet d’architecture)
— L’analyse des risques spécifiques d’une activité ou d’un domaine métier situé hors du périmètre
d'une analyse de risque ou d'un SMSI précédent.
_______________________________
1
Le Risque Informatique – Jean-Philippe Jouas, Albert Harari, Jean-Marc Lamère, Jacques Tourly
– Editions d’organisation - 1992

2. Vue d’ensemble de la méthode
MEHARI–Manager consiste à :
— procéder à une analyse des activités du domaine concerné, à en déduire les dysfonctionnements
qui peuvent être redoutés, puis à évaluer en quoi ces dysfonctionnements peuvent être plus ou
moins graves,
— analyser quels événements peuvent être à l’origine de ces dysfonctionnements, à en déduire des
scénarios de risque, à évaluer la probabilité de survenance de ces scénarios et à en déduire une
gravité « intrinsèque » de ces risques,
— analyser quels dispositifs de sécurité d’ores et déjà prévus ou existants peuvent réduire la gravité
de chaque risque et dans quelle mesure et à décider, au cas par cas, si le risque est acceptable en
l’état ou non,
— définir les actions complémentaires à mettre en place pour réduire les risques considérés comme
inacceptables.
Le schéma ci-dessous résume la démarche.

Étape 1 Étape 4
Recherche et analyse
des dysfonctionnements
potentiels
Étape 2
Définition
Identification de des plans
scénarios de risques :
Gravité intrinsèque de sécurité
Étape 3
Analyse des risques :
Facteurs caractéristiques
Évaluation des risques
La démarche s’appuie sur des « fiches de risque » remplies au fur et à mesure des étapes ci-dessus.
L’engagement des managers responsables des activités de leur domaine est essentiel dans ce
processus.

3. Recherche et analyse des
dysfonctionnements
L'objectif de cette étape est d’identifier les dysfonctionnements potentiels significatifs des activités du
domaine analysé et d’attribuer à chaque dysfonctionnement une valeur ou une échelle de valeurs.
Cette analyse se déroulera en trois sous-étapes, dont la dernière est optionnelle :
— L'identification des dysfonctionnements redoutés pour le domaine concerné.
— L'évaluation du niveau de gravité de ces dysfonctionnements.
— La détermination éventuelle et la validation d'une échelle de valeurs globale (optionnel).
3.1. Identification des dysfonctionnements redoutés

Il est nécessaire d’identifier les activités majeures ou les principaux processus du domaine analysé, de les
décrire en quelques mots et de noter pour chaque activité ou processus les résultats ou les objectifs at-
tendus. Il faut rechercher ensuite les dysfonctionnements redoutés pour le domaine concerné.
3.1.1 Résultats attendus

La description des dysfonctionnements doit être telle qu’il soit possible ensuite d’en évaluer la gravité.
Il est souhaitable, à ce niveau, de se concentrer sur les dysfonctionnements potentiels au niveau fonc-
tionnel. Il s’agit donc de dysfonctionnements de processus et l’on peut éventuellement s’appuyer sur la
typologie générique des dysfonctionnements de processus décrite en annexe 1.
Il est souvent utile de décrire en outre les conséquences redoutées, afin de mieux pouvoir juger de leur
gravité.
Ainsi, par exemple, dans l’hypothèse de la divulgation des salaires du personnel, il peut être utile de préci-
ser les conséquences redoutées : déclenchement d’une grève, obligation de procéder à des augmentations
nombreuses pour des catégories de personnel, perte de motivation du personnel, etc.
De même, si le dysfonctionnement envisagé est l’altération de la paye, il est nécessaire de préciser si les
conséquences redoutées sont une fraude et la perte d’argent ou la grève du personnel ou sa démotivation
ou l’obligation de gérer des rappels nombreux et compliqués.
Chaque dysfonctionnement sera décrit, d’un point de vue fonctionnel, comme une altération de
processus, en précisant le type de dysfonctionnement et le type de conséquence redouté.
Un autre exemple, pour la gestion de trésorerie :
Dysfonctionnement Conséquences
Retard dans l’approvisionnement des comptes de tréso- Incapacité à payer les fournisseurs se traduisant par un arrêt des livrai-
rerie sons et un arrêt de la production
3.1.2 Démarche
L’expérience montre que la mise en place de courts entretiens avec les managers au bon niveau de res-
ponsabilité permet de dégager la description des dysfonctionnements qu’ils redoutent le plus ou ce qui
représente pour eux un souci majeur.
La description des dysfonctionnements, sera donc obtenue lors d’une réunion avec les managers.

3.2. Analyse de la gravité des dysfonctionnements identifiés
La deuxième sous-étape vise à déterminer la gravité des dysfonctionnements précédemment iden-
tifiés.
Pour les normes et pour MEHARI, la gravité des conséquences d’un risque est appelée « Impact ». Nous
parlerons donc dorénavant de l’impact des dysfonctionnements.
Il faut donc, pour cela, faire référence à une échelle d’impact standard.
3.2.1 Échelle d’impact

MEHARI distingue 4 niveaux d’impact, notés de 1 à 4, dont les définitions générales sont données ci-
après :
Niveau 4 : Vital
A ce niveau le dysfonctionnement redouté est extrêmement grave et met en danger l’existence
même ou la survie de l’entité ou de l’une de ses activités majeures.
Niveau 3 : Très Grave
Il s’agit là de dysfonctionnements très graves au niveau de l’entité, sans que son avenir ne soit
compromis.
Niveau 2 : Important
Il s’agit là de dysfonctionnements ayant un impact notable au niveau des opérations de l’entité, de
ses résultats ou de son image, mais restant globalement supportables.
Niveau 1 : Non significatif
A ce niveau les dommages encourus n’ont pratiquement pas de conséquences sur les résultats de
l’entité ni sur son image.
Des compléments relatifs à cette échelle d’impact sont donnés dans l’annexe 2.
3.2.2 Critères d’impact et seuils d’impact

Les dysfonctionnements identifiés n’ont pas forcément une gravité unique. Au contraire, dans de nom-
breux cas, les dysfonctionnements doivent être caractérisés par un ou plusieurs paramètres déterminants
pour leur gravité.
Par exemple, le retard dans l’aboutissement d’un processus est un dysfonctionnement dont la gravité dé-
pend, très généralement, de la durée de ce retard, d’une part, et du nombre de personnes concernées par
le retard, d’autre part.
Il peut donc être utile de déterminer, pour chaque dysfonctionnement, quels sont les paramètres
significatifs et quels sont les seuils de ces paramètres qui font passer le dysfonctionnement d’un
niveau d’impact à un autre.
3.2.3 Démarche
La recherche du niveau d’impact des dysfonctionnements sera faite lors de la réunion avec le manager.
Les résultats consisteront ainsi en une description des dysfonctionnements redoutés, pour
chaque activité identifiée, et en une évaluation de l’impact de ces dysfonctionnements.

3.3. Échelle de valeurs des dysfonctionnements
Une synthèse des divers résultats peut alors être établie pour l’activité ou le domaine concerné par
l’analyse.
Un exemple partiel en est donné en annexe 3.
L'échelle de valeurs constituée n'est ainsi rien d'autre que le rassemblement dans un document unique de
l'ensemble des types de dysfonctionnement et des seuils de criticité. Il pourrait donc s'agir d'une étape
purement formelle. L'expérience prouve, cependant, que la mise en commun de tous les types de dys-
fonctionnement et des seuils de criticité de chacun d'eux peut faire apparaître des discordances qui n'ont
pas été mises en évidence dans une analyse activité par activité.
Cette sous-étape est donc souhaitable mais reste optionnelle dans MEHARI-MANAGER

4. Identification des scénarios de
risque
L'objectif de cette étape est d’identifier les scénarios de risque pertinents pour le domaine concerné, à
partir des dysfonctionnements précédemment identifiés et analysés.
Cette étape comprend quatre sous-étapes :
— L’identification des incidents pouvant conduire aux dysfonctionnements identifiés.
— L'identification des causes possibles de ces incidents.
— La détermination de scénarios de risque et la création d’une fiche de risque pour chaque scéna-
rio.
— L’évaluation de la gravité « intrinsèque » de chaque scénario de risque.
4.1. Identification des incidents pouvant conduire aux

dysfonctionnements
Les dysfonctionnements surviennent parce qu’un élément du système d’information subit un dommage
au cours de ce que nous appellerons un « incident ».
Un incident est donc décrit par l’élément endommagé et par le type de dommage subi.
4.1.1 Description de l’élément du système d’information impliqué dans

un incident
Les éléments du système d’information impliqués dans un incident peuvent être des éléments, matériels
ou immatériels, du système d’information, voire des moyens en personnel ou des prestations externes.
Une typologie d’éléments du système d’information est donnée en annexe 4.
4.1.2 Le dommage subi par l’élément du SI

Les dommages subis résultent, classiquement, de la perte de disponibilité, d’intégrité ou de confidentiali-
té ainsi que de l'exigence de respect des règlements ou des lois.
4.1.3 Démarche
L’expérience prouve également qu’au bon niveau de responsabilité, les incidents significatifs pouvant
conduire à un dysfonctionnement identifié sont très rapidement mis en évidence par une approche glo-
bale consistant à demander aux principaux responsables de s’exprimer. Au niveau technique, s’ils ne sa-
vent pas forcément faire une liste détaillée et exhaustive des applications ou bases de données mises en
œuvre, ils savent très bien les désigner globalement sous une dénomination générique amplement suffi-
sante (« la paye » pour l’ensemble des programmes concernés, par exemple).
4.2. Identification des causes d’incidents

Les incidents sont provoqués par un événement déclencheur qu’il faut identifier ou répertorier. En outre,
décrire les circonstances de déclenchement de l’événement peut être utile, voire nécessaire, pour la suite
de l’analyse des scénarios de risque.

4.2.1 Identification de l’événement déclencheur
Les événements peuvent être décrits par grandes catégories que sont les accidents, les erreurs et actes
volontaires, malveillants ou non. Dans chaque catégorie, les types d’événements peuvent, bien entendu,
être individualisés.
4.2.2 Identification des circonstances de déclenchement

Comme indiqué précédemment, des précisions sur les circonstances de déclenchement peuvent être
utiles et concernent tant les circonstances proprement dites que les acteurs du déclenchement.
Les circonstances peuvent recouvrir des notions de processus ou d’étapes de processus, de lieux ou de
périodes de temps.
Les acteurs impliqués dans le déclenchement de l’incident sont également des indications utiles pour
l’analyse des risques.
4.2.3 Démarche
Les événements déclencheurs seront décrits avec plus ou moins de détail. Il est clair qu’à ce stade, l’aide
de personnel technique ou de spécialistes de la sécurité sera une aide précieuse. Notons également que les
bases de connaissance proposées dans les autres versions de Méhari peuvent être utilisées. Un tableau
général des types d’incidents et des événements déclencheurs possibles est donné en annexe 5.
4.3. Identification des scénarios de risque

Les éléments caractéristiques d’un scénario sont : un dysfonctionnement, un incident à l’origine de ce
dysfonctionnement et un événement déclencheur, éventuellement complété des conditions de déclen-
chement.
Dès lors il s’agit de choisir entre regrouper en un seul scénario des scénarios voisins ou, au contraire, dé-
finir autant de scénarios qu’il peut y avoir de variantes dans ses éléments caractéristiques. Il n’y a pas de
règle générale en ce domaine.
Le conseil que l’on peut donner, toutefois, est de commencer par une définition assez large et générale,
tant des incidents que des événements déclencheurs et de poursuivre l’analyse des risques avec un
nombre restreint de scénarios, à la condition de garder en mémoire cette simplification de départ et de
vérifier, en particulier lors de la définition des plans d’action, que les mesures décidées réduisent bien
tous les risques regroupés sous un même scénario.
On peut alors créer, pour chaque scénario identifié, une fiche de risque dont la première partie, relative à
l’identification du risque, est décrite ci-dessous.
Fiche n° < Référence du risque >

I - Référence
Intitulé du risque : < Intitulé du risque >
Date : <Date>
? Descriptif du risque :
II - Description
?
Dysfonctionnement métier (ou conséquences "métier" de l'incident) : < Description des dysfonctionnements ou conséquences indirectes >
DD
?
Manifestation concrète de l'incident à l'origine du dysfonctionnement : < Description de l'incident à l'origine du dysfonctionnement >
DI
? Événement déclenchant (menace) : < Description des évènements déclenchant >

DE
En pratique, MEHARI-Manager utilise un fichier Excel intégrant des formules de calcul et qui comprend
cette feuille générique de fiche de risque.

Le fichier comprend des aides en ligne et certains automatismes décrits plus loin pour l’analyse des
risques.
On remplira les lignes :
DD avec la description du dysfonctionnement
DI avec la description de l’incident
DE avec la description de l’événement déclencheur
4.4. Gravité intrinsèque du scénario de risque

Chaque scénario de risque peut être caractérisé par la gravité de ses conséquences, son Impact et par la
probabilité de l’événement qui le déclenche, que nous appelons sa « Potentialité ».
En l’absence de toute mesure de sécurité, nous préciserons ces deux paramètres par les concepts
de « Impact intrinsèque » et de « Potentialité intrinsèque ».
L’impact intrinsèque est celui que nous avons défini plus haut dans ce document.
La Potentialité intrinsèque sera évaluée en se référant aux définitions données ci-dessous.
4.4.1 Échelle de Potentialité
La Potentialité sera définie sur une échelle à 4 niveaux :
Niveau 4 : Très probable
A ce niveau, il est raisonnable de penser que le scénario se produira très certainement et vraisem-
blablement à court terme.
Quand l’évènement est survenu, personne n’est surpris.
Niveau 3 : Probable
Il s’agit là des scénarios dont il est raisonnable de penser qu’ils pourraient bien se produire, à plus
ou moins court terme. L’espoir que l’évènement ne survienne pas n’est pas insensé mais dénote
un certain optimisme.
La survenance de l’évènement déçoit, mais ne surprend pas.
Niveau 2 : Improbable
Il s’agit là de scénarios dont il est raisonnable de penser qu’ils ne surviendront pas. L’expérience
passée montre souvent d’ailleurs qu’ils ne sont pas survenus.
Ils demeurent néanmoins « possibles » et ne sont pas complètement invraisemblables
Niveau 1 : Très improbable
A ce niveau l’occurrence du scénario est tout à fait improbable. De tels scénarios ne sont pas
strictement impossibles car il existe toujours une probabilité, même infime, pour que cela se pro-
duise.
4.4.2 Évaluation de la potentialité intrinsèque ou « Exposition naturelle »

La potentialité intrinsèque ou Exposition naturelle est fondamentalement la probabilité de survenance de
l’événement déclencheur, en l’absence de toute mesure de sécurité.
On peut, pour cela, s’appuyer, si nécessaire, sur les valeurs standard, rappelées en annexe 6, pour les po-
tentialités intrinsèques des événements courants.
Ceci étant, des facteurs particuliers peuvent jouer sur cette potentialité.
En effet, l’activité de chaque entreprise, son contexte économique, social, géographique, etc., font que
chacune est plus ou moins exposée à chaque type de risque, indépendamment de toute mesure prise. Il

s’agit donc de s’interroger sur l’existence de facteurs pouvant avoir une influence sur l’exposition de
l’entreprise au type de risque considéré. L'exposition à un risque donné peut dépendre de sa localisation
et de son environnement, pour les risques naturels, de l'enjeu potentiel, pour son auteur, d'un acte volon-
taire (vol, détournement, satisfaction intellectuelle, etc.), de la probabilité qu'une action volontaire vise
l'entreprise (nombre de cibles potentielles (notion de ciblage), facilité de réussir).
Il est relativement fréquent que l’exposition naturelle à un type de risque augmente aussi en raison de
phénomènes conjoncturels tels que l’annonce d’un plan social, pour les malveillances internes ou la mé-
diatisation de circonstances ou d’événements pouvant indisposer des acteurs externes (atteinte à
l’environnement) ou focaliser leur attention sur l’entreprise (l’annonce d’un fort niveau de sécurité, par
exemple).
Démarche
Le groupe d’analyse et les managers s’interrogeront donc directement sur l’exposition de l’entreprise au
risque concerné, sur l’échelle décrite plus haut.
4.4.3 Gravité intrinsèque de chaque scénario de risque

La gravité du scénario ou de la situation de risque résulte à la fois de sa potentialité et de son impact.
Il ne s’agit pas, cependant, d’une opération mathématique entre ces deux valeurs mais d’un jugement sur
le caractère acceptable ou non de la situation.
La seule question à se poser, en fonction de la potentialité et de l’impact du risque analysé est celle-ci :
Cette situation de risque est-elle acceptable en l’état?
Si plusieurs situations de risques doivent être analysées, il est recommandé d’établir une table de décision
qui assurera la cohérence des décisions prises.
Ces tables de décisions peuvent être représentées par des grilles « d’acceptabilité des risques » qui définis-
sent, en fonction de l’impact et de la potentialité estimés, si le risque est acceptable ou non.
MEHARI-Manager propose de définir trois types de risques :
— Les risques insupportables, qui devraient faire l’objet de mesures d’urgence, en dehors de tout
cycle budgétaire.
— Les risques inadmissibles qui devraient être réduits ou éliminés à une échéance à déterminer,
donc à prendre en compte dans une planification (plan de sécurité).
— Les risques tolérés.
Les deux premières catégories correspondent à ce que nous avons appelé les risques inacceptables.

Un exemple de telle grille est donné ci-dessous. Dans cet exemple, G est la gravité globale évaluée par la
grille en fonction de l’impact (I) et de la potentialité (P), une gravité de 4 correspond à un risque insup-
portable, une gravité de 3 à un risque inadmissible et les gravités inférieures à des risques tolérés.
I=4 G=2 G=3 G=4 G=4
I=3 G=2 G=3 G=3 G=4
I=2 G=1 G=2 G=2 G=3
I=1 G=1 G=1 G=1 G=2
P=1 P=2 P=3 P=4
Grille d’acceptabilité des risques

La fiche de risque, évoquée plus haut, peut ainsi être complétée avec les indications de niveau d’impact et
de potentialité intrinsèque. Le classeur Excel comprend la grille standard d’acceptabilité des risques et
calcule, en fonction de cette grille, la gravité intrinsèque du risque.
? Analys e de l'impac t, de la potentialité et de la g ravité
intrins èques du ris que
III - Analys e intrins èque
? B es oin de s écurité as s ocié (chois ir parmi les options propos ées : D , I, C C

TI
ou E )
? Impact intrins èque, en l’abs ence de toute mes ure de s écurité. (É valuer 3
II
le niveau d'impact intrins èque)
? TE T ype de la menace: (chois ir parmi les options propos ées : A, E ou V) V
? P otentialité intrins èque, ou encore expos ition naturelle, en l’abs ence de 3

PI
toute mes ure de s écurité (à évaluer)
? GI G ravité intrins èque du s cénario de ris que : 3
On remplira donc cette fiche en complétant les lignes :

TI avec le type de besoin de sécurité ou type de dommage (cellule à choix multiple D, I, C ou E)
II avec l’évaluation de l’impact intrinsèque (valeur de 1 à 4)
TE avec le type d’événement (cellule à choix multiple A (accident), E (erreur) ou V (acte volontaire))
PI avec l’évaluation de la potentialité intrinsèque (valeur de 1 à 4)

5. Analyse des risques
L’analyse de chaque scénario de risque consiste ensuite à prendre en compte les mesures de sécurité exis-
tantes ou déjà prévues pour évaluer 4 facteurs de réduction de risque : 2 facteurs de réduction de la po-
tentialité et 2 facteurs de réduction d’impact. Ces différents aspects sont décrits ci-dessous.
5.1. Les facteurs de réduction de la potentialité

MEHARI-Manager définit deux facteurs de réduction de la potentialité d'occurrence : la dissuasion et la
prévention
5.1.1 La dissuasion
La dissuasion est limitée aux scénarios résultant d’une action volontaire menée par une personne phy-
sique, action pouvant représenter un risque pour son auteur. Il s’agit, en particulier, de toutes les actions
volontaires, malveillantes ou non, nuisibles pour l’entreprise ou pouvant être considérées comme nui-
sibles par l’entreprise.
Le risque pris par l’auteur peut être un frein à son action. Il s’agit donc de s’interroger sur l’existence de
facteurs pouvant freiner la volonté d’agir des acteurs potentiels en les dissuadant d’agir.
Le déclenchement d'une action volontaire nuisible à l'entreprise (ou pouvant être considérée
comme nuisible par l’entreprise) peut représenter un risque personnel pour son auteur. Plus le
risque ressenti par l'auteur est grand, moins probable est sa tentative et moins le risque, pour
l'entreprise, est grand.
Le risque "ressenti" par l'auteur d'un acte volontaire dépend :
— des moyens existants pour détecter l'action et pour l'imputer à son auteur,
— de la qualité de la preuve de cette imputation,
— des sanctions alors encourues,
— de la connaissance qu’a l'auteur des moyens précédents.
Il existe donc des actions ou mesures génératrices de réduction de risque appelées, dans
MEHARI-Manager, « mesures dissuasives » ou dissuasion et qui, pour être efficaces, doivent
comprendre les 4 points cités ci-dessus (imputation, preuve de l’imputation, sanction et communica-
tion).
Il conviendra donc de s’interroger sur l’existence de telles mesures, et sur leur efficacité. Cette efficacité
sera évaluée sur une échelle allant de 1 (effet quasiment nul) à 4 (effet maximum). Une échelle descriptive
des niveaux de dissuasion est donnée en annexe 7.
On peut évaluer ainsi un premier facteur de réduction de la potentialité, qui est la dissuasion.
5.1.2 La prévention
Le deuxième facteur de réduction de la potentialité est relatif aux conditions dans lesquelles le scénario
peut se dérouler et au caractère plus ou moins trivial de ces conditions.
Le déclenchement d'un scénario de risque n'aboutira à un sinistre réel que si certaines condi-
tions sont réunies. Plus ces conditions sont triviales, plus le risque est grand.
La trivialité des conditions de survenance peut dépendre :
— du caractère normal ou exceptionnel des conditions extérieures (météo, type d'accident, etc.),

— de la trivialité des compétences nécessaires pour des actions volontaires,
— des connaissances plus ou moins nécessaires de l'entreprise et de son contexte,
— des moyens à mettre en œuvre (humains, financiers, temps, etc.),
— du degré de "chance" ou de "hasard" nécessaire.
Il existe donc des actions ou mesures génératrices de réduction de potentialité appelées, dans
MEHARI-Manager, « mesures préventives » ou prévention, et qui, pour être efficaces, doivent
comprendre un ou plusieurs des points suivants pour freiner ou empêcher le déclenchement
d’un scénario de risque (mesures de sécurité physique, de contrôle d'accès, contrôles préventifs incor-
porés aux processus et applications informatiques, etc..).
Il conviendra donc de s’interroger sur l’existence de telles mesures, mais aussi sur leur efficacité. Cette ef-
ficacité sera évaluée sur une échelle allant de 1 (effet quasiment nul) à 4 (effet maximum). Une échelle
descriptive des niveaux de prévention est donnée en annexe 7.
On peut évaluer ainsi un deuxième facteur de réduction de la potentialité, qui est la prévention.
5.1.3 Évaluation de la potentialité résiduelle du scénario de risque

L’évaluation de l’exposition naturelle au risque analysé et l’évaluation de l’efficacité des mesures pouvant
limiter la potentialité (dissuasion et prévention) mèneront à l’évaluation de la potentialité résiduelle du
scénario.
Cette évaluation globale sera faite en prenant en compte les réflexions précédentes et en se reportant aux
définitions de niveaux de potentialité précisés plus haut.
Si les niveaux de dissuasion et de prévention ont été évalués, la fiche de risque indique, à titre
d’information, l’évaluation standard de la potentialité résiduelle proposée par la méthode.
5.2. Les facteurs de réduction de l’impact

MEHARI-Manager définit deux facteurs de réduction de l’impact : le confinement et les mesures pallia-
tives.
5.2.1 Le confinement du risque

La première question à se poser quant à la limitation de l’impact est celle de la limitation des consé-
quences les plus directes de l’occurrence du risque.
Certains sinistres peuvent, en effet, être confinés, dans l’espace ou dans le temps, par des interventions
ou par des dispositions prises préalablement :
— Un incendie peut être limité à une zone ou dans un espace par des dispositions diverses (cloi-
sonnement, cloisons pare-feu, ...) ou par des interventions directes (détection puis extinction).
— Un dégât des eaux peut être limité dans ses conséquences directes par des interventions (détec-
tion de fuites ou d’humidité, fermeture de canalisations, …) ou par des dispositifs spéciaux
(trop plein, évacuation naturelle, …).
— Une erreur peut être limitée dans ses effets dans l’espace (sa propagation) ou dans le temps, par
des systèmes de détection ou des procédures de contrôle.
— Un virus peut être stoppé dans sa prolifération par des systèmes anti-virus.
— Un piratage peut être limité dans le temps ou dans son ampleur par des systèmes de détection
d’intrusion et des dispositifs associés.

— Les conséquences d’une fraude ou d’une altération volontaire peuvent être limitées par des me-
sures visant à imposer des seuils ou ratios maximums de variations à certains paramètres (par
exemple le montant maximum d’un virement, d’un retrait ou un pourcentage maximum d’écart
par rapport à une valeur validée)
Les conséquences directes d'un risque qui se réalise peuvent être confinées. Moins ces consé-
quences sont confinées, plus le risque est grand.
Le confinement des conséquences directes d'un risque peut dépendre :
— de l'isolement des ressources les unes des autres ou de leur compartimentage,
— des mesures de détection propres au risque en question,
— des capacités de réaction de l'entreprise, face à ce type de risque,
— des limitations imposées à une variation par rapport à un état antérieur validé.
Il existe donc des actions ou mesures génératrices de réduction de risque qui sont appelées me-
sures de confinement, et qui, pour être efficaces, doivent comprendre un ou plusieurs des points
cités ci-dessus (compartimentage, détection et réaction, limitations absolues imposées à des variations
de paramètres, etc.)
descriptive des niveaux de confinement est donnée en annexe 7.
On peut évaluer ainsi un premier facteur de réduction de l’impact, qui est le confinement.
5.2.2 Les mesures palliatives

La deuxième question à se poser, quant à la limitation des conséquences, est celle des réactions possibles,
une fois le sinistre constaté (et circonscrit), ce que nous appellerons des mesures palliatives.
L’entreprise ne restera pas sans réaction et de la qualité de cette réaction dépendra le niveau des consé-
quences réelles.
La situation de crise engendrée par l'occurrence d'un risque peut être anticipée et préparée.
Moins cette situation de crise a été préparée, plus le risque est grand.
Le degré de préparation à la situation de crise dépend :
— de l'étude préalable des modes dégradés acceptables, des fonctions minimales à remplir et des
services indispensables,
— de l'anticipation et de la préparation de solutions palliatives adéquates (plans de sauvegardes,
plans de continuité métiers, plans de reprise d'activité technique, etc.) ,
— de la préparation et de la formation des hommes et des structures en prévision des situations de
crise (gestion de la crise, communication de crise, etc.).
Il existe donc des actions ou mesures génératrices de réduction des conséquences indirectes du
risque appelées, dans MEHARI-Manager, « mesures palliatives », et qui, pour être efficaces, doi-
vent comprendre un ou plusieurs des points cités ci-dessus (études préalables, solutions de secours
ou mesures palliatives, préparation et formation, etc.).
descriptive des niveaux de mesures palliatives est donnée en annexe 7.
On peut évaluer ainsi un deuxième facteur de réduction de l’impact, que sont les mesures palliatives.

5.2.3 Évaluation de l’impact résiduel du scénario de risque
L’impact intrinsèque déterminé par l’échelle de valeurs et l’évaluation de l’efficacité des mesures
d’atténuation du risque pouvant limiter cet impact (mesures de confinement et palliatives) mèneront à
l’évaluation de l’impact résiduel du scénario.
On se reportera, pour l’évaluation du niveau de gravité, aux définitions données plus haut. On procèdera
à cette évaluation, sur l’échelle à 4 niveaux vue précédemment, en prenant en compte les réflexions pré-
cédentes.
Si les niveaux de confinement et de mesures palliatives ont été évalués, la fiche de risque indique, à titre
d’information, l’évaluation standard de l’impact résiduel proposé par la méthode.
5.3. Gravité résiduelle d’un scénario de risque

La gravité résiduelle d’un scénario de risque sera évaluée de la même manière que la gravité intrinsèque,
mais en partant de l’impact résiduel et de la potentialité résiduelle.
La partie analyse de la fiche de risque est présentée ci-dessous.
? R éduc tion de l'impac t

IV - R éduction impact
? D es mes ures s us ceptibles de réduire l’impact par une détection < D es cription des mes ures de confinement >
DC
précoce ou un confinement s ont-elles mis es en œuvre ?
É valuation de l'efficacité des mes ures de détection précoce ou de 2
EC
confinement
D es mes ures s us ceptibles de réduire l’impact par des mes ures < D es cription des mes ures de palliatives >
? Dpa
palliatives s ont-elles mis es en œuvre ?
EPa É valuation de l'efficacité des mes ures palliatives 3
? IR É valuation de l'impact actuel du s cénario de ris que 4

V - R éduction potentialité
?? R éduc tion de la potentialité
?? D es mes ures s us ceptibles de réduire la potentialité par des mes ures < D es cription des mes ures dis s uas ives >
DD dis s uas ives s ont-elles mis es en œ uvre ?
ED É valuation de l'efficacité des mes ures dis s uas ives 3
D es mes ures s us ceptibles de réduire la potentialité par des mes ures < D es cription des mes ures préventives >
? DPr
préventives s ont-elles mis es en œuvre ?
EPr É valuation de l'efficacité des mes ures préventives 3
? PR É valuation de la potentialité actuelle du s cénario de ris que 3
G ravité ac tuelle (ou rés iduelle) du ris que

VI - G ravité
actuelle
? GR É valuation de la G ravité actuelle ou rés iduelle du ris que : 4
?
D es cription du s cénario de ris que rés iduel ou d'éventuels ris ques < Des cription des ris ques rés iduels >
rés iduels
6. Plans d’action
Les plans d’action seront remplis directement par les managers, en fonction des analyses précédentes.
L’expérience montre, en effet, qu’à l’issue de cette analyse, les managers sont tout à fait en mesure de dé-
cider des actions les plus pertinentes pour réduire les risques.

7. Fiche de risque complète
La fiche de risque complète, avec ses différentes rubriques est présentée ci-dessous.
Fiche n° < Référence du risque >

I - Référence
Intitulé du risque : < Intitulé du risque >
Date : <Date>
? Descriptif du risque :
II - Description
?
Dysfonctionnement métier (ou conséquences "métier" de l'incident) : < Description des dysfonctionnements ou conséquences indirectes >
DD
?
Manifestation concrète de l'incident à l'origine du dysfonctionnement : < Description de l'incident à l'origine du dysfonctionnement >
DI
? Événement déclenchant (menace) : < Description des évènements déclenchant >

DE
? Analyse de l'impact, de la potentialité et de la gravité intrinsèque du

risque
III - Analyse intrinsèque
? Besoin de sécurité associé (choisir parmi bles options proposées : D, I, C ou E) C

TI
?
Impact intrinsèque, en l’absence de toute mesure de sécurité. (Evaluer le 3
II
niveau d'impact intrinsèque)
? TE Type de la menace: (choisir parmi bles options proposées : A, E ou V) V
? Potentialité intrinsèque, ou encore exposition naturelle, en l’absence de toute 2

PI
mesure de sécurité (à évaluer)
? GI Gravité intrinsèque du scénario de risque : 3
? Réduction de l'impact
IV - Réduction impact
?
Des mesures susceptibles de réduire l’impact intrinsèque par une détection < Description des mesures de confinement >
DC
précoce ou un confinement sont-elles mises en œuvre ?
EC Evaluation de l'efficacité des mesures 3
Des mesures susceptibles de réduire l’impact intrinsèque par des mesures < Description des mesures de palliatives >
? Dpa
palliatives sont-elles mises en œuvre ?
EPa Evaluation de l'efficacité des mesures 3
? IR Evaluation de l'impact actuel du scénario de risque 2
?? Réduction de la potentialité
V - Réduction potentialité
?? Des mesures susceptibles de réduire la potentialité intrinsèque par des < Description des mesures dissuasives >
DD mesures dissuasives sont-elles mises en œuvre ?
ED Evaluation de l'efficacité des mesures 1
Des mesures susceptibles de réduire la potentialité intrinsèque par des < Description des mesures préventives >
? DPr
mesures préventives sont-elles mises en œuvre ?
EPr Evaluation de l'efficacité des mesures 3
? PR Evaluation de la potentialité actuelle du scénario de risque 3
Gravité actuelle (ou résiduelle) du risque

VI - Gravité
actuelle
? GR Evaluation de la Gravité actuelle ou résiduelle du risque : 2
?
Description du scénario de risque résiduel ou d'éventuels risques résiduels < Description des risques résiduels >
On complètera donc la fiche en remplissant les lignes :

DC avec la description des mesures de confinement
EC avec l’évaluation de l’efficacité des mesures de confinement
DPa avec la description des mesures palliatives
EPa avec l’efficacité évaluée de mesures palliatives
IR avec l’évaluation de l’impact résiduel
DD avec la description des mesures dissuasives
ED avec l’évaluation de l’efficacité des mesures dissuasives
DPr avec la description des mesures préventives
EPr avec l’évaluation de l’efficacité des mesures de prévention
PR avec l’évaluation de la potentialité résiduelle
La ligne GR de la gravité résiduelle du scénario sera remplie automatiquement

8. Annexe 1 :
Typologie de dysfonctionnements
Pour la recherche des dysfonctionnements au sein d’une activité ou dans un processus donné, on peut
s’appuyer sur la typologie suivante :
Défaut de ponctualité (retard) :

Les tâches prévues ou les activités ne sont pas effectuées dans les délais prévus.
Non conformité :
Les tâches prévues ou les activités ne sont pas effectuées conformément à ce qui est spécifié.
Manque d’exhaustivité :
Les tâches prévues ou les activités ne sont effectuées que partiellement (mais ce qui est effectué est con-
forme à ce qui est spécifié).
Défaut de discrétion :
Des informations sont divulguées à l’occasion de l’accomplissement des tâches ou activités.

9. Annexe 2 :
Compléments sur l’échelle d’impact
Niveau 4 : Vital
A ce niveau le dysfonctionnement redouté est extrêmement grave et met en danger l’existence
même ou la survie de l’entité ou de l’une de ses activités majeures.
Si un tel dysfonctionnement survient, l’ensemble du personnel est concerné et peut se sentir mena-
cé dans son emploi.
Pour des organismes dont la fonction ne saurait être remise en cause, en particulier les services pu-
blics, ce niveau de gravité peut remettre en question l'existence du service et le redéploiement de la
fonction dans d'autres services ou ministères. Un tel niveau peut également être défini en liaison
avec la gêne occasionnée dans le public : nombre de personnes touchées et durée de la perturba-
tion.
Pour les sociétés commerciales et en termes financiers, il est souvent judicieux de considérer, à ce
niveau, une perte conduisant à un déficit tel que les actionnaires pourraient se désengager (avec
chute du titre pour les sociétés cotées).
C’est l‘équivalent, dans le domaine de la santé des personnes, d‘un accident ou d’une maladie « ex-
trêmement grave », assorti d’un « diagnostic réservé » de la part des médecins.
En cas de survie, les séquelles sont importantes et durables.
Niveau 3 : Très Grave
Il s’agit là des dysfonctionnements très graves au niveau de l’entité, sans que son avenir ne soit
compromis.
A ce niveau de gravité, l’ensemble ou une grande partie du personnel est concerné, dans ses rela-
tions sociales et dans ses conditions de travail, mais sans risque direct pour son emploi.
En termes financiers, cela peut amputer significativement le résultat de l'exercice, sans que les ac-
tionnaires se désengagent massivement.
En terme d'image, on considérera souvent à ce niveau une perte d'image dommageable qu'il faudra
plusieurs mois à remonter, même si l'impact financier ne peut être évalué avec précision.
Des sinistres conduisant à une désorganisation notable de l'entreprise pendant une durée de plu-
sieurs mois seront aussi souvent évalués à ce niveau.
Niveau 2 : Important
Il s’agit là de dysfonctionnements ayant un impact notable au niveau des opérations de l’entité, de
ses résultats ou de son image, mais restant globalement supportables.
Seule une partie limitée du personnel serait très impliquée dans le traitement des conséquences du
dysfonctionnement avec un impact significatif sur les conditions de travail.
Niveau 1 : Non significatif
A ce niveau les dommages encourus n’ont pratiquement pas d’impact sur les résultats de l’entité ni
sur son image, même si certaines personnes sont fortement impliquées dans le rétablissement de la
situation d’origine.

10. Annexe 3 :
Exemple d’échelle de valeur de dysfonc-
tionnements
Un exemple partiel en est donné ci-dessous, pour un responsable de l’activité de gestion des Ressources
Humaines.
Dysfonctionnement Niveau 1 Niveau 2 Niveau 3 Niveau 4

Non significatif Important Très Grave Vital
Falsification des données de paye Perte < 0.1 M€ Perte comprise entre Perte comprise entre Perte > 10 M€
conduisant à une fraude 0.1 M€ et 1 M€ 1 et 10 M€
Divulgation d’informations sur des Divulgation du sa- Divulgation des sa- Divulgation répétée
données personnelles laire d’un employé laires de l’ensemble des salaires du per-
du personnel sonnel
Retard dans le paiement des salaires Retard < 2 jours Retard compris entre Retard > 15 jours
2 et 15 jours
Destruction des données de base Effacement des Effacement des Destruction des
concernant le règlement de la paye données récentes données de l’année données et de tout
(calcul et paramétrage) (moins d’un mois) l’historique

11. Annexe 4 :
Typologie d’éléments du système
d’information
Les éléments du système d’information impliqués dans un incident peuvent être décrits selon la typologie
décrite ci-dessous :
— Les moyens matériels nécessaires à l’accomplissement d’un service :
Les moyens courants (locaux, équipements de bureaux, téléphones et télécopieurs, équipe-
ments spécifiques, etc.),
Les moyens informatiques (serveurs, stations de travail, réseaux de données, etc.),
Les moyens documentaires généraux ou spécifiques de l'activité,
Les moyens de liaison et de communication (courrier, réseau téléphonique, etc.).
— Les moyens immatériels :
Les données (fichiers, bases de données, éléments de référence nécessaires à l'activité),
Les programmes (logiciels de base, applicatifs, etc.),
— Les moyens matériels supports de données ou de moyens immatériels :
Media,
Moyens d’accès aux données (clés) ou aux programmes (clés, licences, jetons, etc.)
— Les moyens en personnel :
Le personnel indispensable (compétence, pouvoir de décision, etc.).

12. Annexe 5 :
Types d’incident et d’événements
déclencheurs
Attention les termes d’actif et d’actif secondaire apparaissent dans les tableaux mais n’ont jamais été uti-
lisés dans le corps du texte
Tableau d'analyse préliminaire des menaces (causes des dysfonctionnements)

Type d'actif Type de Type de dommage Evénements déclencheurs possibles
conséquence
Élément matériel : Indisponibilité Endommagement Événement naturel accidentel dû à l'environnement :

physique - Incendie
Équipement fonctionnel, - Inondation
câblage, dispositifs de - surcharge éléctrique
sécurité, etc. - pollution chimique, vieillissement, etc.
- etc.
Media matériel support Accident provoqué par erreur humaine
de logiciel, - Erreur de manipulation
d'automatisme, de - Erreur de procédure
paramètres de processus Malveillance :
ou de données
- Dégradation volontaire physique directe
- Dégradation indirecte (accident provoqué)
Inopérabilité Accident touchant le personnel d'exploitation :
- Intoxication alimentaire
- Epidémie ou pandémie
Accident touchant des éléments nécessaires aux opérations :
- Destruction de licence ou de jeton
- Destruction ou endommagement de clé
- Absence d'énergie, de climatisation,
- Incapacité logistique (locaux, transports, restauration, etc.)
Erreur humaine touchant des éléments nécessaires aux opérations :
- Perte de licence, de jeton ou de clé
- Moyen de lecture inadapté (non conservé ou non mis à jour)
Action volontaire du personnel d'exploitation :
- Démission collective massive
- Mouvement social avec arrêt de travail
Inexploitabilité Non fonctionnement matériel :
- Panne matérielle
- Saturation accidentelle (réseau, système)
Malveillance :
- Saturation volontaire (attaque en déni de service)
Disparition Disparition accidentelle :
- Perte / Oubli
Disparition volontaire :
- Vol
Défaut Altération Modification par erreur de la configuration matérielle :
d'intégrité - modification erronée de câblage
- suppression/inhibition par erreur de dispositifs de sécurité
Modification volontaire de la configuration matérielle :
- modification de câblage
- suppression/inhibition volontaire de dispositifs de sécurité
Échange Echange volontaire avec un élément matériiel modifié
Divulgation Duplication de Duplication volontaire de l'élément matériel
l'élément matériel
Acquisition par un Acquisition accidentelle :
tiers de l'élément - Perte / Oubli
matériel - Envoi par erreur ou accident à un mauvais destinataire
Disparition volontaire :
- Vol

Tableau d'analyse préliminaire des menaces (causes des dommages)
Type d'actif secondaire Type de Type de dommage Evénements déclencheurs possibles
conséquence
Élément immatériel : Indisponibilité Endommagement Accident provoqué par erreur humaine

logique - Erreur de manipulation entâchant la cohérence des éléments
Logiciel, automatisme, - Erreur de procédure
paramétrage de Malveillance :
processus, procédure, - Dégradation volontaire directe
etc. - Dégradation indirecte (accident provoqué)
Données (fichiers Inopérabilité Accident touchant des éléments nécessaires aux opérations :
constitués, données - Destruction de licence ou de jeton
fugitives, etc.) - Destruction ou endommagement de clé
Erreur humaine touchant des éléments nécessaires aux opérations :
- Perte de licence, de jeton ou de clé
- Logiciel de lecture inadapté (non conservé ou non mis à jour)
Inexploitabilité Non fonctionnement logiciel :
- Panne logicielle
- Saturation accidentelle (incapacité système à traiter des appels
mutiples)
Blocage de comptes utilisateurs :
- Attaque en déni de service
- Blocage volontaire pour raisons de sécurité
Disparition Accident provoqué par erreur humaine
- Erreur de manipulation ou procédure entraînant l'effacement de
l'élément
Malveillance :
- Effacement volontaire direct
- Effacement indirect provoqué
Défaut Altération logique Modification par erreur de la configuration logicielle ou des données :
d'intégrité - erreur de frappe ou de saisie
- modification erronée de séquencement et d'enchaînements
- suppression/inhibition par erreur de dispositifs de sécurité
Modification volontaire de la configuration logicielle ou des données :
- falsification de données
- falsification de programmes
- suppression/inhibition volontaire de dispositifs de sécurité
Divulgation Copie de l'élément Duplication volontaire de l'élément immatériel
Acquisition par un Acquisition accidentelle :

tiers - Non effacement avant rebut, transfert, etc.
- Envoi par erreur ou accident à un mauvais destinataire
Services extérieurs ou Indisponibilité Inopérabilité Accident touchant le personnel d'exploitation :
tiers - Intoxication alimentaire
- Epidémie ou pandémie
Accident touchant des éléments nécessaires aux opérations :
- Indisponibilité des moyens de communication avec le prestataire
- Indisponibiilité des conditions administratives (contrat, financement)
Action volontaire du personnel d'exploitation :
- Démission collective massive
- Mouvement social avec arrêt de travail
Inexploitabilité Non fonctionnement des éqipements du prestataire :
- Panne matérielle
- Saturation accidentelle (réseau, système)
Malveillance :
- Saturation volontaire (attaque en déni de service)
Disparition Disparition du prestataire :
- Dépôt de bilan
Arrêt volontaire d'activité :
- Cessation d'activité (partielle ou totale)

13. Annexe 6 :
Exposition naturelle standard
Tableau des événements : types et exposition naturelle
Exposition
Code naturelle
Type Événement
type standard
CLUSIF
Absence de personnel de partenaire 3
Absence accidentelle de personnel AB.P
Absence de personnel interne 2
Absence de service : Climatisation 2
Absence de service : Énergie 3
Absence de service : Impossibilité d'accès aux locaux 2
Absence de service AB.S
Absence de maintenance applicative ou maintenance applicative impossible 3
Absence de maintenance système ou maintenance système impossible 2

Foudroiement 2
Accident grave d'environnement AC.E Incendie 2
Inondation 2
Panne d'équipement 3
Accident matériel AC.M Panne d'équipement de servitude (alimentation électrique, alimentation en
2
fluide, etc.)
Absence volontaire de personnel AV.P Conflit social avec grève 2
Bug bloquant dû à une erreur de conception ou d'écriture de programme
Erreur de conception ER.L 3
(interne)
Perte ou oubli de document ou de media 3
Erreur matérielle ou de comportement
ER.P Erreur de manipulation ou dans le suivi d'une procédure 3
du personnel
Erreur de saisie ou de frappe 3
Dégât dû au vieillissement 2
Dégât des eaux 3
Incident dû à l'environnement IC.E
Dégât dû à la pollution 2
Surcharge électrique 2
Incident d'exploitation 3
Bug bloquant dans un logiciel système ou un progiciel 2
Incident logique ou fonctionnel IF.L
Saturation bloquante pour cause externe (ver) 3
Virus 4
Attaque en blocage de comptes 2
Effacement volontaire ou pollution massive de configurations systèmes 2
Effacement volontaire direct de supports logiques ou physiques 2
Captation électromagnétique 2
Malveillance menée par voie logique Falsification logique (données ou fonctions) 3
MA.L
ou fonctionnelle Création de faux (messages ou données) 3
Rejeu de transaction 2
Saturation malveillante d'équipements informatiques ou réseaux 3
Destruction logique totale (fichiers et leurs sauvegardes) 2
Détournement logique de fichiers ou données (téléchargement ou copie) 3
Manipulation ou falsification matérielle d'équipement 2
Terrorisme 2
Malveillance menée par voie physique MA.P
Vandalisme 2
Vol physique 2
Procédures inadéquates 2
Procédures inappliquées par manque de moyens 2
Procédures non conformes PR.N
Procédures inappliquées par méconnaissance 2
Procédures inappliquées volontairement 2

14. Annexe 7 :
Échelles d’évaluation des facteurs
de réduction de risques
Efficacité des mesures dissuasives
Niveau 1 : L’effet dissuasif est très faible ou nul.
L’auteur peut logiquement penser qu’il n’encourrait aucun risque personnel : il peut penser qu’il
ne serait pas identifié ou qu’il aurait de très sérieux arguments pour réfuter toute imputation de
l’action ou que les sanctions seraient très faibles.
Niveau 2 : L’effet dissuasif est moyen.
L’auteur peut logiquement penser qu’il encourrait un risque faible et qu’en tout état de cause les
préjudices personnels qu’il aurait à subir resteraient supportables.
Niveau 3 : L’effet dissuasif est important.
Un auteur rationnel devrait logiquement penser qu’il encourt un risque important : il devrait sa-
voir qu’il serait sans doute identifié et que les préjudices qu’il aurait à subir seraient graves.
Niveau 4 : L’effet dissuasif est très important.
Un auteur rationnel devrait logiquement abandonner toute idée d’action. Il devrait savoir qu’il se-
ra presque certainement démasqué et que les sanctions encourues sont hors de proportion avec le
gain espéré.
Efficacité des mesures préventives

Niveau 1 : L’effet préventif est très faible ou nul.
Toute personne proche ou appartenant à l’entreprise ou tout initié la connaissant un minimum
est capable de déclencher un tel scénario, avec des moyens qu’il est facile d’acquérir.
Des circonstances tout à fait courantes (maladresse, erreur, conditions défavorables non excep-
tionnelles) peuvent être à l’origine d’un tel scénario malgré les mesures existantes.
Niveau 2 : L’effet préventif est moyen.
Le scénario peut être mis en œuvre par un professionnel sans autres moyens que ceux dont dis-
posent les personnels de la profession.
Des circonstances naturelles rares peuvent aboutir à ce résultat malgré les mesures existantes.
Niveau 3 : L’effet préventif est important.
Seul un spécialiste, un professionnel doté de moyens très importants, ou une collusion entre plu-
sieurs professionnels ayant des domaines différents peuvent aboutir.
Concours de circonstances rares ou circonstances exceptionnelles exigées pour éviter les mesures
de confinement.
Niveau 4 : L’effet préventif est très important.
Seuls quelques experts, dotés de moyens très importants, peuvent aboutir.

Seuls des concours exceptionnels de circonstances exceptionnelles peuvent conduire à ce scéna-
rio.
Efficacité des mesures de confinement

Niveau 1 : L’effet de confinement est très faible ou nul.
Soit le sinistre ne peut être limité dans ses conséquences directes, soit il ne sera détecté qu’au bout
d’un délai important.
Les mesures que l’on peut prendre alors n’auront qu’une influence très limitée sur le niveau des
conséquences directes.
Niveau 2 : L’effet de confinement est moyen.
Le sinistre peut être limité dans ses conséquences directes mais l’effet des mesures de confine-
ment est très limité, ou le délai de détection n’est pas rapide et/ou les réactions sont tardives.
Les mesures que l’on peut prendre alors ont une influence réelle sur l’impact, mais l’ampleur des
conséquences directes reste importante.
Niveau 3 : L’effet de confinement est important.
Les limitations absolues ont un effet important sur les conséquences. S’il s’agit de détection, le
délai est rapide et les réactions sont prises sans délai.
Les mesures que l’on peut prendre alors ont une influence réelle sur l’impact direct, qui est réel
mais limité et circonscrit.
Niveau 4 : L’effet est très important.
S’il s’agit de détection, le début de sinistre est détecté en temps réel et les mesures déclenchées
immédiatement.
Les conséquences directes seront limitées aux détériorations immédiates dues à l’accident, l’erreur
ou l’acte volontaire, avec un effet important d’atténuation de l’impact.
L’effet de confinement induit par des limitations absolues est très important et l’impact très sé-
rieusement réduit.
Efficacité des mesures palliatives
Niveau 1 : L’effet de limitation des conséquences indirectes est très faible ou nul.
Les mesures seront totalement improvisées et/ou il est raisonnable de penser que leur effet sera
très faible.
Niveau 2 : L’effet de limitation des conséquences indirectes est moyen.
Les solutions de secours ou moyens palliatifs ont été prévus globalement et pour l’essentiel, mais
l’organisation de détail n’a pas été faite. Il est raisonnable de penser qu’il résultera de ce manque
de préparation un manque d’efficacité très net des mesures prévues. Le délai de reprise du fonc-
tionnement normal de l’activité ne peut être connu avec précision ou ne changera pas fondamen-
talement le niveau de gravité du sinistre.
Niveau 3 : L’effet de limitation des conséquences indirectes est important.
Les mesures ont été analysées et organisées dans le détail, puis validées. Le délai de reprise du
fonctionnement normal de l’activité peut être estimé ou connu avec précision et il est tel que cela
réduira notablement la gravité des conséquences indirectes du scénario.
Niveau 4 : L’effet de limitation des conséquences indirectes est très important.
Le fonctionnement normal de l’activité est assuré sans discontinuité notable.

L’ESPRIT D’ÉCHANGE
CLUB DE LA SÉCURITÉ DE L'INFORMATION FRANÇAIS

11, rue de Mogador
75009 Paris
01 53 25 08 80
clusif@clusif.fr
Téléchargez les productions du CLUSIF sur

www.clusif.fr

CLUSIF 2013 MEHARI Manager

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CLUSIF 2013 MEHARI Manager

Transféré par

Droits d'auteur :

Formats disponibles

METHODES

CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS

MEHARI Manager 3/28 © CLUSIF 2013

MEHARI Manager 4/28 © CLUSIF 2013

Le schéma ci-dessous résume la démarche.

MEHARI Manager 5/28 © CLUSIF 2013

3.1. Identification des dysfonctionnements redoutés

3.1.1 Résultats attendus

MEHARI Manager 6/28 © CLUSIF 2013

3.2.1 Échelle d’impact

3.2.2 Critères d’impact et seuils d’impact

MEHARI Manager 7/28 © CLUSIF 2013

MEHARI Manager 8/28 © CLUSIF 2013

4.1. Identification des incidents pouvant conduire aux

4.1.1 Description de l’élément du système d’information impliqué dans

4.1.2 Le dommage subi par l’élément du SI

4.2. Identification des causes d’incidents

MEHARI Manager 9/28 © CLUSIF 2013

4.2.2 Identification des circonstances de déclenchement

4.3. Identification des scénarios de risque

Fiche n° < Référence du risque >

Intitulé du risque : < Intitulé du risque >

? Événement déclenchant (menace) : < Description des évènements déclenchant >

MEHARI Manager 10/28 © CLUSIF 2013

4.4. Gravité intrinsèque du scénario de risque

4.4.2 Évaluation de la potentialité intrinsèque ou « Exposition naturelle »

MEHARI Manager 11/28 © CLUSIF 2013

4.4.3 Gravité intrinsèque de chaque scénario de risque

MEHARI Manager 12/28 © CLUSIF 2013

I=4 G=2 G=3 G=4 G=4

I=3 G=2 G=3 G=3 G=4

I=2 G=1 G=2 G=2 G=3

I=1 G=1 G=1 G=1 G=2

P=1 P=2 P=3 P=4

Grille d’acceptabilité des risques

? B es oin de s écurité as s ocié (chois ir parmi les options propos ées : D , I, C C

? P otentialité intrins èque, ou encore expos ition naturelle, en l’abs ence de 3

On remplira donc cette fiche en complétant les lignes :

MEHARI Manager 13/28 © CLUSIF 2013

5.1. Les facteurs de réduction de la potentialité

MEHARI Manager 14/28 © CLUSIF 2013

5.1.3 Évaluation de la potentialité résiduelle du scénario de risque

5.2. Les facteurs de réduction de l’impact

5.2.1 Le confinement du risque

MEHARI Manager 15/28 © CLUSIF 2013

5.2.2 Les mesures palliatives

MEHARI Manager 16/28 © CLUSIF 2013

5.3. Gravité résiduelle d’un scénario de risque

? R éduc tion de l'impac t

? IR É valuation de l'impact actuel du s cénario de ris que 4

?? R éduc tion de la potentialité

G ravité ac tuelle (ou rés iduelle) du ris que

? GR É valuation de la G ravité actuelle ou rés iduelle du ris que : 4

MEHARI Manager 17/28 © CLUSIF 2013

Fiche n° < Référence du risque >

Intitulé du risque : < Intitulé du risque >

? Événement déclenchant (menace) : < Description des évènements déclenchant >

? Analyse de l'impact, de la potentialité et de la gravité intrinsèque du

? Besoin de sécurité associé (choisir parmi bles options proposées : D, I, C ou E) C

? Potentialité intrinsèque, ou encore exposition naturelle, en l’absence de toute 2

? IR Evaluation de l'impact actuel du scénario de risque 2

Gravité actuelle (ou résiduelle) du risque

? GR Evaluation de la Gravité actuelle ou résiduelle du risque : 2