Académique Documents
Professionnel Documents
Culture Documents
La démarche "Mehari Manager" permet d'identifier les principales caractéristiques d'un scénario de risque san
d'information telle qu'elle peut être menée lors de la mise en œuvre d'une analyse de risque "Méhari Experte"
Elle permet par exemple d'effectuer une analyse dans le cadre d'un projet applicatif ou d'un nouveau système
Elle permet aussi de travailler avec les directions métiers en utilisant une terminologie et une démarche imméd
Enfin, elle permet aussi d'adresser les situations de risques spécifiques non couvertes par les référentiels Méha
La démarche "Mehari Manager" peut compléter une démarche analytique qui aura permis d'identifier les beso
pesant sur l'organisation ainsi que l'état des mesures de sécurité.
Idéalement, la démarche "Mehari Manager" est mise en œuvre via des réunions avec les principaux acteurs mé
considéré.
Ces réunions peuvent durer de 1 heure à 1 heure 30 et doivent se focaliser sur un risque ou une famille réduite
L'agenda d'une telle réunion peut, après une présentation de la démarche, suivre les différentes étapes définie
Pour plus d'information sur la démarche "Méhari Manager", il est possible de se réferrer à la documentation "M
clusif.
Précisions : la fiche template comporte en colonne A des boutons qui permettent de faire apparaitre des lignes
étape.
La feuille template est protégée, les cellules en jaune sont destinées à être remplies lors de la réunion, les autr
calculs effectués par la méthode.
MEHARI-Manager is an Open Information security risk management methodology provided as a spreadsheet containing f
Redistribution and use of this knowledge base and associated documentation ("MEHARI-Manager"), with or without modif
permitted provided that the following conditions are met:
1. Redistributions in any form must reproduce applicable copyright statements and notices, this list of conditions, and the
in the documentation and/or other materials provided with the distribution, and
2. Redistributions must contain a verbatim copy of this document.
3. No persons may sell this Methodology, charge for the distribution of this Methodology, or any medium of which this Met
without explicit consent from the copyright holder.
4. No persons may modify or change this Methodology for republication without explicit consent from the copyright holder.
5. All persons may utilize the Methodology or any portion of it to create or enhance commercial or free software, and copy
software under any terms, provided that they strictly meet all of the above conditions.
MEHARI-Manager IS PROVIDED BY THE CLUSIF AND ITS CONTRIBUTORS “AS IS” AND ANY EXPRESSED OR IMPL
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNE
PARTICULAR PURPOSE ARE DISCLAIMED.
IN NO EVENT SHALL THE CLUSIF, ITS CONTRIBUTORS, OR THE AUTHOR(S) OR OWNER(S) OF MEHARI BE LIAB
DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTE
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF MEHARI EVEN IF ADVISED OF THE P
SUCH DAMAGE.
The names of the authors and copyright holders must not be used in advertising or otherwise to promote the sale, use or
Mehari-Manager without specific, written prior permission from CLUSIF. Title to copyright in MEHARI shall at all times rem
holders.
Page 2
MEHARI - Manager
Clusif
http://www.clusif.fr
Nom de la société :
Titre de l'analyse :
Responsable : Version :
Rédacteur : Date :
Personnes ayant
participé à l'analyse de
risques
Description du contexte
:
Identification du
périmètre de l'analyse :
anager
clusif@clusif.fr
Fiche Template 09/18/2023
Date : <Date>
Descriptif du risque :
II - Description
Dysfonctionnement métier (ou conséquences "métier" de l'incident) : < Description des dysfonctionnements ou conséquences indirectes >
DD
Manifestation concrète de l'incident à l'origine du dysfonctionnement : < Description de l'incident à l'origine du dysfonctionnement >
DI
TE
Type de la menace: (choisir parmi les options proposées : A, E ou V) V
692103835.xls 5/20
Fiche Template 09/18/2023
Réduction de l'impact
Des mesures susceptibles de réduire l’impact par une détection précoce ou un < Description des mesures de confinement >
IV - Réduction impact
Des mesures susceptibles de réduire l’impact par des mesures palliatives sont- < Description des mesures palliatives >
Dpa elles mises en œuvre ?
Réduction de la potentialité
V - Réduction potentialité
Des mesures susceptibles de réduire la potentialité par des mesures < Description des mesures dissuasives >
DD dissuasives sont-elles mises en œuvre ?
PR
Évaluation de la potentialité actuelle du scénario de risque 3
GR
Évaluation de la Gravité actuelle ou résiduelle du risque : 4
Description du scénario de risque résiduel ou d'éventuels risques résiduels < Description des risques résiduels >
692103835.xls 6/20
Les mesures précisées ci-dessous ne le sont qu'à titre indicatif, et on surtout vocation à structurer l'analyse en précisant ce qui est du ressort de la dissuasion, de la p
Pour les cases qui ne spécifient aucune mesure, cela ne signifie pas forcément qu'il en existe pas (sauf bien entendu dans le cas de la dissuasion pour les événèneme
généraux correspondant aux évènements indiqués, ces types de mesures sont caduques. Par exemple, la notion de "confinement" pour une "perte de document ou d
Foudroiement Accident
Incident dû à l'environnement
Incident dû à l'environnement
Surcharge électrique Accident
Virus Accident
action
Rejeu de transaction Volontaire
Terrorisme action
Volontaire
Malveillance menée par voie
action Surveillance des locaux (télésurveillance)
physique Vandalisme Volontaire et des intervenants externes (ménage)
action
Procédures inappliquées volontairement
Volontaire
écisant ce qui est du ressort de la dissuasion, de la prévention, du confinement ou de la palliation.
ndu dans le cas de la dissuasion pour les événènement qui ne sont pas des actions volontaires); mais que pour les cas
de "confinement" pour une "perte de document ou de media" n'a pas de réalité objective.
prévention incendie :
- analyse des risques (foudre, électricité, capacités combinées de détection (détections
de différentes natures, surveillance des
fumeurs, locaux mitoyens, etc…), installations, …) et d'extinction (disponibilité de
- protection spécifique (matériaux la surveillance et rapidité d'intervention, Plans de reprise et de continuité du SI
incombustibles, disjoncteurs différentiels,
etc…), maintenance des équipements, formation des
personnels, …)
- thermographie infrarouge, …
analyse des arrivées d'eau (internes et
externes) et équipements spécifiques (clapets capacité de détection et d'intervention Plans de reprise et de continuité du SI
anti-retour, etc…)
redondance des équipements (clustering, Hot-
swap, etc…), ou bascule des systèmes Plans de reprise et de continuité du SI
(virtualisation)
Sécurité des équipements de serviture :
Redondance des équipements - contrats adaptés aux besoins,
- redondance ou remplacement rapide
Contrôle de saisie unitaires (double saisie, Contrôles permanents sur les données
plages, cohérence, comparaison, etc…) (cohérence des lots d'enregistrements,
Imputabilité des actions de saisie, contrôle comparaison avec pannels, ...), détection des
indépendant tentatives de modification
gestion des versions de fichier, et politique Plan de sauvegardes des données
d'archivage
analyse des arrivées d'eau (internes et
externes) et équipements spécifiques (clapets capacité de détection et d'intervention Plans de reprise et de continuité du SI
anti-retour, etc…)
Qualité et sécurité de la fourniture électrique : Sécurité des équipements de serviture :
redondance, onduleur, maintenance et contrats adaptés aux besoins, redondance
vérification des équipements ou remplacement rapide
Impact
4 2 3 4 4
3 2 3 3 4
2 1 2 2 3
1 1 1 1 2
1 2 3 4
Potentialité
C 4 1 1 1 1 C 4 2 2 1 1 C 4 2 2 1 1 C 4 2 2 2 1
O 3 1 1 1 1 O 3 2 2 1 1 O 3 3 2 2 1 O 3 3 3 2 1
N 2 1 1 1 1 N 2 2 2 2 1 N 2 3 3 2 1 N 2 4 3 2 1
F 1 1 1 1 1 F 1 2 2 2 1 F 1 3 3 2 1 F 1 4 3 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P A L L P A L L P A L L P A L L
C 4 1 1 1 1 C 4 1 1 1 1 C 4 1 1 1 1 C 4 1 1 1 1
O 3 1 1 1 1 O 3 2 2 1 1 O 3 2 2 1 1 O 3 2 2 2 1
N 2 1 1 1 1 N 2 2 2 2 1 N 2 3 3 2 1 N 2 3 3 2 1
F 1 1 1 1 1 F 1 2 2 2 1 F 1 3 3 2 1 F 1 4 3 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P A L L P A L L P A L L P A L L
C 4 1 1 1 1 C 4 2 1 1 1 C 4 2 2 1 1 C 4 2 2 1 1
O 3 1 1 1 1 O 3 2 1 1 1 O 3 2 2 1 1 O 3 2 2 2 1
N 2 1 1 1 1 N 2 2 2 1 1 N 2 3 3 2 1 N 2 3 3 3 2
F 1 1 1 1 1 F 1 2 2 1 1 F 1 3 3 2 1 F 1 4 4 3 2
1 1 1 1
P A L L P A L L P A L L P A L L
D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V
D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V
D 4 1 1 1 1 D 4 1 1 1 1 D 4 2 2 1 1 D 4 2 2 2 1
I 3 1 1 1 1 I 3 2 2 1 1 I 3 2 2 1 1 I 3 3 3 2 2
S 2 1 1 1 1 S 2 2 2 2 1 S 2 3 3 2 1 S 2 4 4 3 2
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 3 2
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V