Introduction

La démarche "Mehari Manager" permet d'identifier les principales caractéristiques d'un scénario de risque san
d'information telle qu'elle peut être menée lors de la mise en œuvre d'une analyse de risque "Méhari Experte"
Elle permet par exemple d'effectuer une analyse dans le cadre d'un projet applicatif ou d'un nouveau système
Elle permet aussi de travailler avec les directions métiers en utilisant une terminologie et une démarche imméd
Enfin, elle permet aussi d'adresser les situations de risques spécifiques non couvertes par les référentiels Méha

La démarche "Mehari Manager" peut compléter une démarche analytique qui aura permis d'identifier les beso
pesant sur l'organisation ainsi que l'état des mesures de sécurité.
Idéalement, la démarche "Mehari Manager" est mise en œuvre via des réunions avec les principaux acteurs mé
considéré.
Ces réunions peuvent durer de 1 heure à 1 heure 30 et doivent se focaliser sur un risque ou une famille réduite
L'agenda d'une telle réunion peut, après une présentation de la démarche, suivre les différentes étapes définie

Pour plus d'information sur la démarche "Méhari Manager", il est possible de se réferrer à la documentation "M
clusif.

Précisions : la fiche template comporte en colonne A des boutons qui permettent de faire apparaitre des lignes
étape.
La feuille template est protégée, les cellules en jaune sont destinées à être remplies lors de la réunion, les autr
calculs effectués par la méthode.

Les onglets du présent fichier excel sont :

Introduction : présent onglet d'introduction rapide de l'outil
Licence : texte de la licence open-source (MEHARI PUBLIC LICENSE)
Présentation : onglet d'identification de l'étude
Fiche Template : onglet à remplir par risque analysé
Exemples de mesures : propose des exemples de mesures de réduction d'impact ou de potentialité classées pa
Gravité : table de calcul Méhari (à ne pas modifier ni supprimer)
Grilles_IP : table de calcul Méhari (à ne pas modifier ni supprimer)
 Licence
Le CLUSIF rappelle que MEHARI-Manager est destiné à des professionnels de la sécurité et vous invite à prendre conna
licence d’utilisation et de redistribution ci-dessous :

Mehari Public License

Version 2010 : 12 January 2010

MEHARI-Manager is an Open Information security risk management methodology provided as a spreadsheet containing f

Redistribution and use of this knowledge base and associated documentation ("MEHARI-Manager"), with or without modif
permitted provided that the following conditions are met:

1. Redistributions in any form must reproduce applicable copyright statements and notices, this list of conditions, and the
in the documentation and/or other materials provided with the distribution, and
2. Redistributions must contain a verbatim copy of this document.
3. No persons may sell this Methodology, charge for the distribution of this Methodology, or any medium of which this Met
without explicit consent from the copyright holder.
4. No persons may modify or change this Methodology for republication without explicit consent from the copyright holder.
5. All persons may utilize the Methodology or any portion of it to create or enhance commercial or free software, and copy
software under any terms, provided that they strictly meet all of the above conditions.

The CLUSIF may revise this license from time to time.

Each revision is distinguished by a version number.
You may use Mehari-Manager under terms of this license or under the terms of any subsequent revision of the license.

MEHARI-Manager IS PROVIDED BY THE CLUSIF AND ITS CONTRIBUTORS “AS IS” AND ANY EXPRESSED OR IMPL
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNE
PARTICULAR PURPOSE ARE DISCLAIMED.

IN NO EVENT SHALL THE CLUSIF, ITS CONTRIBUTORS, OR THE AUTHOR(S) OR OWNER(S) OF MEHARI BE LIAB
DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTE
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF MEHARI EVEN IF ADVISED OF THE P
SUCH DAMAGE.

The names of the authors and copyright holders must not be used in advertising or otherwise to promote the sale, use or
Mehari-Manager without specific, written prior permission from CLUSIF. Title to copyright in MEHARI shall at all times rem
holders.

MEHARI is a registered trademark of the CLUSIF.

Copyright 1997-2012 The CLUSIF, PARIS, France.

https://www.clusif.fr/

Page 2
 MEHARI - Manager
Clusif
http://www.clusif.fr

Version de l'outil : 0.3.8

Nom de la société :

Titre de l'analyse :

Responsable : Version :

Rédacteur : Date :

Personnes ayant
participé à l'analyse de
risques

Personnes ayant validé

l'analyse de risques

Description du contexte
:

Identification du
périmètre de l'analyse :
anager

clusif@clusif.fr
 Fiche Template 09/18/2023

Fiche n° < Référence du risque >

I - Référence

Intitulé du risque : < Intitulé du risque >

Date : <Date>

Descriptif du risque :
II - Description

Dysfonctionnement métier (ou conséquences "métier" de l'incident) : < Description des dysfonctionnements ou conséquences indirectes >
DD

Manifestation concrète de l'incident à l'origine du dysfonctionnement : < Description de l'incident à l'origine du dysfonctionnement >
DI

Événement déclenchant (menace) : < Description des évènements déclenchant >

DE

Analyse de l'impact, de la potentialité et de la gravité intrinsèques

du risque
III - Analyse intrinsèque

Besoin de sécurité associé (choisir parmi les options proposées : D, I, C ou E) C

TI

Impact intrinsèque, en l’absence de toute mesure de sécurité. (Évaluer le 3

II niveau d'impact intrinsèque)

TE
Type de la menace: (choisir parmi les options proposées : A, E ou V) V

Potentialité intrinsèque, ou encore exposition naturelle, en l’absence de toute 4

PI mesure de sécurité (à évaluer)

GI Gravité intrinsèque du scénario de risque : 4

692103835.xls 5/20
 Fiche Template 09/18/2023

Réduction de l'impact
Des mesures susceptibles de réduire l’impact par une détection précoce ou un < Description des mesures de confinement >
IV - Réduction impact

DC confinement sont-elles mises en œuvre ?

Évaluation de l'efficacité des mesures de détection précoce ou de confinement 2
EC

Des mesures susceptibles de réduire l’impact par des mesures palliatives sont- < Description des mesures palliatives >
Dpa elles mises en œuvre ?

Évaluation de l'efficacité des mesures palliatives 3

EPa

IR Évaluation de l'impact actuel du scénario de risque 4

Réduction de la potentialité
V - Réduction potentialité

Des mesures susceptibles de réduire la potentialité par des mesures < Description des mesures dissuasives >
DD dissuasives sont-elles mises en œuvre ?

ED Évaluation de l'efficacité des mesures dissuasives 3

Des mesures susceptibles de réduire la potentialité par des mesures < Description des mesures préventives >
DPr préventives sont-elles mises en œuvre ?

EPr Évaluation de l'efficacité des mesures préventives 3

PR
Évaluation de la potentialité actuelle du scénario de risque 3

Gravité actuelle (ou résiduelle) du risque

VI - Gravité
actuelle

GR
Évaluation de la Gravité actuelle ou résiduelle du risque : 4

Description du scénario de risque résiduel ou d'éventuels risques résiduels < Description des risques résiduels >

Mesures additionnelles à proposer :

VII - Préconisations

¨ <description et efficacité cible>

¨ <description et efficacité cible>
¨ <description et efficacité cible>
¨ <description et efficacité cible>
¨ <description et efficacité cible>

692103835.xls 6/20
Les mesures précisées ci-dessous ne le sont qu'à titre indicatif, et on surtout vocation à structurer l'analyse en précisant ce qui est du ressort de la dissuasion, de la p
Pour les cases qui ne spécifient aucune mesure, cela ne signifie pas forcément qu'il en existe pas (sauf bien entendu dans le cas de la dissuasion pour les événèneme
généraux correspondant aux évènements indiqués, ces types de mesures sont caduques. Par exemple, la notion de "confinement" pour une "perte de document ou d

Menaces Exemples de mesures de réduction de la potentialité

Catégorie Événement déclenchant Type Dissuasion
Absence de personnel de partenaire Accident
Absence accidentelle de
personnel
Absence de personnel interne Accident

Absence de service : Énergie Accident

Absence de service : Climatisation Accident

Absence ou indisponibilité
accidentelle de service
Absence de service : locaux Accident

Absence de maintenance applicative ou Accident

maintenance applicative impossible

Absence de maintenance système ou Accident

maintenance système impossible

Foudroiement Accident

Accident grave Incendie Accident

d'environnement
 Inondation Accident

Panne d'équipement informatique ou Accident

télécom
Accident matériel
Panne d'équipement de servitude Accident

Absence volontaire de Conflit social avec grève

action
personnel Volontaire

Bug bloquant dû à une erreur de

Erreur de conception conception ou d'écriture de programme Erreur
(interne)

Perte ou oubli de document ou de media Erreur

Erreur de manipulation ou dans le suivi

Erreur matérielle ou de d'une procédure
Erreur
comportement du personnel

Erreur de saisie ou de frappe Erreur

Dégât dû au vieillissement Accident

Dégât des eaux Accident

Incident dû à l'environnement
Incident dû à l'environnement
Surcharge électrique Accident

Dégât dû à la pollution Accident

Incident d'exploitation Accident

Bug bloquant dans un logiciel système ou Accident

un progiciel
Incident logique ou
fonctionnel

Saturation bloquante pour cause externe Accident

(ver)

Virus Accident

Attaque en blocage de compte action

Volontaire

Effacement volontaire ou polllution
massive de configurations systèmes
- Contrôle des accès et des privilèges
action administrateurs (ou super-utilisateurs)
- Enregistrement des accès aux ressources
Volontaire sensibles et aux procédures et utilitaires
privilégiés

- Contrôle des accès et des privilèges

Effacement volontaire direct de supports action administrateurs (ou super-utilisateurs)
logiques ou physiques Volontaire - contrôle et traçabilité des actions
d'administration, ou des utilitaires dédiés

Captation électromagnétique action

Volontaire

- Contrôle des accès et des privilèges

Falsification logique (données ou action administrateurs (ou super-utilisateurs)
fonctions) Volontaire - contrôle et traçabilité des actions
d'administration, ou des utilitaires dédiés

Malveillance menée par voie

logique ou fonctionnelle action
Création de faux (messages ou données)
Volontaire

action
Rejeu de transaction Volontaire

Saturation malveillante d'équipements action Enregistrement des accès aux ressources

informatiques ou réseaux Volontaire sensibles et aux procédures et utilitaires
privilégiés
 - Contrôle des accès et des privilèges
administrateurs (ou super-utilisateurs)
Destruction logique totale (fichiers et leurs action - Enregistrement des accès aux ressources
sauvegardes) Volontaire
sensibles et aux procédures et utilitaires
privilégiés

Détournement logique de fichiers ou action

données (téléchargement ou copie) Volontaire

Manipulation ou falsification matérielle action

d'équipement Volontaire

Terrorisme action
Volontaire
Malveillance menée par voie
action Surveillance des locaux (télésurveillance)
physique Vandalisme Volontaire et des intervenants externes (ménage)

Vol physique action Surveillance des locaux (télésurveillance)

Volontaire et des intervenants externes (ménage)

Procédures inadéquates Erreur

Procédures inappliquées par manque de Erreur
moyens
Procédures non conformes Procédures inappliquées par
méconnaissance Erreur

action
Procédures inappliquées volontairement
Volontaire
 écisant ce qui est du ressort de la dissuasion, de la prévention, du confinement ou de la palliation.
ndu dans le cas de la dissuasion pour les événènement qui ne sont pas des actions volontaires); mais que pour les cas
de "confinement" pour une "perte de document ou de media" n'a pas de réalité objective.
ures de réduction de la potentialité
Prévention
Continuité de l'alimentation électrique :
- analyse de la capacité
- tests et maintenance réguliers
- Procédures de secours
- analyse de la capacité
- tests et maintenance réguliers
- Procédures de secours
Gestion des fournisseurs stratégiques :
répartition du marché, analyse de
l'obsolescence, réversibilité dans les contrats
Gestion des fournisseurs stratégiques :
répartition du marché, analyse de
l'obsolescence, réversibilité dans les contrats
Protection contre la foudre :
- paratonnerre,
- protection contre les surtensions
prévention incendie :
- analyse des risques (foudre, électricité,
fumeurs, locaux mitoyens, etc…),
- protection spécifique (matériaux
incombustibles, disjoncteurs différentiels,
etc…),
- thermographie infrarouge, …
Exemples de mesures de réduction de l'impact
Confinement Palliation
Gestion du personnel et des partenaires
stratégiques
Gestion du personnel et des partenaires
stratégiques
- capacités combinées de détection des pannes
et d'intervention (clauses du contrat de Plans de reprise et de continuité du SI,
maintenance),
- redondance ou séparation/spécialisation des alimentation de secours (groupe)
alimentations
- capacités combinées de détection des pannes
et d'intervention (clauses du contrat de
maintenance), Plans de reprise et de continuité du SI
- redondance ou séparation/spécialisation des climatisation de secours
équipements
Plans de reprise et de continuité de
l'environnement de travail
permanence de la maintenance des
applications critiques : dépôt des sources,
permanence de la maintenance des
applications critiques : dépôt des sources,
Plans de reprise et de continuité du SI
capacités combinées de détection (détections
de différentes natures, surveillance des
installations, …) et d'extinction (disponibilité de
la surveillance et rapidité d'intervention, Plans de reprise et de continuité du SI
maintenance des équipements, formation des
personnels, …)
analyse des arrivées d'eau (internes et
externes) et équipements spécifiques (clapets
anti-retour, etc…)
redondance des équipements (clustering, Hot-
swap, etc…), ou bascule des systèmes
(virtualisation)
Redondance des équipements
Gestion des ressources humaines
- contrôle de la mise en production
- contrôle de la conformité des configurations
- Sécurité des processus de développement
applicatifs (tests de non-régressions, stress-
tests)
- Analyse de code, profiling applicatif
- Contrôle de la mise en production
- Contrôle de la conformité des configurations
- Authentification, gestion des accès, filtrage,
cloisonnement.
- Vérification des systèmes après intervention
Contrôle de saisie unitaires (double saisie,
plages, cohérence, comparaison, etc…)
Imputabilité des actions de saisie, contrôle
indépendant
gestion des versions de fichier, et politique
d'archivage
analyse des arrivées d'eau (internes et
externes) et équipements spécifiques (clapets
anti-retour, etc…)
capacité de détection et d'intervention Plans de reprise et de continuité du SI
Plans de reprise et de continuité du SI
Sécurité des équipements de serviture :
- contrats adaptés aux besoins,
- redondance ou remplacement rapide
- Plans de reprise et de continuité
opérationnelle
- Techniques de programmation sécurisée
(programmation défensive, typage fort,
whitelists, moindre privilège…) Organisation de la maintenance applicative,
- Sécurisation des routines et des appels et du support (qualité de l'assistance,
externes (encapsulation, gestion des erreurs et engagements contractuels et SLA si sous-
des exceptions, …), isolation des process (bac à traité)
sable, …)
- couplage faible des interfaces
Organisation du support (qualité de
l'assistance, engagements contractuels et
SLA si sous-traité)
- Contrôles permanents (vraisemblance, ...) sur
les traitements
- Sauvegardes des configurations
- cloisonnement des environnements de applicatives, réseau, etc… et des fichiers et
développement, test, exploitation
- Intégrer des points de consistance permettant configurations bureautiques
le retour à un état précédent stable
Contrôles permanents sur les données
(cohérence des lots d'enregistrements,
comparaison avec pannels, ...), détection des
tentatives de modification
Plan de sauvegardes des données
capacité de détection et d'intervention Plans de reprise et de continuité du SI
Qualité et sécurité de la fourniture électrique :
redondance, onduleur, maintenance et
vérification des équipements
Sécurité de l'architecture :
redondance, réplication, analyse et traitement infos de métrologie), et qualité des alertes
des SPOF
Tests réguliers
- contrôle de la mise en production
- contrôle de la conformité des configurations
Sécurité des processus de développement
applicatifs (tests de non-régressions, stress-
tests,
Authentification, gestion des accès, filtrage,
Vérification des systèmes après intervention
Protection antivirus,
patch management des postes de travail
Sécurité des équipements de serviture :
contrats adaptés aux besoins, redondance
ou remplacement rapide
Plan de sauvegardes des données
Détection et traitement des incidents
d'exploitation :
- niveau de supervision (qualitatif, quantitatif, Plans de reprises sur incident :
- procédures d'escalade
(rapidité, garanties d'acheminement, pré- - tests et entraînements
diagnostic, …) - sauvegardes et restaurations testées
- fiches d'intervention rédigées et
immédiatement disponibles
Organisation de la maintenance applicative,
et du support éditeur (qualité de
l'assistance, engagements contractuels et
SLA)
Détection et traitement des incidents :
- niveau de supervision (qualitatif, quantitatif,
métrologie), et qualité des alertes (rapidité,
garanties d'acheminement, pré-diagnostic, …)
- fiches d'intervention rédigées et
immédiatement disponibles
Capacité de surveillance et d'analyse des traces
Capacité de supervision et qualité de la cellule Plans de reprise et de continuité de
de crise : rapidité des actions, qualité des l'environnement de travail
analyses, coordination du déverminage
Maintien des comptes d'accès :
protection, procédures (recouvrement des
comptes), support

Authentification, gestion des accès, filtrage,
Vérification des systèmes après intervention
dispositifs antirayonnement (TEMPEST par
exemple)
- Chiffrement, protection intégrité, signature
électronique
- Contrôle des droits "cascadés" (comptes
utilisés par des scripts ou des processus
exécutant d'autres processus)
- Sécurité de la messagerie (chiffrement, etc…)
- confidentialité des adresses électroniques
(sensibilisation des utilisateurs)
Chiffrement, unicité des messages
Détection et traitement des incidents :
- niveau de supervision (qualitatif, quantitatif,
métrologie), et qualité des alertes (rapidité,
garanties d'acheminement, pré-diagnostic, …) Sauvegardes des configurations applicatives
et des fichiers de configurations
- fiches d'intervention rédigées et bureautiques
immédiatement disponibles
- capacité de surveillance et d'analyse des
traces
Plans de reprise et de continuité de
l'environnement de travail
Contrôles permanents (vraisemblance, ...) sur
les traitements
Gestion des accusé-réceptions de données
Détection et traitement des incidents :
- niveau de supervision (qualitatif, quantitatif,
métrologie), et qualité des alertes (rapidité,
garanties d'acheminement, pré-diagnostic, …)
- fiches d'intervention rédigées et
immédiatement disponibles
Capacité de surveillance et d'analyse des traces
 Gestion des sauvegardes sur supports non
réinscriptibles, avec externalisation de
l'archivage des supports

- Chiffrement des données - Authentification, gestion des accès, filtrage,

- Contrôle des accès et des privilèges - Vérification des systèmes après intervention,
administrateurs (ou super-utilisateurs) contrôle contrôle de la télémaintenance
et traçabilité des actions d'administration, ou - Clauses contractuelles de confidentialité et de
des utilitaires dédiés destruction des données

- Contrôle des accès physiques

- Procédures d'audit et de contrôle des réseaux

Contrôle des accès physiques Plans de reprise et de continuité du SI

Accessibilité des locaux sensibles, contrôle

d'accès, sécurité périmétrique Détection des intrusions Plans de reprise et de continuité du SI

- Classification des actifs et règles de

manipulation connues
- Sensibilisation et contrôle Cleardesk, Safedesk

- Recueil exhaustif des dispositions légales et

règlementaires Dans certains cas précis :
- Responsable des procédures désigné et - Plans de communication et/ou de
sensibilisé remédiation
- Audits de conformité
 Feuille de synthèse : Gravité globale des risques

Impact

4 2 3 4 4
3 2 3 3 4
2 1 2 2 3
1 1 1 1 2
1 2 3 4
Potentialité

692103835.xls ! Gravité 17 Décembre 2006

Grilles d'élaboration des STATUS-I

1. Scénarios de type Disponibilité

II = 1 II = 2 II = 3 II = 4

C 4 1 1 1 1 C 4 2 2 1 1 C 4 2 2 1 1 C 4 2 2 2 1
O 3 1 1 1 1 O 3 2 2 1 1 O 3 3 2 2 1 O 3 3 3 2 1
N 2 1 1 1 1 N 2 2 2 2 1 N 2 3 3 2 1 N 2 4 3 2 1
F 1 1 1 1 1 F 1 2 2 2 1 F 1 3 3 2 1 F 1 4 3 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P A L L P A L L P A L L P A L L

2. Scénarios de type Intégrité

II = 1 II = 2 II = 3 II = 4

C 4 1 1 1 1 C 4 1 1 1 1 C 4 1 1 1 1 C 4 1 1 1 1
O 3 1 1 1 1 O 3 2 2 1 1 O 3 2 2 1 1 O 3 2 2 2 1
N 2 1 1 1 1 N 2 2 2 2 1 N 2 3 3 2 1 N 2 3 3 2 1
F 1 1 1 1 1 F 1 2 2 2 1 F 1 3 3 2 1 F 1 4 3 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P A L L P A L L P A L L P A L L

3. Scénarios de type Confidentialité

II = 1 II = 2 II = 3 II = 4

C 4 1 1 1 1 C 4 2 1 1 1 C 4 2 2 1 1 C 4 2 2 1 1
O 3 1 1 1 1 O 3 2 1 1 1 O 3 2 2 1 1 O 3 2 2 2 1
N 2 1 1 1 1 N 2 2 2 1 1 N 2 3 3 2 1 N 2 3 3 3 2
F 1 1 1 1 1 F 1 2 2 1 1 F 1 3 3 2 1 F 1 4 4 3 2
1 1 1 1
P A L L P A L L P A L L P A L L

4. Scénarios de type Limitable

II = 1 II = 2 II = 3 II = 4
C 4 1 1 1 1 C 4 1 1 1 1 C 4 1 1 1 1 C 4 1 1 1 1
O 3 1 1 1 1 O 3 2 2 1 1 O 3 2 2 1 1 O 3 2 2 2 1

692103835.xls ! Grilles_IP 18 Décembre 2006

 N 2 1 1 1 1 N 2 2 2 2 1 N 2 3 3 2 1 N 2 3 3 2 1
F 1 1 1 1 1 F 1 2 2 2 1 F 1 3 3 2 1 F 1 4 3 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P A L L P A L L P A L L P A L L

692103835.xls ! Grilles_IP 19 Décembre 2006

Grilles d'élaboration des STATUS-P

1. Scénarios de type Accident

E X P O = 1 E X P O = 2 E X P O = 3 E X P O = 4

D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V

2. Scénarios de type Erreur

E X P O = 1 E X P O = 2 E X P O = 3 E X P O = 4

D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V

3. Scénarios de type action Volontaire

E X P O = 1 E X P O = 2 E X P O = 3 E X P O = 4

D 4 1 1 1 1 D 4 1 1 1 1 D 4 2 2 1 1 D 4 2 2 2 1
I 3 1 1 1 1 I 3 2 2 1 1 I 3 2 2 1 1 I 3 3 3 2 2
S 2 1 1 1 1 S 2 2 2 2 1 S 2 3 3 2 1 S 2 4 4 3 2
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 3 2
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V

692103835.xls ! Grilles_IP 20 Décembre 2006