METHODES

MEHARI 2010
Manuel de référence de la base de connaissances Méhari 2010
Base Excel : DB-Mehari_2010_Exc_Ed1-1.xls
Base OpenOffice : DB-Mehari_2010_Ooo_Ed1-1.ods (nota une version 3.1 ou postérieure est requise)

Janvier 2010

Espace Méthodes

CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS

30, rue Pierre Sémard, 75009 PARIS

Tél. : +33 1 53 25 08 80 – Fax : +33 1 53 25 08 88 – e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr
MEHARI est une marque déposée par le CLUSIF.

La loi du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute représentation ou reproduction intégrale, ou partielle, fai-
te sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alinéa 1er de l'article 40)
Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les
articles 425 et suivants du Code Pénal
Sommaire
1 Feuilles de calcul contenues dans le classeur ........................................................................... 4

2 Description générale des feuilles de calcul utilisées ................................................................ 5

2.1 Appellation des feuilles de calcul.............................................................................................. 5
2.2 Feuille Intro ................................................................................................................................. 5
2.3 Feuille Licence............................................................................................................................. 6
2.4 Feuilles T1 et T2 ......................................................................................................................... 6
2.5 Feuille Classif............................................................................................................................... 6
2.6 Feuilles de diagnostic des services de sécurité........................................................................ 6
2.7 Feuille Services............................................................................................................................ 6
2.8 Feuille Thèmes ............................................................................................................................ 7
2.9 Feuille Score ISO........................................................................................................................ 7
2.10 Feuille Expo ................................................................................................................................ 7
2.11 Feuille Scénarios ......................................................................................................................... 8
2.12 Feuille Risk%actif ....................................................................................................................... 9
2.13 Feuille Risk%event ..................................................................................................................... 9
2.14 Feuille Plans d’action.................................................................................................................. 9
2.15 Feuille Obj_PA ......................................................................................................................... 10
2.16 Feuille Obj_Projets................................................................................................................... 10
2.17 Feuille Vulnérabilités types...................................................................................................... 11
2.18 Feuille Grilles_IP...................................................................................................................... 11
2.19 Feuille Gravité........................................................................................................................... 11
2.20 Feuille Corr_Services ............................................................................................................... 11
2.21 Feuille Codes ............................................................................................................................. 12
3 Traitements et calculs effectués ............................................................................................... 13
3.1 Traitements et fonctions Excel utilisées................................................................................ 13
3.2 Macros........................................................................................................................................ 15

MEHARI 2010 : Manuel de référence 3/16 © CLUSIF 2010

de la base de connaissances Excel
1 Feuilles de calcul contenues dans
le classeur
Les feuilles de calcul contenues dans le classeur distribué par le CLUSIF sont de plusieurs types:

— Des feuilles générales de mise en œuvre :

Intro

Licence
— 3 feuilles relatives à la classification des actifs :

T1 et T2

Classif
— Des feuilles relatives au diagnostic des services de sécurité

14 feuilles de questionnaires de diagnostic (une par domaine)

Une feuille récapitulative : Services

Thèmes : Une feuille récapitulative, par « thème » de sécurité

Score ISO : résultats de diagnostic selon la classification IS0 27001/27002
— Des feuilles relatives à l’évaluation des risques :

Expo, feuille d’évaluation de l’exposition naturelle aux risques

Scénarios, feuille descriptive des scénarios

Risk%actif et Risk%event, feuilles récapitulatives de la gravité des scénarios
— Des feuilles relatives à la préparation de plans d’action :

Plans_d’action,

Obj_PA : Récapitulatif des objectifs issus des plans d’action

Obj_Projets : objectifs par projet
— 4 feuilles d’éléments permanents et de paramétrage de la méthode :

Vulnérabilités types

2 feuilles de paramétrage : Grille-IP et Gravité

1 feuille de correspondance entre les services de Méhari 2010 et de Méhari 2007

1 feuille de codes (masquée) servant dans la description des scénarios

MEHARI 2010 : Manuel de référence 4/16 © CLUSIF 2010

de la base de connaissances Excel
 2 Description générale des feuilles
de calcul utilisées
2.1 Appellation des feuilles de calcul
Les feuilles de calcul ont des appellations qui sont reprises dans les descriptions ci-dessous, mais
sont également utilisées par des macro-instructions utilisées pour la mise à jour des bases. Il est
donc recommandé de ne pas les changer (sinon il faut intervenir sur les macros).
Cependant, il est possible, lors d’un travail d’analyse Mehari, d’ajouter des feuilles pour décrire
des éléments de suivi ou de description des actions et des intervenants impliqués.
Le nom du classeur lui-même est indifférent.

2.2 Feuille Intro

La feuille Intro reprend en le simplifiant ce document et donne des indications sur l’utilisation de
la base.
Cette feuille permet aussi (sous Excel) de masquer certaines feuilles dont l’utilisateur n’a pas
l’usage à un instant donné.
Il est ainsi possible de masquer, en fonction des phases de travail (enjeux, diagnostic, analyse, trai-
tement, paramétrage), certaines feuilles de calcul.

Onglet Objectif
Intro Description et navigation entre les onglets du fichier de la base de connaissance

Licence Rappel de la licence Publique de MEHARI

Module d'analyse des enjeux et classification des actifs: Tableaux de
T1 et T2 Tableaux de de classification classification : Masquer 
Classif Classification des actifs T1, T2 et Classif
Module du diagnostic des services de sécurité (ou d'audit)
Domaines 01 Org à 14 MSI Questionnaires relatifs aux domaines (01 à 14) de sécurité MEHARI Feuilles de
Services Récapitulé de la qualité des services de sécurité (avec variantes) questionnaires :
Masquer 
Thèmes de sécurité Mehari : regroupement des services et sous-services en 10 centres de 01Org à 14 Msi
Thèmes
d’intérêts et 18 axes de représentation Thèmes et Score ISO
Score ISO Table de scoring ISO 27002 suite au diagnostic des services Mehari
Module d'analyse de risque (identification, estimation et évaluation des risques) Feuilles d'analyse des
Expo Tableau des expositions naturelles aux menaces risques :
Scénarios Scénarios de risque incluant le calcul des risques Evénements types, Masquer 
Risk%Actif Panorama de gravité des scénarios par type d'actif Risques par actifs
Risk%event Panorama de gravité des scénarios par type d'événement ou événements
Traitement des risques : options, plans de réduction et suivi Feuilles de traitement :
Plans_d'action Sélection de plans de réduction des risques Plans_d'action
Masquer 
Obj_PA Sélection de plans de réduction des risques Obj_PA
Obj_Projets Sélection de plans de réduction des risques Obj_Projets
Eléments permanents et de paramétrage de la méthode Feuilles des
Vulnérabilités types Les onglets qui suivent sont apportés avec la méthode vulnérabilités types,
Gravité Détermination de la Gravité du risque en fonction de la Potentialité et de l’Impact Grilles d'acceptabilité
Grilles IP Tables de détermination d’Impact et de Potentialité des scénarios Masquer 
des risques et
d'évaluation de I et P,
Corr_Services Table de correspondance entre les services de Méhari 2010 et ceux de la version 2007
Corr_Services

MEHARI 2010 : Manuel de référence 5/16 © CLUSIF 2010

de la base de connaissances Excel
2.3 Feuille Licence
Cette feuille est un rappel de la licence d’utilisation et de redistribution de la base de connaissance
de Méhari.

2.4 Feuilles T1 et T2
Les feuilles T1 et T2 sont utilisées dans le processus de classification des actifs (voir guide corres-
pondant).

2.5 Feuille Classif

Cette feuille reçoit les synthèses en provenance de T1 et T2 et contient pour chaque type d’actif
et chaque critère de classification, la classification de l’actif utilisé comme Impact Intrinsèque
pour l’évaluation des scénarios de risque.
Le report de T1 et T2 à Classif est fait automatiquement.

2.6 Feuilles de diagnostic des services de sécurité

Ces feuilles, au nombre de 14, sont organisées par domaine et numérotées de 01 Org à 14 Msi
Toutes ces feuilles ont la même organisation :

— Colonne A : numéro de service, de sous-service ou de question

— Colonne B : libellé du service, du sous-service ou de la question
— Colonnes C (R-V1) à F (R-V2) : réservées aux réponses possibles pour 4 variantes de
domaine maximum dans le schéma d’audit. Le nombre de variantes retenues doit
être indiqué sur la première ligne, colonne C.
Les réponses à chaque question doivent être 1 (Oui), 0 (Non) ou X (Sans Objet).
Il est possible de déclarer globalement un sous-service comme sans objet en indiquant
un X sur la ligne du titre du sous-service, dans la colonne de la variante considérée (cette
déclaration sera reportée dans la feuille Services.
— Colonnes G à I : paramètres de calcul de la qualité de service (voir le guide du diagnos-
tic)
— Colonne J : paramètre caractéristique des questions permettant de faire des sélections de
questions
— Colonne K : Référence au (ou aux) paragraphe de l’ISO/IEC 27002 pertinent pour la
question
— Colonne L : réservée pour des commentaires libres de l’auditeur.
Les seules colonnes à remplir lors d’un diagnostic sont C à F et L.

2.7 Feuille Services

La feuille Services fait la synthèse des diagnostics et permet d’évaluer la qualité des services de sécu-
rité. Chaque service est évalué, sur une échelle allant de 0 à 4 et les évaluations concernant la qualité
de chaque service, pour chaque variante retenue du schéma d’audit, sont regroupées dans la feuille
Services :

MEHARI 2010 : Manuel de référence 6/16 © CLUSIF 2010

de la base de connaissances Excel
 — Colonne A : numéro du domaine
Nota : Le type noté dans cette colonne doit être numérique et compris entre 01 et 14.
— Colonnes B et C : numéro et description des services de sécurité (standard Méhari)
— Colonne D : Indique le thème de sécurité auquel le service répond (voir feuille thèmes).
— E à H : Etat calculé des services de sécurité. En fonction du schéma d’audit (appelé pré-
cédemment décomposition cellulaire), plusieurs diagnostics d’un même service peuvent
être réalisés pour différentes ressources. Les réponses ayant été notées dans des colon-
nes différentes dans chaque domaine sont utilisées pour calculer la qualité de chaque
service pour chaque variante.
Les questions sans objet (notées X) ne sont pas prises en compte pour la pondération.
En cas de réponses partielles, pour un service (ou une variante de service), la moyenne
pondérée est calculée en prenant les notes des questions auxquelles il a été répondu,
mais en divisant par la somme des poids de toutes les questions (sauf questions sans ob-
jet avec un X comme réponse).
— Colonnes I : minimum des variantes retenues. Ce minimum est utilisé pour l’évaluation
des risques. Le minimum est arrondi à la valeur entière la plus proche avec un mini-
mum de 1.
— Colonne J : Objectif de qualité retenu par les divers plans d’action (voir plus loin dans ce
document) ou pour les objectifs fixés par projet. Il est en effet possible, dans les plans
d’action de fixer un objectif aux services de sécurité. De même on peut assigner des ob-
jectifs à plusieurs services de sécurité dans des projets (voir plus loin). Si un service a fait
l’objet de plusieurs décisions, le niveau maximum fixé comme objectif est reporté auto-
matiquement dans cette colonne.
La valeur de la cellule en ligne 2, colonne J, indique la prise en compte de l’objectif (Va-
leur 1) ou pas (valeur 0).
— Colonne K : colonne de travail utilisée par les plans d’action et la simulation des risques
résiduels. Selon l’option retenue, cette colonne peut contenir soit la qualité actuelle du
service soit sa qualité objectif (plus exactement le maximum de la qualité actuelle et de la
qualité objectif).

2.8 Feuille Thèmes

Cette feuille indique des « thèmes de sécurité » et, pour chaque thème, les services et sous-
services de Méhari qui devraient être pris en compte pour évaluer ce thème. Aucun calcul n’est
fait dans la feuille.

2.9 Feuille Score ISO

Cette feuille contient permet d’évaluer un score des points de contrôle de la norme ISO/IEC
27002 en fonction des réponses aux questionnaires d’audit Méhari.
Le score est calculé en fonction de la variante 1 de chaque domaine.

2.10 Feuille Expo

La feuille Expo contient le tableau des événements déclencheurs de scénarios dont la probabilité
constitue la Potentialité Intrinsèque des scénarios.

MEHARI 2010 : Manuel de référence 7/16 © CLUSIF 2010

de la base de connaissances Excel
 — Colonne A à D : les colonnes A à D contiennent les types d’événements et les codes
correspondants
— Colonne E : la colonne E contient une exposition naturelle standard proposée par le
Clusif
— La colonne F permet de forcer une valeur spécifique pour l’entité si la valeur standard
ne s’applique pas à sa situation ou à son environnement.
— La colonne G contient par défaut la valeur standard et, si une valeur a été entrée en co-
lonne F, cette dernière valeur est prise en compte.

2.11 Feuille Scénarios

La feuille Scénarios contient les scénarios de risque de la base de connaissances :

— Colonne A : colonne contenant des codes de famille de scénarios utilisés également dans
la feuille Plans d’action. codes
— Colonne B (masquée) : colonne contenant des codes utilisés uniquement pour le libellé
littéral du scénario
— Colonne C type d’actif primaire concerné
— Colonnes D à G : Vulnérabilité exploitée décrite par un type d’actif secondaire, critère
(tel que D, I, C ou E, pour Efficience) et un type de dommage subi et un code significa-
tif de la vulnérabilité ou de l’exigence de conformité.
— Colonnes H à M : Menace à l’origine du risque, caractérisée par un type d’événement
(décrit par des types et sous-types d’événements, des circonstances de lieux, de temps et
de processus et un type d’acteurs, le tout sous forme de code (les codes sont explicités
dans la feuille Codes).
— Colonne N : libellé descriptif du scénario
— Colonne O : Sélection du scénario, décidée par l’auditeur. Seuls les scénarios sélection-
nés, par un 1 dans cette colonne, ont une gravité qui est évaluée et sont pris en compte
dans les feuilles de synthèse Plans d’action, Risk%actif et Risk%event. La sélection
des scénarios fait partie de l’étape d’identification des risques.
— Colonnes P et Q : codes permettant de différencier la cause du scénario (A pour acci-
dent, E pour Erreur ou M pour Malveillance, V pour acte Volontaire non malveillant)
ou sa conséquence (D pour Disponibilité, I pour Intégrité et C pour Confidentialité, L
pour Limitable). Ces indications sont utilisées par les formules de calcul de la base de
connaissances pour sélectionner les grilles de calcul de potentialité et d’impact.
— Colonnes R et S : Report de l’impact intrinsèque et de l’exposition naturelle (Potentialité
intrinsèque) du scénario. Ces indicateurs sont remplis automatiquement à partir des co-
lonnes C et D, pour l’impact intrinsèque, et G et H pour l’exposition naturelle.
— Colonne T (Grav.): évaluation de la Gravité intrinsèque, calculée sans facteur de réduc-
tion de risque, à partir de l’impact intrinsèque et de l’exposition naturelle.
— Colonnes U à X : évaluation des divers facteurs de réduction du risque (Dissuasion,
Prévention, Confinement, Palliation), en fonction de la qualité des services de sécurité.
Nota : en cas de variantes dans le schéma d’audit, c’est le minimum des évaluations des
diverses variantes qui est pris en compte pour calculer les facteurs de réduction de ris-
que
— Colonne Y : Caractère « confinable » ou non du scénario. Certains scénarios sont consi-

MEHARI 2010 : Manuel de référence 8/16 © CLUSIF 2010

de la base de connaissances Excel
 dérés, par défaut, comme non confinables. Si l’impact intrinsèque a été évalué en tenant
compte de dommages maximaux et que cet impact peut être limité par des mesures de
confinement, il convient alors de corriger ce paramètre par défaut en indiquant, par un 1
dans cette colonne, que le scénario est « confinable ».
— Colonnes Z et AA : Impact décidé et Potentialité décidée. Ces colonnes permettent de
forcer un impact et/ou une potentialité à une valeur différente de celle qui est automati-
quement calculée (voir guide de la gestion des risques).
— Colonnes AB et AC (Impact et Potentialité calculés) : évaluations calculées de l’Impact et de
la Potentialité du scénario en fonction de l’impact intrinsèque, de l’exposition naturelle
et des facteurs d’atténuation de risque.
— Colonne AD (Gravité globale) : Gravité calculée en fonction des évaluations de I et de P
(colonnes AB et AC) et de la grille de gravité.
Remarque : il est possible d’indiquer dans la feuille Plans d’action, que l’on souhaite tra-
vailler uniquement sur la gravité intrinsèque. Dans ce cas cette colonne reprend le résul-
tat de la colonne S Gravité intrinsèque.
— Colonnes AE à AH : colonnes contenant les formules littérales des facteurs
d’atténuation de risque.

2.12 Feuille Risk%actif

Cette feuille contient un tableau récapitulatif du nombre de scénarios, par niveau de gravité, par
type d’actif et par critère de classification (D,I et C ou E).
C’est une vue de synthèse qui permet d’aller directement travailler, dans le Plans d’action, sur une
famille de scénarios.
A cette fin, des liens hypertexte sont inclus (colonne >) permettant de pointer directement sur
une famille de scénarios (et donc un type d’impact) dans la feuille Plans d’action.

2.13 Feuille Risk%event

Cette feuille contient un tableau récapitulatif du nombre de scénarios, par niveau de gravité, et
par type d’événement.

2.14 Feuille Plans_action

Cette feuille contient des indications sur les plans d’action susceptibles de réduire les risques.
Les scénarios y sont traités par famille, chaque famille consistant en un type d’actif primaire et un
type d’impact.
Pour chaque famille une synthèse du nombre de scénarios par niveau de gravité est fournie.
Pour cette synthèse il est possible de sélectionner l’une des trois options suivantes :

— Evaluation de la gravité intrinsèque (calculée sans prendre en compte le niveau actuel

des services de sécurité) .
— Evaluation de la gravité résiduelle : l’ensemble des calculs prend en compte la qualité ac-
tuelle des services de sécurité, telle qu’elle résulte des feuilles de diagnostic.
— Prise en compte des actions décidées : l’ensemble des calculs est effectué en tenant

MEHARI 2010 : Manuel de référence 9/16 © CLUSIF 2010

de la base de connaissances Excel
 compte des niveaux d’objectifs attribués aux services de sécurité (voir ci-dessous)
Ce choix est effectué en tête de feuille par des cases options.
Contenu des colonnes :

— Colonne A : nom de la famille de scénarios.

— Colonnes B à F : nombre de scénarios par niveaux de gravité et nombre total de scéna-
rios de la famille (ayant un niveau de gravité calculé).
— Colonne G : type d’effet procuré par le plan d’action, s’il est sélectionné.
— Colonne H : indication de l’efficacité du plan basée sur le nombre de scénarios de la fa-
mille touchés par le plan d’action.
— Colonne I : colonne de décision, indiquer par un 1 que l’on sélectionne le plan, si-
non laisser vide ou mettre un 0.
— Colonnes J, M, P, S, V, Y, AB, AE, AH, AK : services inclus dans le plan.
— Colonnes situées juste à droite des précédentes : Valeurs actuelles des niveaux des servi-
ces de sécurité (hors objectifs)
— Colonnes situées juste à droite des précédentes : objectif (cible) assigné au service à amé-
liorer. Cette colonne est modifiable manuellement.
Fixation d’objectifs de niveaux aux services de sécurité
Les services de sécurité pertinents pour la famille de scénarios sont regroupés par ensembles ho-
mogènes et par type d’effet. Sur une ligne, les divers services concernés sont affichés avec un ni-
veau d’objectif a priori susceptible de réduire significativement le risque.
Il est proposé alors de sélectionner l’ensemble des services de cette ligne et leurs niveaux objectifs
correspondants, en forçant un 1 dans la colonne « décision » (I). Il est possible de modifier le ni-
veau objectif de chaque service individuellement. Nota : pour exclure un service d’un plan
d’action, fixer son objectif à 1.
Il est ainsi possible de faire des simulations sur l’effet de telle ou telle décision et de décider des
actions à mener en conséquence.

2.15 Feuille Obj_PA

Cette feuille est une feuille de travail qui récapitule les objectifs assignés aux services de sécurité
par les plans d’action évoqués au paragraphe précédent.

— Colonne A à C : recopie des colonnes A à C de la feuille Services.

— Colonne D : Récapitulatif des objectifs assignés aux services de sécurité par les plans
d’action sélectionnés. Cette colonne sert à calculer les objectifs de sécurité dans la feuille
Services.
— Colonne E et suivantes : Ces colonnes sont utilisées pour calculer le niveau de qualité
objectif global en fonction des divers plans d’action décidés.

2.16 Feuille Obj_Projets

Cette feuille permet de définir des projets avec, pour chaque projet, une date d’achèvement, des
services améliorés et un objectif pour chaque service.
Cette feuille contient également une évaluation d’un « besoin de service de sécurité ».

MEHARI 2010 : Manuel de référence 10/16 © CLUSIF 2010

de la base de connaissances Excel
 — Colonne A à C : recopie des colonnes A à C de la feuille Services.
— Colonne D à H : Calcul d’un besoin de service en fonction des types de plans faisant
appel à chaque service (en fonction de leur efficacité). On tient compte, pour ce calcul
du nombre de scénarios de gravité 3 (avec un coefficient de 1) ou 4 (avec un coefficient
8), pour une famille de scénarios et on fait la somme de ces besoins pour l’ensemble des
familles.
— Colonne I : synthèse des besoins précédents (calculée avec une fonction logarithme).
— Colonne J : Synthèse des objectifs assignés aux services de sécurité par des projets (dé-
crits colonnes suivantes).
La ligne 4 de cette colonne doit contenir une date de référence, au format « aa mm »
(millésime sur deux chiffres, puis un espace, puis mois sur deux chiffres). Seuls les pro-
jets ayant une date d’achèvement antérieure à cette date de référence seront pris en
compte pour les objectifs des services de sécurité.
— Colonne K et suivantes : Ces colonnes sont utilisées pour décrire des projets :
Date d’achèvement du projet en ligne 4.
Services inclus dans le projet et objectif de niveau de qualité à l’issue du projet sur cha-
que ligne de service.

2.17 Feuille Vulnérabilités types

La feuille Vulnérabilités types contient la liste, pour chaque type d’actif secondaire, des domma-
ges potentiels subis et des vulnérabilités exploitables. Ce tableau peut être utilisé pour analyser et
écarter certaines vulnérabilités qui ne seraient pas à retenir dans le contexte propre de l’entité.
Il convient alors de désélectionner, dans la feuille Scénarios, les scénarios faisant appel à ces vul-
nérabilités.

2.18 Feuille Grilles_IP

La feuille Grilles-IP contient les grilles de décision utilisées pour évaluer l’impact et la gravité ré-
siduels en fonction de l’impact intrinsèque, de la potentialité intrinsèque et des facteurs de réduc-
tion de risque (voir guide de la gestion des risques).
Les valeurs contenues dans ces grilles peuvent éventuellement être modifiées.

2.19 Feuille Gravité

La feuille Gravité contient la grille d’acceptabilité des risques utilisée pour décider du niveau de
gravité des risques en fonction de l’impact et de la potentialité résiduels.
Cette grille devrait être établie spécifiquement pour l’entité. A défaut la grille standard Clusif
fournie dans la base devrait être validée.

2.20 Feuille Corr_Services

Cette feuille indique la correspondance entre services de Méhari 210 et services de Méhari 2007,
en précisant les services nouveaux, modifiés ou supprimés.

MEHARI 2010 : Manuel de référence 11/16 © CLUSIF 2010

de la base de connaissances Excel
2.21 Feuille Codes
Cette feuille contient des libellés utilisés dans la description et n’ont pour seul objectif que de fa-
ciliter la maintenance et la traduction de ces libellés

MEHARI 2010 : Manuel de référence 12/16 © CLUSIF 2010

de la base de connaissances Excel
3 Traitements et calculs effectués
Les traitements effectués pour calculer la qualité des services, l’impact, la potentialité ou la gravité
des scénarios dépendent de formules contenues dans les feuilles Excel ou OpenOffice.
Ces formules sont mises en place à l’aide de macros qui n’ont pas à être utilisées en dehors de la
maintenance de la base et ne sont pas disponibles dans la version publique de la base.
Seules les options de calcul de la gravité des scénarios (intrinsèque, actuelle ou future) et le mas-
quage de certaines feuilles de calcul dépendent de cases d’options ou de cases à cocher mettant en
œuvre des macro-instructions. Il est possible de se passer de ces macro-instructions de la manière
suivante :

— La prise en compte des services de sécurité dans le calcul de la gravité n’est faite que s’il
y a un 1 dans la première ligne de la colonne AB de la feuille Scénarios. En forçant une
autre valeur, c’est la gravité intrinsèque qui est prise en compte.
— La prise en compte des niveaux objectifs des services de sécurité n’est effective que s’il y
a un 1 dans la deuxième ligne de la colonne J de la feuille Services. En forçant une autre
valeur c’est la qualité actuelle des services qui est prise en compte.
— Le masquage ou le démasquage de feuilles de calcul est possible directement sous Excel
ou OpenOffice

3.1 Traitements et fonctions Excel utilisées

Feuille Services
Cotation des services
La cotation est faite pour 4 variantes de schéma d’audit maximum.
La cotation des services de sécurité, en fonction des réponses aux questionnaires (feuilles 01 Org
à 14 Msi), vérifie qu’un service n’a pas été déclaré « X» (Sans Objet) sur la ligne de titre du service
(et pour la variante considérée) dans la feuille de questionnaires.
On teste ensuite s’il y a au moins une réponse (1 ou 0) avec un poids non nul (sinon la cotation
n’est pas remplie).
Enfin la cotation calcule la moyenne pondérée (sans tenir compte des réponses X), puis vérifie
l’existence d’un seuil « MIN » ou d’un seuil « MAX » et affiche le résultat final.
Les seuils MIN et MAX sont calculés dans des colonnes cachées des différents domaines.
Les fonctions standard d’Excel et OpenOffice utilisées sont SI, NON, MIN, MAX et
SOMME.SI

Calcul du min des services

Le minimum des services est calculé et arrondi à l’entier le plus proche, après des tests pour reve-
nir à 1 si le service n’a aucune réponse ou une réponse « X » (Sans objet )
Fonctions standard utilisées : MIN, SI, OU et ARRONDI

Calcul de l’objectif
L’objectif de qualité de service fixé dans la feuille « Plans d’action » est calculé en prenant
l’objectif le plus élevé (on n’affiche rien s’il n’y a pas d’objectif fixé).
Fonctions standard utilisées : MAX et SI

MEHARI 2010 : Manuel de référence 13/16 © CLUSIF 2010

de la base de connaissances Excel
Calcul du service avec objectifs
La valeur affichée dans cette colonne dépend du choix effectué dans la feuille « Plans d’action »,
choix qui se traduit par un 1 ou un 0 dans la cellule J2. Si on tient compte des objectifs fixés, soit
par des plans d’action, soit par des projets, la valeur affichée est le maximum de l’objectif et de la
valeur actuelle du service.
Fonctions standard utilisées : MAX et SI

Feuille Score ISO

Les scores sont calculés avec des fonctions SOMME, en ne tenant compte que du nombre de ré-
ponses positives, sans tenir compte de leur poids dans les questionnaires Méhari.

Feuille Scénarios

Recherche de la classification, de l’exposition naturelle et texte des scénarios

La classification est recherchée, dans la feuille « Classif » (en fait dans une table déclarée dans
cette feuille) en fonction du type d’actif et du type de dommage.
L’exposition naturelle est recherchée, dans la feuille Evénements types (en fait, dans une table
déclarée dans cette feuille) en fonction des événements déclarés dans le scénario.
Les libellés de scénarios sont eux-mêmes déduits des codes d’actifs, de vulnérabilités et de mena-
ces.
Fonctions standard utilisées : RECHERCHEV et SI

Calculs des facteurs de réduction de risque (dissuasion, prévention, confinement et pal-

liation)
Les calculs emploient les fonctions MAX et MIN reflétant les formules littérales et font référence
aux services de sécurité par leur nom (variables déclarées).
Fonctions standard utilisées : MAX et MIN

Calculs P, I et G
P et I sont calculés en faisant appel aux grilles IP (nommées par des tables déclarées) en fonction
des paramètres du scénario.
La gravité est calculée soit à partir des I et P calculés soit à partir des I et P décidés.
Fonctions standard utilisées : SI, ET, OU, NON et INDEX

Feuilles Plans d’action et Risk%event

Le nombre de scénarios par famille est calculé pour chaque niveau de gravité.
Emploi de la fonction standard NB.SI

Feuille Obj_PA
Calcul de l’objectif pour chaque catégorie de plan d’action
Pour chaque catégorie de plans d’actions, si un plan est sélectionné, on affiche, pour chaque ser-
vice contenu dans le plan, l’objectif correspondant. La formule permet de tenir compte du fait
qu’un service peut être appelé 2 fois (avec 2 objectifs différents) dans la même catégorie de plans
d’action.
Fonctions standard utilisées : INDEX et SI
Synthèse des objectifs en fonction des différents plans
Utilisation de la fonction MAX

MEHARI 2010 : Manuel de référence 14/16 © CLUSIF 2010

de la base de connaissances Excel
Feuille OBJ_Projets
Calcul de l’objectif d’un service pour différents projets
Le calcul test de fin d’achèvement de projet par rapport à la date de référence est fait dans des co-
lonnes cachées.
Fonctions standards utilisées: SI et MAX

Feuille Expo
L’exposition naturelle est sélectionnée entre la valeur par défaut et une valeur décidée (cette der-
nière prévalant)
Fonction standard utilisées : MAX et SI

3.2 Macros
Les macros utilisées couramment sont uniquement celles de masquage de feuilles et celles de sé-
lection d’option.
D’autres macros sont utilisées, en mode maintenance, pour mettre à jour les codes de fonctions
et surtout les champs de cellules auxquels les fonctions font référence.

MEHARI 2010 : Manuel de référence 15/16 © CLUSIF 2010

de la base de connaissances Excel
 L’ESPRIT DE L’ÉCHANGE

CLUB DE LA SÉCURITÉ DE L'INFORMATION FRANÇAIS

30, rue Pierre Sémard
75009 Paris
 01 53 25 08 80
clusif@clusif.asso.fr

Téléchargez les productions du CLUSIF sur

www.clusif.asso.fr