Université Abdelmalek Essaadi

Faculté des sciences juridiques, économiques et sociales – Tétouan

RAPPORT SUR L'ATELIER

« Méthode Harmonisée d’Analyse des Risques MÉHARI »

RÉALISÉ PAR : ENCADRÉ PAR :

LAMLAIKA Yassine Mr. TABAA Yassine

Année universitaire 2024/2025

Sommaire

I. OBJECTIFS .................................................................................................................... 4
II. PROCESSUS.................................................................................................................. 4
III. Processus d'évaluation et de gestion des risques en sécurité .................................... 5
IV. Évaluation “MEHARI”............................................................................................... 6
V. ÉTUDE DE CAS .......................................................................................................... 7

2
Introduction

MEHARI (Méthode d'Analyse Harmonisée des Risques) constitue une méthode

d'évaluation et de gestion des risques de l'information, libre et open source,
spécialement conçue pour les professionnels de la sécurité de l'information. Cette
approche étendue va au-delà de la technologie de l'information, couvrant
également l'information, les systèmes d'information et les processus
d'information. Elle s'avère particulièrement bénéfique pour divers acteurs tels
que les gestionnaires opérationnels, les responsables des risques, les auditeurs,
les responsables de la sécurité de l'information (CISO) et les responsables des
systèmes d'information (CIO).
En accord avec la norme ISO/IEC 27005 Section 7.1, MEHARI s'aligne sur des
considérations générales cruciales pour la gestion des risques liés à la sécurité
de l'information. Il est impératif de déterminer le but de cette gestion des risques,
car cela exerce une influence sur l'ensemble du processus. Ce but peut prendre
différentes formes, telles que soutenir un Système de Management de la Sécurité
de l'Information (SMSI), assurer la conformité à la législation et fournir des
preuves de diligence raisonnable, préparer un plan de continuité d'activité,
élaborer un plan d'intervention en cas d'incident, ou encore décrire les exigences
de sécurité de l'information pour un produit, un service, ou un mécanisme. Cette
flexibilité de MEHARI s'adapte aux divers objectifs stratégiques des
organisations dans le domaine de la sécurité de l'information.

3
 I. OBJECTIFS
MEHARI est utilisé́ pour aider les RSSI (Responsable de la Sécurité des Systèmes
d’Information) dans leur tâche de management de la sécurité des systèmes d’information.

MEHARI est avant tout une méthode d’analyse et de management des risques. En pratique,
MEHARI et l’ensemble de ses bases de connaissances sont bâtis pour permettre une analyse
précise des risques, quand cela sera jugé nécessaire, sans pour autant imposer l’analyse des
risques comme une politique majeure de management.

II. PROCESSUS

Pour cette partie il convient de se focaliser sur l’analyse des situations de risque qui est l’un
des processus de la méthode MEHARI.

Analyse des situations de risque

Le processus d’analyse d’une situation de risque comprend une démarche de base,

éventuellement assistée par des automatismes, selon la manière dont la situation est décrite et
selon l’existence ou non d’un audit préalable des services de sécurité.

4
 a) Etape 1 : Evaluation de l’exposition naturelle
Cette étape se divise en deux parties. Tout d’abord l’exposition naturelle standard et
deuxièmement l’exposition naturelle spécifique.

1. Exposition naturelle standard

Les scénarios de la base de connaissances MEHARI se réfèrent à une liste limitée d’événements
de base, qu’il s’agisse d’accidents, d’erreurs ou d’actes volontaires, pour lesquels une
évaluation a priori de l’exposition est donnée.

2. Exposition naturelle spécifique

Il doit être clair que l’évaluation standard proposée n’est qu’une évaluation par défaut et que
l’évaluation directe de l’exposition de l’entreprise à la situation de risque analysée est de loin
préférable.

b) Etape 2 : Evaluation des facteurs de dissuasion et prévention

Les facteurs de réduction tels que la dissuasion, la prévention, la protection, la palliation et la

récupération sont proposés par les bases de connaissances de MEHARI en fonction de la
qualité des services de sécurité si celle‐ci a été évaluée par un audit. La définition des niveaux
de facteur de réduction de risque est donnée

c) Etape 3 : Evaluation de la potentialité

La potentialité du risque représente, en quelque sorte, sa probabilité d'occurrence, bien que
cette occurrence ne soit pas modélisable en termes de probabilité. Cette potentialité est fonction
du contexte et des mesures de sécurité en place.

III. Processus d'évaluation et de gestion des risques en sécurité

Identification d'une Situation à Risque

La phase initiale de notre processus consiste à identifier les situations susceptibles de présenter
des risques pour notre projet. Ces éléments peuvent englober des menaces externes, des
vulnérabilités internes et d'autres facteurs de risque.

Évaluation de l'Exposition Naturelle

Ensuite, nous procéderons à l'évaluation de la manière dont notre organisation est

naturellement exposée à ces situations à risque. Cela nous permettra de comprendre la
probabilité de leur survenue.
5
Évaluation des Facteurs Préventifs
Une analyse des mesures préventives déjà en place suivra, englobant les politiques, les
procédures et les technologies de sécurité existantes.

Évaluation des Facteurs de Protection

Nous évaluerons également les dispositifs de protection actuellement en vigueur, tels que les
systèmes de détection d'intrusion, les pare-feux et autres mécanismes visant à sauvegarder nos
actifs.

Évaluation de la Potentialité
La cinquième étape consiste à évaluer le potentiel de chaque risque, en prenant en compte sa
probabilité d'occurrence et l'impact éventuel sur nos opérations.

Évaluation de l'Impact Intrinsèque

Nous examinerons l'impact intrinsèque de chaque risque, c'est-à-dire l'impact s'il se matérialise
sans aucune mesure d'atténuation.

Évaluation de l'Impact et Réduction Automatisée

Cette phase implique l'évaluation de l'impact résiduel après la mise en œuvre de mesures
d'atténuation automatisées, telles que des systèmes de sauvegarde automatique ou des
mécanismes de récupération rapide.

Évaluation Globale du Risque

Toutes ces informations seront agrégées pour obtenir une évaluation globale du risque, prenant
en compte la probabilité, l'impact et l'efficacité des mesures d'atténuation.

Décider si le risque est acceptable ou non

Basés sur cette évaluation globale, nous prendrons la décision cruciale de déterminer si le
risque est acceptable dans le contexte de nos objectifs organisationnels ou s'il nécessite des
actions supplémentaires pour être géré de manière adéquate.

IV. Évaluation “MEHARI”

Avantages

1. Adaptabilité aux normes ISO : MEHARI offre une adaptabilité exceptionnelle aux normes ISO,
ce qui signifie que nous pouvons aligner notre évaluation des risques avec les normes
internationales de sécurité, assurant ainsi une conformité robuste.
2. Base de connaissances exhaustive : L'un des points forts de MEHARI est sa base de
connaissances exhaustive. Cette méthode intègre une riche source d'informations et de bonnes
pratiques qui peuvent être utilisées pour une évaluation approfondie des risques.
6
 3. Approche Structurée et Méthodologique : MEHARI adopte une approche structurée et
méthodologique, offrant une méthodologie éprouvée pour évaluer les risques de manière
systématique et cohérente.

4. Flexibilité d'Application : Une autre qualité appréciable est la flexibilité d'application de

MEHARI. Elle peut être adaptée pour répondre aux besoins spécifiques de notre organisation,
offrant ainsi une approche personnalisée.

Inconvénients
1. Dépendance à un logiciel spécifique : L'utilisation de MEHARI peut nécessiter une dépendance
à un logiciel spécifique, ce qui peut poser des défis en termes de disponibilité, de coût et de
compatibilité avec notre infrastructure existante.

2. Complexité initiale de l'adaptation : Au départ, l'adaptation à MEHARI peut être complexe en

raison de sa méthodologie structurée. Cependant, une fois maîtrisée, elle offre des avantages
significatifs.

3. Exigence de Compétences Techniques : L'évaluation MEHARI demande un certain niveau de

compétences techniques pour une mise en œuvre efficace. Cela pourrait nécessiter une
formation spécifique pour notre équipe.

4. Coût Élevé de Mise en Place : Enfin, il est important de noter que la mise en place de MEHARI
peut entraîner des coûts initiaux élevés en raison de la formation nécessaire et des éventuelles
adaptations de l'infrastructure.

V. ÉTUDE DE CAS

7
 § Classification des actifs

v Contexte de l'étude de cas :

AfriTech, une entreprise de premier plan dans la transformation digitale en
Afrique, exerce ses activités dans le secteur technologique. L'entreprise comprend
diverses entités, notamment une équipe IT, des départements RH et d'autres
composantes essentielles à ses opérations.
v Objectif de l'évaluation des risques
En réponse à la décision stratégique de la direction d'AfriTech de lancer un
nouveau projet technique centré sur les processus RH, notre mission, en tant
que consultants en gestion des risques, consiste à conduire une évaluation des
risques spécifique à ce projet. Notre démarche consistera à identifier, évaluer
et gérer les risques potentiels liés à la mise en œuvre de ce projet novateur. Cette
évaluation permettra d'apporter des recommandations informées visant à
renforcer la résilience du projet face aux défis potentiels.

v Diagnostic de l'état des services de sécurité

8
Vous pouvez observer le schéma représentatif de l'architecture du système de
formation d'AfriTech. Cette structure se compose principalement d'un serveur
central qui agit en tant que hub, regroupant plusieurs sous-serveurs dédiés aux
bases de données, au serveur web, au serveur d'application, et d'autres
composants essentiels.
L'intégrité de ce système est renforcée par un pare-feu connecté, qui sert de
bouclier contre les requêtes provenant de divers départements, chacun étant
symbolisé par son propre VLAN. Les départements inclus dans cette
représentation sont IT VLAN, HR VLAN, VOIP VLAN, etc. Ce dispositif de pare-
feu a également pour mission de réguler le flux de données entre le serveur et
Internet.

v Identification des risques

Dans la phase cruciale de notre évaluation des risques, nous abordons

maintenant les contrôles essentiels conçus pour atténuer les risques identifiés
dans le cadre du projet RH d'AfriTech. Nous débutons en examinant les
principaux contrôles recommandés :

1. Contrôle des Données

• Mise en place de protocoles de contrôle rigoureux assurant l'intégrité, la
confidentialité, et la disponibilité des données.
• Utilisation de mécanismes de chiffrement, de contrôles d'accès et de
sauvegardes régulières.
• Garantie de la qualité et de la sécurité des données pour réduire le risque
de perturbation des services informatiques internes.

2. Sécurité de la Maintenance des Applications

• Instauration de procédures de maintenance sécurisées pour minimiser les
risques liés aux mises à jour logicielles.
• Recommandation de l'utilisation de méthodes de déploiement testées, de
mécanismes de sauvegarde préalable aux mises à jour, et de la formation
du personnel sur les bonnes pratiques de maintenance.

3. Accès aux Programmes Sources

• Restriction de l'accès aux programmes sources uniquement aux personnes
autorisées.
• Mise en place de contrôles d'accès robustes, audit régulier des activités
d'accès, et surveillance continue des changements apportés aux
configurations système pour prévenir toute altération malveillante.

9
4. Environnement de Développement Sécurisé
• Sécurisation de l'environnement de développement par l'instauration de
politiques strictes en matière de sécurité dès la phase de développement.
• Utilisation d'outils de développement sécurisés, formation du personnel
sur les meilleures pratiques de codage, et réalisation d'audits de code
réguliers pour minimiser les risques liés aux vulnérabilités introduites par
des erreurs de programmation.

v Contrôles
Contrôle des données : Il s'agit de mettre en place des protocoles de contrôle
rigoureux pour assurer l'intégrité, la confidentialité et la disponibilité des
données. Cela comprend la mise en œuvre de mécanismes de chiffrement, de
contrôles d'accès et de sauvegardes régulières. En garantissant la qualité et la
sécurité des données, nous réduisons considérablement le risque de blocage des
services informatiques internes.
Sécurité de la maintenance des applications : Ce contrôle vise à instaurer des
procédures de maintenance sécurisées, minimisant ainsi les risques liés aux mises
à jour logicielles. Nous recommandons l'utilisation de méthodes de déploiement
testées, la mise en place de mécanismes de sauvegarde avant toute mise à jour, et
la formation du personnel sur les bonnes pratiques de maintenance.
Accès aux programmes sources : Pour prévenir l'altération malveillante de la
configuration du système, nous proposons de restreindre l'accès aux programmes
sources uniquement aux personnes autorisées. Cela implique la mise en place de
contrôles d'accès robustes, l'audit régulier des activités d'accès, et la surveillance
continue des changements apportés aux configurations système.

Environnement de développement sécurisé : Cet aspect concerne la sécurisation

de l'environnement de développement. En mettant en place des politiques strictes
en matière de sécurité dès la phase de développement, nous minimisons les
risques liés aux vulnérabilités introduites par des erreurs de programmation.
Cela inclut l'utilisation d'outils de développement sécurisés, la formation du
personnel sur les meilleures pratiques de codage, et la réalisation d'audits de
code réguliers.

v Solution des Risques

Tous ces analyses c’est pour comprendre la nature des risques relationnelle au
l’implémentation de la nouvelle processus RH
Et pour proposer des Solutions liés au ses risques Comme :

L’adaptation de Plan d'urgence des systèmes applicatifs : Il s'agit de développer

un plan détaillé sur la manière de gérer les situations d'urgence liées aux systèmes

10
applicatifs RH. Cela pourrait inclure des procédures pour la récupération après
sinistre, la sauvegarde régulière des données critiques, et la mise en place de
solutions de secours en cas de défaillance du système.

La Maîtrise des configurations Solution : l s'agit de bien gérer les paramètres

des logiciels utilisés pour les RH. Il faut noter soigneusement comment tout est
configuré, garder une trace des différentes versions et contrôler attentivement
chaque modification pour éviter des erreurs ou des problèmes d'incompatibilité.
En d'autres termes, c'est comme s'assurer que les réglages des logiciels RH sont
bien organisés, bien suivis et modifiés de manière contrôlée pour éviter des
soucis.

Organisation de la maintenance des systèmes et applications : Ce point souligne

l'importance de mettre en place une structure organisée pour la maintenance des
systèmes et des applications RH. Cela peut inclure la planification régulière de
mises à jour, la surveillance continue des performances, et la gestion proactive
des problèmes potentiels.

11
Conclution

En conclusion, MEHARI, en tant que Méthode d'Analyse Harmonisée des

Risques, se distingue comme une approche complète, libre et open source, dédiée
à l'évaluation et à la gestion des risques de l'information. Conçue spécialement
pour les professionnels de la sécurité de l'information, MEHARI transcende le
domaine de la technologie de l'information en englobant l'information, les
systèmes d'information et les processus d'information.
Cette méthodologie, alignée sur les considérations cruciales de la norme ISO/IEC
27005 Section 7.1, souligne l'importance de définir clairement le but de la gestion
des risques liés à la sécurité de l'information, influençant ainsi l'ensemble du
processus. Cette flexibilité permet à MEHARI de s'adapter aux divers objectifs
stratégiques des organisations, que ce soit pour soutenir un Système de
Management de la Sécurité de l'Information (SMSI), assurer la conformité à la
législation, préparer des plans de continuité d'activité ou d'intervention en cas
d'incident, ou encore décrire les exigences de sécurité de l'information pour des
produits, des services ou des mécanismes spécifiques.
En fin de compte, MEHARI offre une approche robuste et personnalisable pour
répondre aux défis complexes de la sécurité de l'information, apportant ainsi une
valeur significative aux gestionnaires opérationnels, aux responsables des
risques, aux auditeurs, aux responsables de la sécurité de l'information (CISO) et
aux responsables des systèmes d'information (CIO).

12