Get documents about "m�thode Mehari
Document Sample
Réalisé par :
- LACHHAB amine
- ABOUBI mohamed
- WAFDI mohamed
Encadré par:
- Mme.ESSAMIR
MEHARI est une démarche d’analyse et de
gestion des risques, qui fournit un cadre
méthodologique, des outils et des bases de
connaissance pour :
analyser et classifier les enjeux majeurs,
étudier les vulnérabilités,
réduire la gravité des scénarios de risques,
piloter la sécurité de l’information
1. L'analyse des enjeux
L’analyse des enjeux de MEHARI permet
d’évaluer la gravité de dysfonctionnements en
DIC pouvant être causés ou favorisés par une
faille ou un défaut de sécurité.
Il s’agit d’une analyse totalement focalisée sur
les objectifs et attentes des métiers de
l’entreprise mettant à contribution les
décideurs et le management de l’entreprise ou
de l’entité considérée.
Cette analyse se traduit par :
une échelle de valeurs des
dysfonctionnements potentiels, élément de
référence centré sur les impacts métiers,
une classification rigoureuse des actifs
(informations et des ressources) du Système
d’information,
des processus d’assistance pour effectuer
cette classification,
l’établissement de liens directs vers l’analyse
détaillée des risques correspondants
L’analyse des vulnérabilités fournit une
évaluation de la qualité (robustesse,
efficacité, mise sous contrôle) des mesures
de sécurité en place.
La base de connaissance des mesures de
sécurité de MEHARI est structurée par
domaines et par services ayant des finalités
précises de réduction de potentialité ou
d’impact des situations de risques.
Avec MEHARI, l’analyse des risques permet
d’identifier les situations susceptibles de
remettre en cause un des résultats attendus
de l’entreprise ou de l’entité, et d’évaluer la
probabilité de ces situations, leurs
conséquences possibles et leur caractère :
acceptable ou non.
L’analyse des risques met également en
évidence les mesures susceptibles de
ramener chaque risque à un niveau
acceptable.
Mehari est une démarche d'analyse des risques de
systèmes d'informations. Elle ne répondra pas
efficacement à des besoins :
de formalisation d'expression de besoins de
sécurité par exemple lors de la rédaction d'un
cahier des charges de refonte d'une partie du
système d'information,
de TPE/PME n'ayant aucune culture sécurité
informatique et qui peuvent souhaiter qu'en une
poignée de jours, soient définies les solutions de
base de sécurité (sauvegardes, authentification,
politique de sauvegarde, politique anti virale, ...)
d'analyse de conformité technique.
Objectifs de l'outil Risicare
RISICARE est une approche associée à un
outillage, s'appuyant sur la méthode Mehari
2010 et qui permet d'améliorer la
productivité et la justesse d'une démarche de
gestion des risques
Principales caractéristiques de Risicare
Risicare s'appuie sur les caractéristiques suivantes :
L'utilisation de la méthode Mehari développée au sein du CLUSIF
comme modèle d'analyse des risques.
La possibilité de personnaliser les bases de connaissances, voire
de construire ses propres bases de connaissances.
Une relation entre un audit de l'existant et la quantification de
scénarios de risques.
Une prise en compte exhaustive et automatique des multiples
possibilités de survenance de ces scénarios.
L'élaboration de plans d'action cohérents optimisant la réduction
de l'ensemble des risques.
Une aide en ligne très développée avec l'accès à un ensemble de
rubriques méthodologiques et techniques .
Un outil performant et simple à utiliser en ergonomie Windows.
