METHODES

MEHARI 2010
Prsentation gnrale






Janvier 2010







Espace Mthodes




CLUB DE LA SECURITE DE LINFORMATION FRANAIS
30, rue Pierre Smard, 75009 PARIS
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr
MEHARI est une marque dpose par le CLUSIF.

La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal
MEHARI 2010 : Prsentation Gnrale 3/16 CLUSIF 2010
Remerciements
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :

Jean-Philippe Jouas Responsable de lEspace Mthodes
Responsable du Groupe de Travail Principes, Mcanismes et
Bases de connaissances de Mhari
Jean-Louis Roule Responsable du Groupe de Travail Documentation de Mhari
Dominique Buc BUC S.A.
Olivier Corbier Docapost
Louise Doucet Ministre des Services gouvernementaux du Qubec
Martine Gagn HydroQubec
Mose Hazzan Ministre des Services gouvernementaux du Qubec
Grard Molines Molines Consultants
Chantale Pineault AGRM
Luc Poulin CRIM
Pierre Sasseville Ministre des Services gouvernementaux du Qubec
Claude Taillon Ministre de l'ducation, du Loisir et du Sport du Qubec
Marc Touboul BULL SA

MEHARI 2010 : Prsentation Gnrale 4/16 CLUSIF 2010
1. Introduction

MEHARI a t conue et est en constant dveloppement pour aider les RSSI
1
dans leur tche de
gestion et de pilotage de la scurit de linformation et des systmes dinformation. Cette
prsentation gnrale leur est ainsi destine, mais elle sadresse galement aux auditeurs, aux DSI
2

ou aux Gestionnaires de risques (Risk Managers) qui partagent, dans une large mesure, les mmes
proccupations.
Cette prsentation vise principalement dcrire les utilisations que lon peut faire de MEHARI,
tant entendu quune description plus complte de la mthode et de ses outils est fournie dans la
documentation dtaille de Mhari, savoir :
La prsentation des principes fondamentaux et spcifications fonctionnelles de MEHARI,
Des guides dutilisation, pour lanalyse des enjeux, le diagnostic des services de scurit
et lanalyse et le traitement des risques,
Le manuel de rfrence des services de scurit,
Des bases de connaissance.

Lobjectif premier de MEHARI est de fournir une mthode danalyse
3
et de gestion des risques et,
plus particulirement pour le domaine de la scurit de linformation, une mthode conforme aux
exigences de la norme ISO/IEC 27005:2008, avec lensemble des outils et moyens requis pour sa
mise en uvre
4
.
A cet objectif premier sajoutent deux objectifs complmentaires :
Permettre une analyse directe et individualise de situations de risque dcrites par des scnarios
de risque.
Fournir une gamme complte doutils adapte la gestion court, moyen et long terme, de la
scurit, quelle que soit la maturit de lorganisme en matire de scurit et quelques soient les
types dactions envisags.

Compte tenu de ces objectifs, MEHARI propose un ensemble mthodologique cohrent, faisant
appel des bases de connaissance adaptes, et capable daccompagner les responsables
dentreprise ou dorganisme et les responsables de la scurit dans leurs diffrentes dmarches et
actions, ainsi que les acteurs impliqus dans la gestion des risques.


Un positionnement de MEHARI vis--vis des normes de la srie ISO/IEC 27000 est abord en fin
de document.


1
RSSI : Responsable de la Scurit des Systmes dInformation ou, RSI : Responsable de la Scurit de
lInformation
2
DSI : Directeur des Systmes dInformation
3
Apprciation des risques au sens de lISO/IEC 27005
4
Ces outils et moyens requis, en complment de la norme, sont dcrits et justifis dans le document
Mhari 2010 Principes fondamentaux et spcifications fonctionnelles
MEHARI 2010 : Prsentation Gnrale 5/16 CLUSIF 2010
2. Utilisations de MEHARI
MEHARI est donc, avant tout, une mthode danalyse et de gestion de risques.
En fait, compte tenu du deuxime objectif cit plus haut, MEHARI et ses bases de connaissance
sont bties pour permettre une analyse prcise de situations de risque, quand cela sera jug
ncessaire, ces situations de risque tant alors dcrites par des scnarios de risque.
Ceci tant, la gestion de la scurit est une fonction ou une activit qui volue au cours du temps
et les actions correspondantes ne sont pas de mme nature selon que lentreprise na encore rien
fait dans ce domaine ou, au contraire, quelle a dj accompli des efforts substantiels.
Lors des premiers pas dans une dmarche de scurit, il sera sans doute bon de faire un bilan de
ltat de la scurit et de comparer ce bilan une rfrence pour mettre en vidence le foss
combler.
Ensuite, ce bilan fait et la dcision prise de mettre en place une dmarche scuritaire, des actions
concrtes devront tre dcides. Ces dcisions, qui seront le plus souvent regroupes dans des
plans, schmas directeurs, rfrentiels ou politiques de scurit, devront tre prises dans le cadre
dune approche structure. Une telle approche peut tre base sur une analyse des risques, ainsi
que le demande la norme ISO/IEC 27001 qui traite des Systmes de Gestion de la Scurit de
lInformation (SMSI
5
). Ceci tant, cela nest pas toujours le cas et il existe bien dautres voies,
dont lalignement sur un Rfrentiel (ou standard), que ce Rfrentiel soit interne,
professionnel ou interprofessionnel.
Il reste que, ds ce stade, et sans vritablement parler danalyse de risque, la question des enjeux
de la scurit se pose. Bien souvent, en effet, quelle que soit la manire dont la dcision a t
prpare, le dcideur ultime qui doit allouer le budget correspondant aura cette question : est-ce
bien ncessaire ? . Sans analyse prliminaire des enjeux et sans consensus sur ce point, beaucoup
de projets de scurit sont abandonns ou repousss.
Souvent plus tard, mais parfois ds lorigine dune dmarche de scurit, la question se pose du
niveau de risque auquel est expos lentreprise ou lorganisme, et cette question se pose en ces
termes : A-t-on identifi tous les risques auxquels lorganisme est expos et a-t-on lassurance
que leur niveau est acceptable ? . Cette question peut, en outre, tre pose dans toute sa
gnralit ou dans le cadre limit dun nouveau projet. Il faudra alors utiliser une mthode
danalyse des risques.
Le principe sur lequel est fond MEHARI est que les outils ncessaires, chaque tape du
dveloppement de la scurit, doivent tre cohrents, cest--dire que les rsultats acquis un
stade donn doivent pouvoir tre rutiliss ultrieurement.
Les diffrents outils et modules de lensemble mthodologique MEHARI, conus pour pouvoir
supporter une analyse directe et individualise des risques, sont utilisables indpendamment les
uns des autres, tous les stades de dveloppement de la scurit, dans diffrents modes de
gestion de la scurit, et garantissent une cohrence densemble des dcisions.
Ces diffrents modules et outils, qui sont dcrits brivement ci-dessous, comprennent une
mthode danalyse de risques avec des outils associs, un module danalyse des enjeux et un
module de diagnostic de ltat de la scurit.


5
En anglais "Information Security Management System" ou ISMS, acronyme franais : SMSI
MEHARI 2010 : Prsentation Gnrale 6/16 CLUSIF 2010
2.1. Lanalyse (ou apprciation) des risques
Lanalyse de risque est cite dans beaucoup douvrages sur la scurit, et notamment dans les
normes ISO/IEC de la srie 27000, comme devant tre la base de lexpression des besoins de
scurit, mais la plupart, sinon tous, sont silencieux quant la mthode employer.
MEHARI propose, depuis plus de 15 ans, une approche structure du risque
6
qui repose sur
quelques lments simples.
Pour ne retenir que lessentiel, une situation de risque peut tre caractrise par divers facteurs :
Des facteurs structurels qui ne dpendent pas des mesures de scurit, mais du mtier
de lentreprise, de son environnement et de son contexte.
Des facteurs de rduction de risque qui sont, eux, directement fonction des mesures de
scurit mises en place.
Prcisons simplement quune analyse des enjeux est ncessaire pour dterminer la gravit
maximale des consquences dune situation de risque, ce qui est typiquement un facteur
structurel, alors que des diagnostics de scurit sont ncessaires pour valuer les facteurs de
rduction de risque.
MEHARI permet dvaluer, qualitativement et quantitativement, ces facteurs et de porter, en
consquence, un jugement sur le niveau de risque. MEHARI sappuie, pour cela, sur des outils
(critres dapprciation, mthodes de calcul, etc.) et des bases de connaissances (en particulier
pour les diagnostics de scurit) qui savrent indispensables en complment du cadre minimum
propos par la norme ISO 27005.
2.1.1 Lanalyse systmatique des situations de risque
Pour rpondre la question A quels risques lorganisme est-il expos et ces risques sont-ils
acceptables ? , une approche structure consiste identifier toutes les situations de risque
potentielles, analyser individuellement les plus critiques, puis dcider des actions mener afin
de les ramener un niveau acceptable.
MEHARI permet de raliser cette approche et les bases de connaissance ont t dveloppes afin
de rpondre cet objectif. Dans cette utilisation de MEHARI, laccent est port sur lassurance que
chaque situation de risque critique a t prise en compte et est bien couverte par un plan daction.
Cette dmarche sappuie sur une base de connaissances de situations de risques et sur des
mcanismes dvaluation des facteurs caractrisant chaque risque et permettant den apprcier le
niveau. La mthode fournit, en outre, des aides pour dfinir les plans de traitement adapts.
Le processus dapprciation des risques peut tre soutenu :
Soit par un ensemble de fonctions de la base de connaissances (Microsoft Excel) permettant
dintgrer les rsultats des divers modules de MEHARI (classification des actifs rsultant de
lanalyse des enjeux, diagnostics de scurit, en particulier). Ces fonctions permettent dvaluer les
niveaux de risques actuels et de proposer des mesures additionnelles pour rduire la gravit des
scnarios.
Soit par un outil logiciel (tel que RISICARE)
7
qui offre une assistance plus volue et plus
complte et permet simulations, visualisations et optimisations.


6
Le dtail du modle de risque est donn dans le document Principes fondamentaux et spcifications
fonctionnelles de MEHARI .
7
RISICARE dit par la socit BUC S.A.

MEHARI 2010 : Prsentation Gnrale 7/16 CLUSIF 2010
2.1.2 Lanalyse ponctuelle de situations de risque
Les mmes outils peuvent tre utiliss ponctuellement dans le cadre dautres modes de pilotage
de la scurit.
En effet, dans certains modes de pilotage de la scurit, pour lesquels la gestion des risques nest
pas la base principale, tels que le pilotage par les diagnostics de scurit ou par des rfrentiels de
scurit, il se trouvera souvent des cas particuliers o les rgles dcides ne pourront sappliquer.
Il sera fort utile alors de pouvoir sappuyer sur une analyse ponctuelle de risque pour dcider de la
conduite tenir.
2.1.3 Lanalyse des risques lis de nouveaux projets
Le modle et les mcanismes danalyse de risque peuvent enfin tre utiliss dans le cadre de la
gestion de projets, pour en analyser les risques et dcider en consquence des mesures prendre.
2.2. Les diagnostics de scurit
La mthode intgre des questionnaires de diagnostic approfondi des mesures de scurit
8
,
effectivement en place, questionnaires permettant dvaluer le niveau de qualit des mcanismes
et solutions mis en place pour rduire les risques.
2.2.1 Le diagnostic de scurit, lment dune analyse des risques
Disons simplement, ce niveau, que le modle de risque prend en compte des facteurs de
rduction de risque , prcisment concrtiss par des services de scurit.
Le diagnostic approfondi de ces services sera donc, lors de lanalyse des risques, un lment
important dassurance que les services remplissent bien leur rle, ce qui est essentiel pour quune
analyse de risque soit crdible et fiable.
Une des forces de MEHARI, comme mthode danalyse et de traitement des risques, est
certainement que tant lanalyse du niveau de risque actuel que les prvisions de niveau de risque
futur sappuient sur une base de diagnostic expert de la qualit des mesures de scurit,
actuellement en place ou dcides.
2.2.2 Les plans de scurit bass sur un diagnostic de scurit
Une dmarche possible consiste btir des plans daction directement partir dun diagnostic de
ltat de la scurit.
Le processus de pilotage de la scurit par le diagnostic de ltat des services de scurit est
extrmement simple : on dclenche un diagnostic et on dcide damliorer tous les services qui
nont pas un niveau de qualit suffisant.
Les questionnaires de diagnostic de MEHARI peuvent tre utiliss cette fin.
Lutilisation dune analyse pralable des enjeux est alors prconise, faisant ainsi la liaison avec cet
autre module de MEHARI, prsent plus loin dans ce document. Lanalyse des enjeux permettra
notamment de fixer les objectifs de qualit des services de scurit, voire de ne slectionner que
les services pertinents auditer dans le cadre du diagnostic.


8
Les mesures sont groupes par sous-services, eux-mmes fdrs dans des services puis dans des domaines de
scurit
MEHARI 2010 : Prsentation Gnrale 8/16 CLUSIF 2010
2.2.3 La base de connaissances comme support dlaboration dun
rfrentiel de scurit
Le module de diagnostic sappuie, en pratique, sur une base de connaissance des services de
scurit (appele Manuel de rfrence des services de scurit) qui dcrit, pour chaque service, la
finalit (ce quil fait), quoi il sert (ce contre quoi il lutte), les mcanismes et solutions supports
du service et les lments prendre en compte pour valuer la qualit du service.
Cette base dexpertise, sans doute unique en son genre, peut tre employe directement pour
btir un Rfrentiel de scurit qui contiendra et dcrira lensemble des rgles et instructions
de scurit respecter dans lentreprise ou lorganisme.
Cette dmarche est souvent employe dans des organismes ou entreprises ayant un grand nombre
dentits autonomes ou de sites. Il peut sagir dentreprises multinationales ayant de nombreuses
filiales, mais aussi, tout simplement, dentreprises moyennes, voire petites, ayant de nombreuses
agences ou reprsentations rgionales. Il est en effet difficile, dans de tels cas, de multiplier les
diagnostics ou les analyses de risque.
laboration du rfrentiel de scurit
Les questionnaires de diagnostic, mais surtout le manuel de rfrence des services de scurit
avec les explications quil contient, seront une bonne base de travail pour que les responsables de
la scurit dcident de ce qui devra tre appliqu dans lentreprise.
La gestion des drogations
La mise en place dun corpus de rgles, par le biais dun rfrentiel, se heurte souvent des
difficults dapplications locales et il faut savoir grer les drogations.
Le fait demployer une base de connaissance cohrente avec des moyens et une mthode
danalyse de risque permet alors de grer les difficults locales en traitant les demandes de
drogations par une analyse de risques cible sur la difficult mise en vidence.
2.2.4 Les domaines couverts par le module de diagnostic
Dans loptique dune analyse des risques, au sens de lidentification de toutes les situations de
risque et de la volont de sattaquer tous les risques inacceptables, le domaine couvert par
MEHARI ne sarrte pas aux systmes informatiques.
Les questionnaires de diagnostic couvrent ainsi, outre les systmes dinformation et de
communication, lorganisation gnrale, la protection gnrale des sites, lenvironnement de
travail des utilisateurs et les aspects rglementaires et juridiques.
2.2.5 Vue densemble sur le module de diagnostic
Ce quil faut retenir en synthse, sur les questionnaires de diagnostic, est quils offrent une vision
large et cohrente de la scurit, utilisable dans diffrentes approches, avec une progressivit dans
la profondeur danalyse permettant de les utiliser tous les stades de maturit de la scurit dans
lentreprise.
MEHARI 2010 : Prsentation Gnrale 9/16 CLUSIF 2010
2.3. Lanalyse des enjeux
Quelles que soient les orientations ou la politique, en matire de scurit, il y a un principe sur
lequel tous les dirigeants saccordent, cest celui de la juste proportion entre les moyens investis
dans la scurit et la hauteur des enjeux de cette mme scurit.
Cest dire quavoir une juste connaissance des enjeux de la scurit est fondamental et que
lanalyse des enjeux mrite un trs haut degr de priorit et une mthode dvaluation rigoureuse.
Lobjectif de lanalyse des enjeux est de rpondre cette double question :
Que peut-on redouter et, si cela devait arriver, serait-ce grave ?
Cest dire que dans le domaine de la scurit, les enjeux sont vus comme des consquences
dvnements venant perturber le fonctionnement voulu de lentreprise ou de lorganisme.
MEHARI intgre un module danalyse des enjeux, dcrit dans le Guide de lanalyse des enjeux et de la
classification , qui dbouche sur deux types de rsultats :
Une chelle de valeurs des dysfonctionnements
Une classification des informations et des actifs du systme dinformation
chelle de valeur des dysfonctionnements
La recherche des dysfonctionnements dans les processus oprationnels ou des vnements que
lon peut redouter est une dmarche qui sexerce partir des activits de lentreprise. Une telle
dmarche dbouche sur:
Une description des types de dysfonctionnements redouts
Une dfinition des paramtres qui influent sur la gravit de chaque dysfonctionnement
Lvaluation des seuils de criticit de ces paramtres qui font passer la gravit des
dysfonctionnements dun niveau un autre
Cet ensemble de rsultats constitue une chelle de valeur des dysfonctionnements.
Classification des informations et des actifs
Il est dusage, dans le domaine de la scurit de linformation, de parler de la classification des
informations et de la classification des actifs du systme dinformation.
Une telle classification consiste dfinir, pour chaque type dinformation et pour chaque actif du
systme dinformation, et pour chacun des critres de classification, classiquement la
Disponibilit, lIntgrit et la Confidentialit (mais ventuellement pour aussi dautres critres, tels
que la traabilit ou la valeur probatoire), des indicateurs reprsentatifs de la gravit dune atteinte
ce critre pour cette information ou cet actif.
La classification des informations et actifs est la traduction, pour les systmes dinformation, de
lchelle de valeur des dysfonctionnements, dfinie prcdemment, en indicateurs de sensibilit
associs aux actifs du systme dinformation.
Expression des enjeux de la scurit
Lchelle de valeurs des dysfonctionnements et la classification sont deux manires distinctes
dexprimer les enjeux de la scurit.
La premire est plus dtaille et fournit plus de renseignements pour des responsables de scurit,
la seconde est plus globale et plus utile la communication sur le degr de sensibilit, avec une
perte de prcision.
MEHARI 2010 : Prsentation Gnrale 10/16 CLUSIF 2010
2.3.1 Lanalyse des enjeux, base de lanalyse des risques
Il est clair que ce module est un lment cl de lanalyse des risques et que sans consensus sur les
consquences des dysfonctionnements potentiels, tout jugement sur un niveau de risque est
impossible.
Cest une autre force de MEHARI que de prsenter une mthode rigoureuse pour valuer ces
enjeux et classifier les actifs, sans se fier au ressenti des utilisateurs et de fournir des livrables
objectifs et rationnels.
2.3.2 Lanalyse des enjeux, support de tout plan daction ou
schma directeur
Ceci tant, lanalyse des enjeux est trs souvent ncessaire pour la mise en uvre de tout plan de
scurit. En effet, quelle que soit la dmarche suivie, il y aura un moment o il faudra allouer des
moyens pour mettre en uvre les plans daction et immanquablement la question sera pose du
bien fond dun tel investissement.
Les moyens que lon est dispos octroyer la scurit sont, comme pour lassurance,
directement fonctions de limportance du risque et, sil ny a pas de consensus sur les enjeux des
dysfonctionnements redouts, il y a fort craindre que les budgets ne soient pas accords.
Ce module peut ainsi tre utilis en dehors de lanalyse des risques.
2.3.3 La classification, lment essentiel dune politique de
scurit
Nous avons dj voqu les rfrentiels ou politiques de scurit et ce mode de pilotage de la
scurit.
En pratique, les entreprises qui grent la scurit par un corpus de rgles sont amenes
diffrencier, dans les rgles elles-mmes, les actions mener en fonction de la sensibilit des
informations traites. La manire usuelle de le faire est de se rfrer une classification des
informations et des actifs du systme dinformation.
Le module danalyse des enjeux de MEHARI permet alors deffectuer cette classification.
2.3.4 Lanalyse des enjeux, base de plans de scurit
Le processus mme danalyse des enjeux, qui met bien entendu contribution les responsables
oprationnels, engendre, trs souvent, un besoin dactions immdiates.
Lexprience prouve que quand on a rencontr des responsables oprationnels un haut niveau
de responsabilit dans lentreprise, indpendamment dailleurs de la taille de lentreprise, et quils
se sont exprims sur ce quils estimaient tre des dysfonctionnements graves, cela a fait natre
chez eux des besoins de scurit dont ils navaient pas conscience et auxquels il faut rpondre
rapidement.
On peut alors btir directement des plans daction, par une approche directe et lgre base sur la
rencontre de deux expertises : celle du mtier, par les responsables oprationnels et celle des
solutions de scurit par les responsables de la scurit.

MEHARI 2010 : Prsentation Gnrale 11/16 CLUSIF 2010
2.4. Vue densemble sur les utilisations de MEHARI
Il est clair que lorientation majeure de MEHARI est lanalyse et la rduction des risques et que ses
bases de connaissance, ses mcanismes et les outils support ont t construits dans ce but.
Il est clair aussi, dans lesprit des concepteurs de cet ensemble mthodologique, que lappel une
mthode structure danalyse et de rduction de risque peut tre, selon les entreprises :
une mthode de travail permanente, principale et structurante,
une mthode de travail permanente employe concurremment avec dautres mthodes
de pilotage de la scurit,
un mode de travail occasionnel venant en complment dautres mthodes de pilotage.
Dans cet esprit, ce que MEHARI apporte est un ensemble de concepts et doutils permettant de
recourir lanalyse de risque quand cela sera jug utile ou ncessaire.
MEHARI est diffus par le CLUSIF, sous forme de fichiers tlchargeables contenant les bases de
connaissances ainsi que des manuels permettant de mieux apprhender les diffrents modules
(enjeux risques -vulnrabilits), afin daider les responsables de la scurit de linformation
(RSSI, Gestionnaires de risques, auditeurs, DSI, ..) dans laccomplissement de leurs
responsabilits.
MEHARI 2010 : Prsentation Gnrale 12/16 CLUSIF 2010
3. MEHARI et les normes
ISO/IEC de la srie 27000
La question est souvent pose du positionnement de MEHARI vis--vis des normes
internationales et en particulier celles de la srie ISO/IEC 27000
9
.
Il sagit seulement ici daborder le positionnement de MEHARI vis--vis de ces normes, en
termes dobjectifs et de compatibilit, et, plus particulirement en ce qui concerne les normes
ISO/IEC 27001, 27002 et 27005.
3.1. Objectifs respectifs des normes ISO/IEC 27001,
27002, 27005 et de MEHARI
3.1.1 Objectifs de la norme ISO/IEC 27002:2005
Cette norme indique quune organisation doit identifier ses exigences de scurit en partant de
trois sources principales :
lanalyse de risques,
les exigences lgales, statutaires, rglementaires ou contractuelles,
lensemble des principes, objectifs et exigences relatives au traitement de linformation
que lorganisation a dvelopp pour supporter ses oprations.
Partant de l, les points de contrle peuvent tre choisis et implments selon la liste fournie
dans la partie code des pratiques pour le management de la scurit de linformation de la norme ou
provenir de tout autre ensemble de points de contrle (4.2).
Note : Dans le Scope de la version 27002:2005, il est prcis que la norme fournit des
guidelines and general principles for initiating, implementing, maintaining and improving
information security management , ce qui indique que la norme ISO peut tre regarde
comme un point de dpart , mais lISO/IEC 27001 indique (1.2) que toute exclusion doit tre
justifie et quil est cependant possible dajouter des objectifs de contrle (Annexe A - A.1)
La norme ISO 27002 fournit donc un recueil de lignes directrices dont les entreprises devraient
(should) tirer parti, en prcisant que ce recueil nest pas exhaustif et que des mesures
complmentaires peuvent tre ncessaires, mais aucune mthodologie nest indique pour
laborer le systme complet de gestion de la scurit.
Par contre, chaque partie du guide des meilleures pratiques comprend des introductions et des
commentaires sur les objectifs poursuivis qui peuvent constituer une aide apprciable.
Note : La norme ISO indique galement dans son Scope quil peut tre utilis to help build
confidence in inter-organizational activities . Ceci nest pas un hasard et met en lumire un objectif
essentiel des promoteurs de la norme qui est lvaluation, voire la certification, du point de vue de
la scurit de linformation, de partenaires ou de prestataires.


9
en particulier ISO/IEC 27001:2005, 27002:2005 et 27005:2008)
MEHARI 2010 : Prsentation Gnrale 13/16 CLUSIF 2010
3.1.2 Objectifs de lISO/IEC 27001:2005
Lobjectif de lISO/IEC 27001 est clairement prsent comme celui de fournir un modle pour
tablir et grer un systme de gestion (management) de la scurit de linformation
(SMSI) dune organisation et dtre utilis soit en interne soit par des tiers, y compris des
organismes de certification .
Cet objectif dvaluation et de certification conduit mettre fortement laccent sur des aspects de
formalisation (documentation et enregistrement des dcisions, dclaration dapplicabilit,
registres, etc.) et sur les contrles (revues, audits, etc.). A ce titre, il sagit dune approche trs
oriente qualit.
Il reste que le fond de la dmarche de scurit prsente implique de raliser une analyse des
enjeux puis des risques auxquels lentreprise ou lorganisation est expose et slectionner les
mesures adquates pour rduire ces risques un niveau acceptable (4.2.1).
ISO/IEC 27001 indique quune mthode danalyse de risque doit tre utilise au sein du
processus rcursif du modle (PDCA
10
Planifier, Dployer, Contrler, Amliorer) dfini pour
raliser le SMSI.
Par ailleurs, les recommandations ou les meilleures pratiques pouvant tre slectionnes pour
rduire les risques sont alignes sur celles listes dans ISO/IEC 27002:2005 , dont la liste de
points de contrle est fournie en annexe.
Le fondement de lvaluation du systme de gestion de la scurit de linformation selon
lISO/IEC 27001 nest pas de savoir ou de vrifier si les dcisions prises sont pertinentes et si
elles refltent bien les besoins de lentreprise, mais de vrifier quune fois ces dcisions prises, le
systme de pilotage est bien tel que lon pourra avoir une certaine assurance quelles seront
appliques ( on dsignant un auditeur ou un certificateur).
3.1.3 Objectifs de lISO/IEC 27005:2008
Les objectifs de cette norme ne sont pas de constituer une mthode complte de gestion de
risque mais de fixer un cadre minimum et dimposer des exigences, tant pour le processus
suivre, que pour lidentification des menaces et des vulnrabilits permettant destimer les risques
et den valuer le niveau puis de pouvoir slectionner le mode de traitement ainsi que les plans et
les lments (dont les mesures de scurit et les indicateurs) destins amliorer la situation.
Il ne sagit donc pas dun ensemble mthodologique complet et autosuffisant il est mme
prcis que le choix dune mthode doit tre fait mais dun cadre permettant dviter le choix de
mthodologies trop simplistes et/ou trop loignes de la notion de gestion de risque voulue par
les normalisateurs.
3.1.4 Objectifs de MEHARI
MEHARI se prsente comme un ensemble cohrent, complet et autosuffisant doutils et de
mthodes de gestion et de pilotage de la scurit, fonds sur une analyse prcise des risques. Les
aspects fondamentaux de MEHARI que sont le modle de risque (qualitatif et quantitatif), la prise
en compte, dans ce modle dune valuation quantitative de lefficacit des services de scurit
mis en uvre ou projets, les possibilits dvaluation et de simulation des effets des mesures
envisages sur les niveaux de risques rsiduels sont des complments indispensables lutilisation
des normes de la srie ISO 27000 et, en particulier celle de lISO/IEC 27005.


10
PDCA, en anglais : Plan, Do, Check, Act
MEHARI 2010 : Prsentation Gnrale 14/16 CLUSIF 2010
3.1.5 Analyse compare des objectifs de MEHARI et des normes
ISO/IEC 27002 et ISO/IEC 27001
Les objectifs initiaux de MEHARI dune part et des normes ISO ci-dessus mentionnes dautre
part sont diffrents :
MEHARI vise donner des outils et des mthodes pour slectionner les mesures de
scurit les plus pertinentes, techniquement et conomiquement, pour une entreprise
donne, et pour valuer les risques rsiduels encourus une fois ces mesures mises en
place, ce qui nest absolument pas le point de vue des deux normes ISO.
Les deux normes ISO fournissent un ensemble de bonnes pratiques, certainement utiles
mais pas forcment adaptes aux enjeux de lorganisation, et un moyen de jugement de
la maturit, au plan de la scurit de linformation, dentits internes autonomes ou de
partenaires.
Au sein de lensemble MEHARI, le Manuel de rfrence des services de scurit qui donne des
lments dtaills pouvant tre utiliss pour btir un rfrentiel de scurit peut tre compar la
norme ISO/IEC 27002 . Concernant cet aspect, il est clair que la couverture des services de
MEHARI est plus vaste que celle de lISO et couvre des aspects essentiels de la scurit en dehors
des systmes informatiques proprement dits.
3.2. Compatibilit de ces approches
Lapproche de MEHARI est, en ralit, totalement conciliable avec celle de lISO 27002 car, bien
quelles ne poursuivent pas les mmes objectifs, il est possible de reprsenter facilement (si cela
est souhait) les rsultats obtenus lissue de la dmarche MEHARI en indicateurs de conformit
de lorganisation aux objectifs de contrle figurant dans ISO 27002.
MEHARI permet de rpondre la demande des deux normes (ISO 27001 et 27002) de sappuyer
sur une analyse de risques pour dfinir les mesures mettre en uvre.
3.2.1 Compatibilit avec ISO/IEC 27002 :2005
Les contrles standards ou bonnes pratiques de lISO sont majoritairement des mesures
gnrales (organisationnelles et comportementales) alors que MEHARI, tout en intgrant ces
mesures, met prioritairement laccent sur des mesures dont on puisse garantir lefficacit pour
rduire les vulnrabilits.
Malgr cette diffrence, il existe, dans MEHARI, des tables de correspondance qui permettent de
fournir des rsultats sous forme dindicateurs aligns sur le dcoupage de la norme ISO/IEC
27002:2005, pour ceux qui ont un besoin particulier de fournir des preuves de conformit cette
norme.
Il est bon de rappeler ici que les questionnaires daudit de MEHARI sont conus et dcoups afin
de raliser efficacement lanalyse des vulnrabilits auprs des responsables oprationnels
concerns et den dduire la capacit de chacun des services de scurit rduire les risques.
3.2.2 Compatibilit avec ISO/IEC 27001
Il est ais dintgrer MEHARI dans les processus PDCA (Planifier Dployer Contrler
Amliorer) dfinis par lISO/IEC 27001, principalement dans la phase Planifier (4.2.1) dont
MEHARI couvre compltement la description des tches permettant dtablir les bases du SMSI.
Pour la phase Dployer (4.2.2), destine implmenter et administrer le SMSI, MEHARI
MEHARI 2010 : Prsentation Gnrale 15/16 CLUSIF 2010
apporte des lments initiaux utiles tels que ltablissement des plans de traitement des risques,
avec des priorits directement lies la classification des risques et des indicateurs de progrs au
cours de leur ralisation.
Pour la phase Contrler (4.2.3), MEHARI fournit les lments permettant de dterminer les
risques rsiduels partir de lvaluation (ou audit) des services de scurit et les amliorations
introduites dans les mesures de scurit. Par ailleurs, toute modification de lenvironnement
(enjeux, menaces, solutions et organisation) peut tre rvalue aisment par des audits plus cibls
sappuyant sur les rsultats de laudit initial ralis par MEHARI afin de rviser les plans de scurit
au fil du temps.
Pour la phase Amliorer (4.2.4), MEHARI appelle implicitement au contrle et lamlioration
continus de la scurit afin dassurer la tenue des objectifs de rduction des risques. Dans ces
trois phases, MEHARI nest pas au cur des processus mais contribue leur ralisation et
lassurance de leur efficacit.
3.2.3 Compatibilit avec la norme ISO/IEC 27005:2008
Le cadre fix par la norme ISO sapplique strictement la faon dont MEHARI permet de grer
les risques, en particulier pour :
Le processus danalyse, dvaluation et de traitement de risque (repris dISO 13335),
Lidentification des actifs primaires (ou primordiaux) et de support ainsi que les niveaux de
classification (ou de valorisation) attachs, suite lanalyse des enjeux,
Lidentification des menaces et la dtermination de leur niveau (exposition naturelle), pour
laquelle MEHARI est plus prcis dans la description des scnarios de risque,
Lidentification et la valorisation de lefficacit des mesures de scurit existantes, destines
rduire les vulnrabilits contextuelles,
La prise en compte de ces lments pour indiquer le niveau de gravit des scnarios de risque sur
une chelle 4 niveaux,
La slectivit dans le choix des mesures de scurit intgrer dans les plans de rduction des
risques.
Ainsi la mthode MEHARI, non seulement sintgre facilement dans une dmarche de SMSI, telle
que dcrite dans ISO 27001, mais aussi satisfait entirement les exigences dictes par ISO 27005
pour une telle mthode.



L E S P R I T D E L C H A N G E



CLUB DE LA SCURIT DE L'INFORMATION FRANAIS
30, rue Pierre Smard
75009 Paris
01 53 25 08 80
clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur
www.clusif.asso.fr