Plus faibles sont les risques, meilleure est l'entreprise


Les Méthodologies

MARION (méthode d'analyse de risques informatiques optimisée par niveau)

Cette méthode d'analyse de risques informatiques optimisée par niveau est une méthode d'audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité informatique d'une entreprise. L'objectif est double:

  • Situer l'entreprise auditée par rapport à un niveau jugé correct, et par rapport au niveau atteint par les entreprises similaires
  • Identifier les menaces et vulnérabilités à contrer.

MARION ne traite pas les menaces, vulnérabilités et risques liés à la complexité des réseaux étendus, des applications distribuées, des extranets collaboratifs.

La méthode MARION n'a plus évolué depuis 1998. Le CLUSIF propose désormais une méthode harmonisée d'analyse des risques (Méhari) .

MEHARI (méthode harmonisée d'analyse des risques)

Mehari est une méthode de gestion des risques qui couvre la globalité du cycle de risk management. Elle a été conçue pour être adaptable au contexte de l'entreprise mais ne dispose pas de déclinaison par typologie d'entreprise ou métier. Elle est dérivée des méthodes Marion et Melisa.

Mehari couvrent les enjeux et les objectifs de l'entreprise afin de livrer un résultat « business » quant aux mesures de sécurité à mettre en ouvre. Les différentes phases sont d'établir le contexte d'entreprise, d'identifier les actifs et les menaces, d'analyser les risques et enfin de définir les mesures de sécurité (traitement du risque).

Mehari respecte les principes de risk management définis dans la norme ISO 13335 partie 2.

Elle prévoit la démarche de sécurité de l'information à 2 niveaux :

  • Niveau stratégique : niveau liée au(x) métier(s) de l'entreprise et indépendantes des processus et technologies mis en ouvre. Ce niveau fixe les objectifs de sécurité et le métrique des risques.
  • Niveau opérationnel : entité, filiale, branche, business unit qui met en ouvre cette politique et la décline en analyse précise des risques, définition des mesures de sécurité à mettre en ouvre et pilotage de la sécurité dans le temps (contrôles et tableaux de bord)

La méthode contient des moteurs d'évaluation quantitative

  • La qualité des services de sécurité
  • Facteurs de risque (menaces)
  • La potentialité, de l'impact et de la gravité de chaque scénario de risque
  • Des besoins d’amélioration des mesures de sécurité.

MEHARI peut ainsi s'insérer dans une démarche de type SMSI promue par l’ISO 27001, en identifiant et évaluant les risques dans le cadre d’une politique de sécurité (P), en fournissant des indications précises sur les plans à bâtir (D) à partir de revues des points de contrôle des vulnérabilités (C) et dans une approche cyclique de pilotage (A). Ainsi Mehari apporte une aide efficace pour manager et sécuriser l’information de toute sorte d’organisation.