Méhari 2010

Petite information qui est à priori passée inaperçue… La méthode d’analyse des risques sécurité Méhari est passée en version 2010.

Personnellement, je trouve cette méthode assez applicable, et surtout intéressante car bien documentée, fournie avec des outils (feuilles Excel ou OpenOffice Calc) complets, et surtout gratuite. J’en avais déjà parlé lors de la sortie de la version précédente, en 2007, et j’en étais satisfait.

Mehari 2010, pour rappel, est une méthode permettant d’évaluer le niveau de risques d’une entité, d’un processus ou d’un domaine métier, puis d’envisager des scénario d’action correctives en fonction du niveau de risques. Elle s’inscrit à cet égard totalement parfaitement dans le cadre des outils à utiliser pour la mise en conformité ISO 27001-2, et est conforme aux exigences de la norme ISO/IEC 27005 traitant de la gestion des risques.

Evolutions 2010

Sur le plan des outils et des documentations, pas grand changement sur la forme, la version 2010 de la méthode ne devrait pas perturber les anciens utilisateurs. Quelques changements de concepts pour mieux coller aux besoins réels et aux normes ISO 270012, des clarifications sur les définitions de termes telles que Menaces, une meilleure structure des scénario de risque qui définit désormais plusieurs niveaux d’assets, une clarification des questionnaires en cas d’ambiguïté d’interprétation, etc…

Certes, effectuer une évaluation des risques reste fastidieux, quelle que soit la méthode choisie, mais il en est toujours ainsi. C’est là que la qualité des documentations et des outils fournis sont primordiaux pour ne pas se retrouver dans une situation complexe. De plus, il faut savoir adapter le tout en fonction du contexte et des besoins réels, c’est tout le savoir-faire du RSSI qui entre en considération sur ce plan.

Télécharger le tout

Il existe deux versions de la même méthode, selon que vous utilisez OpenOffice ou Excel. En effet, les feuilles de calcul fournies contiennent de nombreuses macros et méthodes de calcul spécifiques. Le résultat, cependant, reste le même, bien entendu.

Je vous laisse télécharger le tout. Il faudra prendre la méthode (fichiers ZIP), ainsi que tous les fichiers PDF de documentations, si vous voulez être efficace.

Merci pour le travail

En tout cas je remercie les personnes qui se sont impliquées dans l’élaboration et la mise à jour de cette méthode, qui représente un travail important et utile. C’est bien moins amusant que de coder un shellcocde ou un outil de pentesting en python, et les auteurs sont souvent oubliés… voilà, hommage rendu !