Soutenue et développée par le clusif , Mehari™ V3 et son évolution Mehari 2007 est une méthodologie qui fournit une démarche de management des risques SSI très complète en 5 étapes.

Basée sur un modèle Cause (et sa Potentialité) Conséquence (et son Impact), Méhari s'intéresse à la notion très riche de Scénario de Risque.

Chaque scénario de risque met en relation un Actif (ou Ressource critique classifiée) participant aux processus critiques de l'entreprise et une Menace ou Vulnérabilité potentielle menaçant cet actif.

Le modèle de risque Méhari :

A chaque scénario de risque est associé dans une base de connaissance un certain nombre de caractéristiques comme :

• l'exposition naturelle,
  
• la typologie d'impact (Disponibilité, Intégrité, Confidentialité) sur les actifs ou ressources impactés,
• la typologie de cause  (accident , erreur, malveillance, acte volontaire non malveillant)
  
• les diverses mesures de sécurité (dissuasive, préventive, palliative, de protection, de récupération) suceptibles de réduire l'impact induit et la probabilité de survenance de ce scénario,
• les effets respectifs ou combinés de ces mesures de sécurité  (appelées services et  sous-services de sécurité).

Partant du constat que le besoin est de définir un niveau « acceptable » de risque, elle permet, par plusieurs voies (voir ci-dessous) d'analyser l'impact des enjeux et des vulnérabilités sur le niveau d'acceptabilité du risque et, partant, d'établir des priorités dans un plan d'action opérationnel.

La méthodologie Méhari™ laisse une certaine liberté dans l'approche de la construction des plans d'action soit sur la base d'un audit préalable de sécurité, soit sur la base d'une analyse des situations de risques.

Sources CLUSIF