METHODES

MEHARI 2010
Manuel de référence de la base de connaissances MEHARI 2010
Révision avec les liens vers ISO 27002 :2013

avril 2016

Mehari est diffusé en mode Logiciel libre et gratuit

CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS

11, rue de Mogador, 75009 PARIS

Tél. : +33 1 53 25 08 80 – Fax : +33 1 53 25 08 88 – e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr
Sommaire
1   Feuilles de calcul contenues dans le classeur ........................................................................................... 4  

2   Description générale des feuilles de calcul utilisées ................................................................................ 5  

2.1   Appellation des feuilles de calcul ...................................................................................................... 5  
2.2   Feuille Intro .......................................................................................................................................... 5  
2.3   Feuille Dossier ..................................................................................................................................... 5  
2.4   Feuille Licence .................................................................................... Erreur ! Signet non défini.  
2.5   Feuilles de classification T1(données), T2 (services) et T3(processus de management ........... 6  
2.6   Feuille Classif ....................................................................................................................................... 7  
2.7   Feuilles de diagnostic des services de sécurité ................................................................................ 8  
2.8   Feuille Services ..................................................................................................................................... 8  
2.9   Feuille Thèmes ..................................................................................................................................... 9  
2.10   Feuille Score ISO............................................................................................................................... 9  
2.11   Feuille Expo ...................................................................................... Erreur ! Signet non défini.  
2.12   Feuille Scénarios ................................................................................................................................ 9  
2.13   Feuille Risk%actif ............................................................................................................................11  
2.14   Feuille Risk%event ..........................................................................................................................11  
2.15   Feuille Plans_action ........................................................................................................................12  
2.16   Feuille Obj_PA ................................................................................................................................12  
2.17   Feuille Obj_Projets .........................................................................................................................13  
2.18   Feuille Vulnérabilités types ............................................................................................................13  
2.19   Feuille Grilles_IP .............................................................................................................................14  
2.20   Feuille Gravité..................................................................................................................................14  
2.21   Feuille Corr_Services ....................................................................... Erreur ! Signet non défini.  
2.22   Feuille Codes ....................................................................................................................................14  
3   Traitements et calculs effectués .............................................................................................................. 15  
3.1   Traitements et fonctions utilisées ...................................................................................................15  
3.2   Macros (sous Excel) ..........................................................................................................................17

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
1 Feuilles de calcul contenues dans le Jean Louis Roule 2/4/y 22:05
Supprimé: Saut de page

classeur
Les feuilles de calcul contenues dans le classeur distribué par le CLUSIF sont de plusieurs types:

— 3 feuilles de présentation et de mise en œuvre :

 Intro
 Nav
 Classeur
— 5 feuilles relatives aux résultats de l’analyse des enjeux et de la classification des actifs puis à
la détermination de la potentialité d’événements redoutés qui constituent la source des
risques :
 T1, T2 et T3 : exigences de sécurité pour les processus métiers et transverses
 Classif : report des niveaux de classification des actifs à partir de T1, T2 et T3
 Expo : évaluation de l’exposition naturelle aux risques
— Des feuilles relatives au diagnostic des services de sécurité et à la conformité
 01 Org à 14 ISM : questionnaires de diagnostic (une par domaine)
 Services : récapitulation des résultats des diagnostics par service
 Thèmes : récapitulation, par « thème » de sécurité
 ISO 27002 : résultats des diagnostics selon la classification ISO 27001/27002:2013 et
table de déclaration d’applicabilité (SOA)
— Des feuilles relatives à l’évaluation des risques :
 Scénarios : description des scénarios
 Risk%actif et Risk%event : récapitulatif de la gravité des scénarios par type d’actif et
par type d’événement ainsi que boutons de navigation dans le temps du traitement des
risques
— Des feuilles relatives à la préparation de plans d’action :
 Plans_d’action : Récapitulatif des scenarios par famille et des plans d’action possibles
 Obj_PA : Récapitulatif des objectifs issus des plans d’action
 Obj_Projets : objectifs prévus ou atteints par projet
— 4 feuilles d’éléments permanents et de paramétrage de la méthode :
 Vulnérabilités types
 2 feuilles de paramétrage : Grille-IP et Gravité
 1 feuille de codes (masquée) servant dans la description des scénarios
Le fichier peut être ouvert avec Excel ou tout tableur compatible.

Cette révision de la base de connaissance a été réalisée par le groupe de travail du CLUSIQ avec con-
tributions de Jean-Philippe Jouas et Jean-Louis Roule.
Mehari est distribué librement, selon les règles de Creative Commons.

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
2 Description des feuilles de calcul
Conventions utilisées pour ce document:
— Texte normal pour la description de la feuille,

— Exprime la possibilité d’entrer normalement des données pour effectuer l’analyse de risque

— Exprime une possibilité additionnelle plus experte dans le traitement des résultats.

2.1 Appellation des feuilles de calcul

Les feuilles de calcul ont des appellations qui sont reprises dans les descriptions ci-dessous, mais éga-
lement par les fonctions de calcul utilisées pour la mise à jour des bases. Il est donc demandé de ne
pas les changer (sinon il faut intervenir sur les fonctions).
Cependant, il est possible, lors d’un travail d’analyse MEHARI, d’ajouter des feuilles pour décrire des
éléments de suivi ou de description des actions et des intervenants impliqués ou de créer un autre fi-
chier (tableur ou autre) destiné à constituer un dossier de la démarche. De même en fin des lignes ou
des colonnes utilisées, il est généralement possible d’ajouter d’autres éléments complémentaires.
Les feuilles sont protégées, sauf pour les cellules (non verrouillées) pouvant être utilisées pour entrer
les résultats, explications ou commentaires obtenus par l’équipe d’analyse de risque. Le fond des cel-
lules verrouillées est généralement coloré. Il est expressément demandé de ne pas retirer la pro-
tection des feuilles sans raison majeure.
Par convention, une cellule est désignée par le couple («numéro de ligne», «lettre de colonne»).
Exemple : 21,D.
Le nom du classeur lui-même est indifférent.

2.2 Feuilles Intro et Nav

La feuille Intro donne des indications sur les feuilles (ou onglets) et sur l’utilisation de la base.
Sous Excel-Windows, il est possible de masquer, en fonction des phases de travail (enjeux, diagnostic,
analyse, traitement, paramétrage), certaines feuilles de calcul par groupe.
Nota : Les utilisateurs ayant refusé d’activer les macros au chargement de la base n’ont pas accès à
cette fonction. Ils peuvent cependant masquer ou démasquer des feuilles de calcul en utilisant les
fonctions standard du tableur.
La feuille Nav permet de visualiser l’enchainement des différentes étapes d’évaluation et de traitement
de risque. L’ordre des feuilles de la base de connaissances correspond aux étapes de l’évaluation et du
traitement de risque.

2.3 Feuille Classeur

Cette feuille permet de décrire les intervenants et les conditions de réalisation de l’évaluation et du
traitement de risque. Ainsi l’appropriation et la journalisation des travaux effectués permet de revenir
sur les résultats obtenus lors de chaque itération de traitement de risque ou de comparer plusieurs

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
chantiers correspondant à des périmètres (filiales, sites, etc.), des dates ou des objectifs différents (con-
tinuité d’activité, contrôle d’accès, développements, etc.) de votre organisation.
Cette feuille contient l’échelle utilisée pour quantifier les conséquences des divers dysfonctionnements
redoutés et permettant de donner une valeur d’impact maximum aux classifications des différents ac-
tifs (voir le guide de l’analyse des enjeux et de la classification).

2.4 Feuilles de classification T1(données), T2 (services) et

T3(processus de management
Ces feuilles sont utilisées pour intégrer les résultats de l’analyse des enjeux et du processus de classifi-
cation des actifs (voir guide correspondant).
La colonne A de la feuille T1 contient le nom de domaines d’activité, de processus métiers et de pro-
cessus transverses (gestion des identités et des droits, administration des systèmes et des réseaux, assis-
tance aux utilisateurs, etc.)
La colonne B de la feuille T1 contient une description de fonction,
La colonne C (sélection) de la feuille T1, remplie par défaut à 1, indique que le processus est inclus
dans le périmètre de l’analyse de risque. Il faut forcer la valeur 0 pour exclure le processus, cela peut
être fait à tout moment si l’on veut apporter un focus sur une ou plusieurs activités.

Ces trois colonnes sont automatiquement recopiées dans les mêmes colonnes des feuilles T2 et T3.
Ligne 2 : fournit l’indication du type d’actif considéré dans la colonne.
Ligne 3 : indique le critère de sécurité D (Disponibilité), I (Intégrité), C (Confidentialité) or E (Effi-
cience) attaché à l’actif de la ligne 2.
Ligne 4 : contient le nom de code de l’actif indiqué en ligne 2.
Chacune des lignes 5 à 25 de chaque feuille correspond à une activité ou un processus métier ou
transverse inclus dans le périmètre.
Les cellules des lignes 5 à 25 de chaque feuille doivent contenir le niveau de classification (de 1 à 4)
pour chaque critère de sécurité de chaque actif en fonction de l’analyse des enjeux et de la cartographie
effectuée. (voir le guide de l’analyse des enjeux et de la classification).
Ce niveau de classification doit être déterminé avant de commencer l’analyse de risque et correspond
aux conséquences négatives maximum de dysfonctionnement affectant ce critère de l’actif considéré
processus ou activité par processus, cette valeur correspondra pour l’analyse de risque à l’impact in-
trinsèque des scénarios.
Ligne 26 (Classification pour l’ensemble) : chaque cellule est automatiquement remplie par la méthode
avec la valeur la plus élevée des cellules précédentes dans la colonne. En fonction de cette valeur, les
cellules sont colorées en vert (2), orange (3) or rouge (4). Cette classification est donnée à titre indica-
tif, car l’analyse de risque sera effectuée à partir de la ligne ‘’Classification des activités sélectionnées.
Ligne 27 (Classification des activités sélectionnées) : est automatiquement remplie comme pour la
ligne précédente mais seulement pour les domaines d’activité et les processus inclus dans le périmètre
d’analyse de risque par le contenu de la colonne C.
Ainsi, il est possible de réaliser une première analyse de risque sur un nombre restreint d’activités
et/ou de processus puis d’en considérer plus dans les itérations suivantes ou de réaliser une analyse de
plus en plus fine. Cela correspond aussi à la facilité de définir les frontières (boundaries) d’un SMSI se-
lon la norme ISO/IEC 27001.
La sélection autorisée par la colonne C permet aussi de préparer la présentation des résultats aux ma-

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
nagers. Ainsi il est possible, après l’analyse de risque, de visualiser de manière unitaire les niveaux de
risque résultants et les améliorations des services de sécurité propres à réduire les risques d’un (ou plu-
sieurs) processus.

Attention : du fait de la recopie automatique de la feuille T1 dans T2 et T3, il faut modifier le nombre
de lignes des feuilles T1 à T3 de manière identique et synchronisée.

2.5 Feuille Classif

Cette feuille reçoit automatiquement les synthèses en provenance de T1, T2 et T3 et contient pour
chaque type d’actif et chaque critère de sécurité, la classification de l’actif qui sera utilisée comme Im-
pact Intrinsèque pour l’évaluation des scénarios de risque.
La colonne F est remplie par défaut avec la valeur 1, forcer 0 permet de désélectionner le type d’actif
correspondant. La désélection se traduit par le fait que les scénarios correspondant à ce type d’actif ne
sont pas pris en compte dans les feuilles scénarios, Plans_action, Risk%actif et Risk%event.
Ainsi il est possible de limiter (ou d’exclure) l’analyse de risque à certains actifs (par exemple les ré-
seaux ou la sécurité physique) ou, lors du traitement des résultats, de visualiser les améliorations desti-
nées à traiter ces actifs.
L’attention est portée sur le fait que l’impact donc la gravité des scénarios de risque résulte des travaux
que l’organisme doit réaliser AVANT ou au tout début de l’évaluation de risque.

2.6 Feuille Expo

La feuille Expo contient le tableau des événements déclencheurs de scénarios dont la probabilité cons-
titue la Potentialité Intrinsèque (exposition naturelle) des scénarios.

— Colonne A à D : les colonnes A à D contiennent les types d’événements et les codes corres-
pondants
— Colonne E : la colonne E contient la valeur (de 1(très faible niveau d’exposition) à 4 (très
forte exposition)) de l’exposition naturelle proposée en standard par la méthode.

— La colonne F permet de forcer une valeur spécifique pour l’entité si la valeur standard ne
s’applique pas à sa situation ou à son environnement.
— La colonne G contient par défaut la valeur standard et, si une valeur a été entrée en colonne
F, cette dernière valeur est prise en compte.
— La colonne H (remplie par défaut avec des 1) permet de désélectionner (valeur 0) des me-
naces (événements déclencheurs), alors tous les scénarios correspondants sont automatique-
ment désélectionnés aussi.
— La colonne I permet de commenter la valeur décidée pour chaque type d’événement.
L’attention est portée sur le fait que l’exposition naturelle donc la gravité des scénarios de risque
résulte des travaux que l’organisme doit réaliser AVANT ou au tout début de l’évaluation de
risque. Voir le « guide de l’analyse et du traitement des risques »

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
2.7 Feuilles de diagnostic des services de sécurité
Ces feuilles, au nombre de 14, sont organisées par domaine et numérotées de 01 Org à 14 Msi
Toutes ces feuilles ont la même organisation :

— Colonne A : numéro de service, de sous-service ou de question

— Colonne B : libellé du service, du sous-service ou de la question
— Colonnes C (R-V1) à F (R-V2) : réservées aux réponses possibles pour 4 variantes de do-
maine maximum dans le schéma d’audit. Le nombre de variantes retenues doit être indi-
qué sur la première ligne, colonne C (la valeur par défaut étant 1).
Les réponses à chaque question doivent être 1 (Oui), 0 (Non) ou X (Sans Objet).
Il est possible de déclarer globalement un sous-service comme sans objet en indiquant un
X sur la ligne du titre du sous-service, dans la colonne de la variante considérée (cette décla-
ration est reportée automatiquement dans la feuille Services).
— Colonnes G à I : paramètres de calcul de la qualité de service (voir le guide du diagnostic des ser-
vices de sécurité)
— Colonne J : paramètre (E pour Efficacité, R pour Robustesse et C pour Continuité) caracté-
ristique de la mesure de sécurité pouvant permettre de faire des sélections de questions (en
mode expert).
— Colonne K : Référence au (ou aux) paragraphe de l’ISO/IEC 27002 pertinent pour la ques-
tion
— Colonne L : réservée pour des commentaires libres de l’auditeur.
Les seules colonnes à remplir lors d’un diagnostic sont C à F et L.
La feuille 14 Msi ne contribue pas à l’analyse de risque mais permet d’évaluer le niveau de réalisa-
tion dans le cadre éventuel d’un processus de management de la sécurité de l’information
(ISMS).

2.8 Feuille Services

La feuille Services fait la synthèse des diagnostics et permet d’évaluer la qualité des services de sécurité.
Chaque service est évalué, sur une échelle allant de 0 à 4 et les évaluations concernant la qualité de
chaque service, pour chaque variante retenue du schéma d’audit, sont regroupées dans la feuille Ser-
vices :

— Colonne A : numéro du domaine, compris entre 01 et 14

— Colonnes B et C : numéro et description des services de sécurité (standard MEHARI)
— Colonne D : Indique le thème de sécurité auquel le service répond (voir feuille thèmes).
— E à H : Niveau de qualité calculé des services de sécurité (de 0 à 4). En fonction du schéma
d’audit (appelé décomposition cellulaire dans les versions précédentes), plusieurs diagnostics
d’un même service peuvent être réalisés pour différentes instances. Les réponses ayant été
notées dans des colonnes différentes dans chaque domaine sont utilisées pour calculer la qua-
lité de chaque service pour chaque variante.
Les questions sans objet (notées X) ne sont pas prises en compte pour la pondération.
En cas de réponses partielles, pour un service (ou une variante de service), la moyenne pon-
dérée est calculée en prenant les notes des questions auxquelles il a été répondu, mais en divi-
sant par la somme des poids de toutes les questions (sauf questions sans objet avec un X
comme réponse).

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
 — Colonne I : minimum des variantes retenues. Par mesure de précaution, ce minimum est uti-
lisé pour l’évaluation des risques. Le minimum est arrondi à la valeur entière la plus proche
avec un minimum de 1.
— Colonne J : Objectif de qualité retenu par les divers plans d’action (voir feuilles Plans_action
et Obj_PA) ou pour les objectifs fixés par projet (feuille Obj_projets). Il est en effet possible,
dans les plans d’action de fixer un objectif aux services de sécurité. De même on peut assi-
gner des objectifs à plusieurs services de sécurité dans des projets. Si un service a fait l’objet
de plusieurs décisions, le niveau maximum fixé comme objectif est reporté automatiquement
dans cette colonne.
Colonne K : colonne de travail utilisée par les plans d’action et la simulation des risques ré-
siduels. Selon l’option choisie, bouton de la feuille Risk%actif, cette colonne contient soit la
qualité actuelle du service soit sa qualité objectif (plus exactement le maximum de la qualité
actuelle et de la qualité objectif).

2.9 Feuille Thèmes

Cette feuille indique des « thèmes de sécurité » et, pour chaque thème, les services et sous-services de
MEHARI qui pris en compte pour évaluer ce thème.
Les calculs sont effectués (par la moyenne des services concernés) :
- colonne D : en valeur actuelle (compte tenu du diagnostic de l’état des services de sécurité)
- colonne E : en valeur future (compte tenu des objectifs retenus, bouton choisi dans la feuille
« Risk%actif »

2.10 Feuille ISO 27002

Cette feuille permet d’indiquer une note (score) des points de contrôle de la norme ISO/IEC
27002:2013 en fonction des réponses aux questionnaires d’audit MEHARI.

— Colonnes A à D : introduisent la liste des pratiques (‘’controls’’) de la norme

— Colonne E : questions de MEHARI correspondant strictement au ‘’control’’ de la norme
— Cellule (2,F) : si positionnée à 1, les questions référencées en colonne sont sur fond jaune
dans les feuilles 01 0rg à 13 Man.
— Colonne F : note de 0 à 10, de la ‘’conformité’’ pour le ‘’control’’, résultat de la division du
nombre de réponses positives par le nombre total de questions, multiplié ensuite par 10.
Le score est calculé uniquement en fonction de la variante 1 de chaque domaine.
— Colonne G : remplie par défaut à 1, ce qui indique que le contrôle doit être intégré dans la
déclaration d’applicabilité de ISO 27001 (SOA). Forcer 0 permet de retirer l’objectif de con-
trôle associé lors d’un processus de SMSI selon ISO 27001.
— La colonne H est utilisée pour indiquer la justification de cette décision (maintien ou retrait).
— La colonne I indique l’attribution de cette responsabilité

2.11 Feuille Scénarios

La feuille Scénarios contient les scénarios de risque de la base de connaissances :

— Colonne A : colonne contenant des codes de famille de scénarios utilisés également dans la

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
 feuille Plans d’action.
— Colonne B (masquée) : colonne contenant des codes utilisés uniquement pour le libellé litté-
ral du scénario
— Colonne C : type d’actif primaire concerné
— Colonnes D à G : Vulnérabilité exploitée décrite par un type d’actif secondaire, critère (tel
que D, I, C ou E, pour Efficience) et un type de dommage subi et un code significatif de la
vulnérabilité ou de l’exigence de conformité.
— Colonnes H à N : Menace à l’origine du risque, caractérisée par un type d’événement (décrit
par des types et sous-types d’événements, des circonstances de lieux, de temps, de type
d’accès et de processus et un type d’acteurs, le tout sous forme de code (les codes sont expli-
cités dans la feuille Codes).
— Colonne O : libellé descriptif du scénario
— Colonne P : Sélection directe et manuelle du scénario, décidée par l’auditeur. Seuls les scéna-
rios sélectionnés, par un 1 (valeur par défaut) dans cette colonne, ont une gravité qui est éva-
luée et sont pris en compte dans les feuilles de synthèse Plans d’action, Risk%actif et
Risk%event. La sélection des scénarios est prise en compte lors de l’étape
d’identification des risques.
— Colonnes Q et R : codes permettant de différencier la cause du scénario (A pour accident, E
pour Erreur ou M pour Malveillance, V pour acte Volontaire non malveillant) ou sa consé-
quence (D pour Disponibilité, I pour Intégrité et C pour Confidentialité, L pour Limitable).
Ces indications sont utilisées par les formules de calcul de la base de connaissances pour sé-
lectionner les grilles de calcul de potentialité et d’impact.
— Colonnes S et T : Report de l’impact intrinsèque et de l’exposition naturelle (Potentialité in-
trinsèque) du scénario. Ces indicateurs sont remplis automatiquement à partir des colonnes C
et D, pour l’impact intrinsèque, et H et I pour l’exposition naturelle.
— Colonne U (Grav.) : évaluation de la Gravité intrinsèque, calculée sans facteur de réduction de
risque, à partir de l’impact intrinsèque et de l’exposition naturelle.
— Colonnes V à Y : évaluation des divers facteurs de réduction du risque (Dissuasion, Préven-
tion, Confinement, Palliation), en fonction de la qualité des services de sécurité. Nota : en
cas de variantes dans le schéma d’audit, c’est le minimum des évaluations des diverses va-
riantes qui est pris en compte pour calculer les facteurs de réduction de risque.
— Colonne Z : Caractère « confinable » (1) ou non confinable (0) du scénario (valeur standard
attribuée par le CLUSIF). Par mesure de précaution, certains scénarios sont considérés, par
défaut, comme non confinables malgré l’existence de mesures de confinement.
— Colonne AA (Confinabilité décidée) : les cellules de la colonne sont livrées vides, mais une valeur
différente de la valeur standard de la colonne Z permet de décider de la prise en compte (ou
non) des mesures de confinement .
— Colonnes AB et AC : Impact décidé et Potentialité décidée. Ces colonnes permettent de for-
cer un impact et/ou une potentialité à une valeur différente de celle qui est automatiquement
calculée (voir guide de la gestion des risques).
— Colonnes AD et AE (Impact calculé et Potentialité calculée) : évaluations calculées de l’Impact et
de la Potentialité du scénario en fonction de l’impact intrinsèque, de l’exposition naturelle et
des facteurs d’atténuation de risque.
— Colonne AF (Gravité calculée) : Gravité établie en fonction des valeurs de I et de P décidées
(colonnes AB et AC) ou calculées (colonnes AD et AE) et de la grille de gravité.
— Cellule (1,AA) (Prise en compte des services de sécurité) : la feuille Plans action permet de basculer

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
 rapidement entre trois vues successives des risques : intrinsèques, actuels et futurs (suite aux
mesures additionnelles planifiées). La valeur 0 de cette cellule indique que la colonne AF re-
prend le résultat de la colonne U Gravité intrinsèque.
La valeur 1 donnera la valeur actuelle ou future en fonction de la cellule (2,N) de la feuille
Plans_action.

— Colonne AG (Scénario accepté ou transféré) : Il est possible d‘indiquer, dans cette colonne, que
l’on accepte le risque du scénario, malgré sa gravité ou qu’on le traite par transfert du risque
(par l’assurance notamment). Certains scénarios peuvent ainsi être acceptés (A), même si leur
gravité est forte, ou considérés comme transférés (T), ils ne sont alors pas comptés dans les
récapitulatifs (nombre de scénarios par niveau de gravité) des feuilles « plans_action »,
« Risk%actif » ou Risk%event ».
— Colonne AH : colonne de travail (vide si le scénario est accepté ou transféré, gravité calculée
sinon).
— Colonnes AI à AL : colonnes contenant les formules littérales des facteurs d’atténuation de
risque.
— Colonnes AM à AT : colonnes de travail pour les formules.

2.12 Feuille Risk%actif

Cette feuille contient un tableau (colonnes A à Q) récapitulatif du nombre de scénarios, par niveau de
gravité, par type d’actif et par critère de classification (D, I et C ou E).
C’est une vue de synthèse qui permet d’aller directement travailler, dans le Plans d’action, sur une fa-
mille de scénarios.
A cette fin, des liens hypertexte sont inclus (colonne >) permettant de pointer directement sur une
famille de scénarios (et donc un type d’impact) dans la feuille Plans d’action.
Les lignes 41 et 42 indiquent le cumul du nombre de scénarios de la colonne (ayant le même niveau de
gravité).
Les colonnes S à X contiennent des boutons qui permettent de choisir de représenter ces résultats
dans le temps :
- en l’absence de tout service de sécurité
- en fonction de l’état actuel (lors du diagnostic des mesures de sécurité)
- à partir des services décidés dans la feuille Plans_action
- suite aux projets de traitement finalisés à diverses dates (indiquées dans la feuille Obj_projets).
Deux tableaux ensuite indiquent la synthèse du nombre total de scénarios en fonction de l’impact
et de la potentialité, en fonction du bouton ci-dessus et la synthèse intrinsèque, pour rappel,.

2.13 Feuille Risk%event

Cette feuille contient un tableau récapitulatif du nombre de scénarios, par niveau de gravité, et par
type d’événement en fonction du bouton choisi dans la feuille Risk%actif (rappelé ligne 1, cellules K à
M.

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
2.14 Feuille Plans_action
Cette feuille contient des indications sur les plans d’action susceptibles de réduire les risques.
Les scénarios y sont traités par famille, chaque famille consistant en un type d’actif et un type
d’impact.
Pour chaque famille une synthèse du nombre de scénarios par niveau de gravité est fournie.
Pour visualiser cette synthèse il est possible de sélectionner l’un des boutons de la feuille Risk%actif.:
Contenu des colonnes :

— Colonne A : nom de la famille de scénarios.

— Colonnes B à F : nombre de scénarios par niveau de gravité et nombre total de scénarios de
la famille (ayant un niveau de gravité calculé).
— Colonne G : type des mesures proposées par chaque plan d’action, s’il est sélectionné.
— Colonne H : indication de l’efficacité (valeur de A à E) du plan d’action, basée sur le nombre
de scénarios de la famille touchés par ce plan.
— Colonne I (décision) : la valeur 1, indique que le plan d’action de réduction de risque uti-
lisant les services de sécurité de la ligne est sélectionné, sinon laisser vide ou mettre un
0.
— Colonnes J, M, P, S, V, Y, AB, AE, AH, AK : services inclus dans le plan.
— Colonnes K, N, Q, T, W, AC, AF, AI et AL: Valeurs actuelles des niveaux des services de sé-
curité (établies suite à la phase de diagnostic)
— Colonnes L, O, R, U, AD, AG, AJ et AM : objectif de niveau de qualité (cible) assigné au
service à améliorer. Cette colonne est modifiable manuellement afin de permettre à l’auditeur
d’envisager plusieurs alternatives.
Fixation d’objectifs de niveaux aux services de sécurité
Les services de sécurité pertinents pour la famille de scénarios sont regroupés par ensembles homo-
gènes et par type d’effet. Sur une ligne, les divers services concernés sont affichés avec un niveau
d’objectif a priori susceptible de réduire significativement le risque.
Il est proposé alors de sélectionner l’ensemble des services de cette ligne et leurs niveaux objectifs cor-
respondants, en forçant un 1 dans la colonne « décision » (I). Il est possible de modifier le niveau ob-
jectif de chaque service individuellement. Nota : pour exclure un service d’un plan d’action, fixer
son objectif à 1.
Il est ainsi possible de faire des simulations sur l’effet de telle ou telle décision et de décider des ac-
tions à mener en conséquence.

2.15 Feuille Obj_PA

Cette feuille est une feuille qui récapitule les objectifs assignés aux services de sécurité par les plans
d’action évoqués au paragraphe précédent.

— Colonne A à C : recopie des colonnes A à C de la feuille Services.

— Colonne D : Récapitulatif des objectifs maximaux de niveaux de qualité assignés aux services
de sécurité par les plans d’action des colonnes suivantes. Cette colonne sert à calculer les
cibles d’objectifs de sécurité dans la colonne J de la feuille Services.
— Colonnes E à BC: utilisées pour indiquer (par type d’actif et par critère de sécurité) le niveau

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
 de qualité objectif global en fonction des divers plans sélectionnés dans la feuille
Plans_action, .

2.16 Feuille Obj_Projets

Cette feuille permet de définir des projets avec, pour chaque projet, une date d’achèvement, des ser-
vices améliorés et un objectif de qualité (de 1 à 4) pour chaque service.
Cette feuille contient également, en colonne I, une évaluation d’un « besoin de service de sécurité ».

— Colonnes A à C : recopie des colonnes A à C de la feuille Services.

— Colonnes D à H (cachées) : Indication d’un besoin de qualité de service en fonction des
types de plans faisant appel à chaque service (en fonction de leur efficacité). On tient compte,
pour ce calcul du nombre de scénarios de gravité 3 (avec un coefficient de 1) ou 4 (avec un
coefficient 8), pour chaque famille de scénarios et on fait la somme de ces besoins pour
l’ensemble des familles.
— Colonne I : synthèse des besoins précédents (calculée avec une fonction logarithme). A
priori, plus cette valeur est forte, plus le besoin d’améliorer ce service est élevé.
— Colonne J : Synthèse des objectifs assignés aux services de sécurité par des projets (décrits co-
lonnes suivantes).
La cellule (4,J) doit contenir une date de référence, au format « aa mm » (millésime sur
deux chiffres, puis un espace, puis mois sur deux chiffres). Seuls les projets ayant une date
d’achèvement antérieure à cette date de référence seront pris en compte pour les objectifs des
services de sécurité.

— Colonnes K à AX : Ces colonnes sont utilisées pour décrire des projets : La

ligne 3 fournit une courte description du projet
La ligne 4 mentionne la date planifiée de terminaison du projet (au format aa mm)
Chaque cellule de la colonne indique le niveau de qualité du service atteint lors de la termi-
naison du projet.
Note : si aucune date n’est mentionnée en ligne 4, la méthode considère que le projet sera
terminé avant la date de référence donnée dans la cellule (4,J).

— Colonne AY : indique le niveau de qualité des services qui sera atteint lorsque tous les projets
auront été réalisés.
— Colonne AZ : indique le besoin additionnel entre la valeur dans la colonne précédente et le
niveau figurant dans la feuille Obj_PA suite aud décisions de la feuille Plans_action.

2.17 Feuille Vulnérabilités types

La feuille Vulnérabilités types contient la liste, pour chaque type d’actif secondaire, des dommages po-
tentiels subis et des vulnérabilités exploitables. Ce tableau peut être utilisé pour analyser et écarter cer-
taines vulnérabilités qui ne seraient pas à retenir dans le contexte propre de l’entité.
Il convient alors de désélectionner ces vulnérabilités, dans la colonne G, en introduisant un 0, à la
place du 1 fourni en valeur standard.
Les scénarios faisant appel à ces vulnérabilités seront automatiquement désélectionnés.

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
2.18 Feuille Grilles_IP
La feuille Grilles-IP contient les grilles de décision utilisées pour évaluer l’impact et la gravité résiduels
en fonction de l’impact intrinsèque, de la potentialité intrinsèque et des facteurs de réduction de risque
(voir guide de la gestion des risques).
En mode expert, les valeurs contenues dans ces grilles peuvent éventuellement être modifiées (après
avoir retiré la protection de la feuille)

2.19 Feuille Gravité

La feuille Gravité contient la grille d’acceptabilité des risques utilisée pour décider du niveau de gravité
des risques en fonction de l’impact et de la potentialité résiduels.
En mode expert, les valeurs contenues dans cette grille peuvent éventuellement être modifiées (après
avoir retiré la protection de la feuille)
A défaut la grille standard Clusif fournie dans la base devrait être validée par les parties prenantes.

2.20 Feuille Codes

Cette feuille (masquée) contient des libellés utilisés dans la description et n’ont pour seul objectif que
de faciliter la maintenance et la traduction de ces libellés

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
3 Traitements et calculs effectués
Les traitements effectués pour calculer la qualité des services, l’impact, la potentialité ou la gravité des
scénarios dépendent de formules contenues dans les feuilles du fichier .xls (pour Excel ou OpenOf-
fice).
Ces formules sont mises en place à l’aide de macros qui n’ont pas à être utilisées en dehors de la main-
tenance de la base et ne sont pas disponibles dans la version publique de la base.

3.1 Traitements et fonctions utilisées

Feuille Services
Cotation des services
La cotation est faite pour 4 variantes de schéma d’audit maximum.
La cotation des services de sécurité, en fonction des réponses aux questionnaires (feuilles 01 Org à 14
Msi), vérifie qu’un service n’a pas été déclaré « X» (Sans Objet) sur la ligne de titre du service (et pour
la variante considérée) dans la feuille de questionnaires.
On teste ensuite s’il y a au moins une réponse (1 ou 0) avec un poids non nul (sinon la cotation n’est
pas remplie).
Enfin la cotation calcule la moyenne pondérée (sans tenir compte des réponses X), puis vérifie
l’existence d’un seuil « MIN » ou d’un seuil « MAX » et affiche le résultat final.
Les seuils MIN et MAX sont calculés dans des colonnes cachées des différents domaines.
Les fonctions standard d’Excel et OpenOffice utilisées sont SI, NON, MIN, MAX et SOMME.SI

Calcul du min des services

Le minimum des services est calculé et arrondi à l’entier le plus proche, après des tests pour revenir à
1 si le service n’a aucune réponse ou une réponse « X » (Sans objet)
Fonctions standard utilisées : MIN, SI, OU et ARRONDI

Calcul de l’objectif
L’objectif de qualité de service fixé dans la feuille « Plans d’action » est calculé en prenant l’objectif le
plus élevé (on n’affiche rien s’il n’y a pas d’objectif fixé).
Fonctions standard utilisées : MAX et SI

Calcul du service avec objectifs

La valeur affichée dans cette colonne dépend du choix effectué dans la feuille « Plans d’action », choix
qui se traduit par un 1 ou un 0 dans la cellule 2,J. Si on tient compte des objectifs fixés, soit par des
plans d’action, soit par des projets, la valeur affichée est le maximum de l’objectif et de la valeur ac-
tuelle du service.
Fonctions standard utilisées : MAX et SI

Feuille Score ISO

Les scores sont calculés avec des fonctions SOMME, en ne tenant compte que du nombre de ré-
ponses positives, sans tenir compte de leur poids dans les questionnaires MEHARI.

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
Feuille Thèmes
Les calculs sont effectués avec la fonction standard : MOYENNE.

Feuille Scénarios

Recherche de la classification, de l’exposition naturelle et texte des scénarios

La classification est recherchée, dans la feuille « Classif » (en fait dans une table déclarée dans cette
feuille) en fonction du type d’actif et du type de dommage.
L’exposition naturelle est recherchée, dans la feuille Evénements types (en fait, dans une table décla-
rée dans cette feuille) en fonction des événements déclarés dans le scénario.
Les libellés de scénarios sont eux-mêmes déduits des codes d’actifs, de vulnérabilités et de menaces.
Fonctions standard utilisées : RECHERCHEV et SI

Calculs des facteurs de réduction de risque (dissuasion, prévention, confinement et palliation)

Les calculs emploient les fonctions MAX et MIN reflétant les formules littérales et font référence aux
services de sécurité par leur nom (variables déclarées).
Fonctions standard utilisées : MAX et MIN

Calculs de P (Potentialité), I (Impact) et G (Gravité)

P et I sont calculés en faisant appel aux grilles IP (nommées par des tables déclarées) en fonction des
paramètres du scénario.
La gravité est calculée soit à partir des I et P calculés soit à partir des I et P décidés.
Fonctions standard utilisées : SI, ET, OU, NON et INDEX

Feuilles Plans d’action et Risk%event

Le nombre de scénarios par famille est calculé pour chaque niveau de gravité.
Emploi de la fonction standard NB.SI

Feuille Obj_PA
Calcul de l’objectif pour chaque catégorie de plan d’action
Pour chaque catégorie de plans d’actions, si un plan est sélectionné, on affiche, pour chaque service
contenu dans le plan, l’objectif correspondant. La formule permet de tenir compte du fait qu’un ser-
vice peut être appelé 2 fois (avec 2 objectifs différents) dans la même catégorie de plans d’action.
Fonctions standard utilisées : INDEX et SI
Synthèse des objectifs en fonction des différents plans
Utilisation de la fonction MAX

Feuille OBJ_Projets
Calcul de l’objectif d’un service pour différents projets
Le calcul test de fin d’achèvement de projet par rapport à la date de référence est fait dans des co-
lonnes cachées.
Fonctions standards utilisées: SI et MAX

Feuille Expo
L’exposition naturelle est sélectionnée entre la valeur par défaut et une valeur décidée (cette dernière
prévalant)
Fonctions standard utilisées : MAX et SI

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
3.2 Macros (sous Excel)
Les macros utilisées couramment sont uniquement celles de masquage de feuilles.
D’autres macros sont utilisées, en mode maintenance, pour mettre à jour les codes de fonctions et sur-
tout les champs de cellules auxquels les fonctions font référence.

MEHARI 2010 Avec liens vers ISO 27002 :2013 Avril 2016
 L ’ E S P R I T   D E   L ’ É C H A N G E  

CLUB DE LA SÉCURITÉ DE L'INFORMATION FRANÇAIS

11, rue de Mogador
75009 Paris
 01 53 25 08 80
clusif@clusif.asso.fr

Téléchargez les productions du CLUSIF sur

www.clusif.asso.fr