Méthodes de gestion des risques : EBIOS, MEALEE, MEHARI…

Info

ISO/IEC 27005 est compatible avec de nombreuses méthodes. Voici un aperçu des plus utilisées en Europe.

EBIOS RM (ANSSI, France)

• Méthode recommandée par l’ANSSI
• Couvre les risques intentionnels et non intentionnels
• Très adaptée aux SI complexes, critiques, réglementés

Tip

EBIOS RM introduit les notions de scénarios de menace, sources de menace, objectifs de sécurité.

MEALEE

• Utilisée par les grands groupes, adaptée au contexte ISO 27001
• Évalue le risque brut, le risque net (avec mesures existantes), puis le risque résiduel
• Construction de matrices Excel très progressive

MEHARI (Clusif)

• Très complète, approche par actifs et impacts
• Base de connaissances riche (tableaux d’impacts, vulnérabilités, menaces)
• Recommandée pour la modélisation par score

Approche personnalisée (ISO 27005 native)

• Sans méthode imposée : identification libre, cotation qualitative ou quantitative
• Rapide à mettre en œuvre pour les PME
• Parfaite en complément d’une matrice simple en Markdown ou Excel

Example

Une matrice 3×3 sur probabilité × impact suffit dans de nombreuses structures.