L'analyse des enjeux

Dans MEHARI, on appelle " Analyse des enjeux de la sécurité " :

• L'identification des dysfonctionnements potentiels pouvant être causés ou favorisés par un défaut de sécurité,
• L'évaluation de la gravité de ces dysfonctionnements.

Il s'agit d'une analyse totalement focalisée sur les objectifs et attentes des " métiers " de l'entreprise, et, de ce fait pérenne. Elle met à contribution les décideurs et le haut management de l'entreprise ou de l'entité dans laquelle elle est menée.

Cette analyse se traduit par :

• Une échelle de valeurs des dysfonctionnements potentiels, document de référence centré sur les impacts " business ",
• Une classification formelle des informations et ressources du système d'information

Il ne s'agit en aucun cas d'un audit des dysfonctionnements réels qui pourraient être constatés, mais d'une réflexion sur les risques majeurs auxquels l'entité est exposée et sur le niveau de gravité de leurs conséquences éventuelles.

Cette analyse des enjeux vise, le plus souvent, à :

• Etre sélectif dans les moyens à mettre en œuvre pour la sécurité de l'information et ne pas engager de dépenses là où les enjeux sont faibles,
• Éviter des contraintes inutiles aux utilisateurs,
• Définir les priorités,
• Répondre à l'inévitable question d'un décideur en face d'un budget de sécurité : " est-ce bien nécessaire ? ".

Dans cette analyse, MEHARI apporte :

• Une démarche centrée sur les besoins du business et une implication des managers et dirigeants,
• Un guide de mise en œuvre et des livrables types,
• Des liens directs vers l'analyse détaillée des risques correspondants.