دانلود کتاب MEHARI: Principes fondamentaux et spécifications fonctionnelles

L’analyse des risques est citée et considérée comme devant être la base des actions de sécurité par nombre d’ouvrages sur la sécurité.
Il en est de même dans les normes les plus récentes sur les systèmes de gestion de la sécurité de l’information et notamment l’ISO/IEC 27001 qui fait explicitement référence aux processus d’identification, d’évaluation et de traitement des risques.
La nécessité d’une méthode, en complément des normes
Ces mêmes normes qui font explicitement appel à la notion de risque et à la nécessité d’évaluer et de maîtriser les risques ne proposent pas de méthodes d’analyse de risque mais précisent qu’une méthode doit être choisie par l’organisation.
Certes un cadre général pour la gestion des risques est fourni par la norme ISO/IEC 27005, mais ce cadre laisse encore la place à bien des interprétations et à bien des modes de gestion des risques.
Dans ces conditions, il est clair qu’une méthode formelle est nécessaire et que le choix de cette méthode doit répondre à des spécifications, elles-mêmes fonctions du type de gestion de risque souhaité par l’organisme.
Il s’avère en effet que le sens donné à l’expression « gestion des risques » peut varier d’une organisation à une autre et qu’en fonction des objectifs poursuivis, les méthodes supports peuvent être notablement différentes.