CASES.LU

Glossary

  1. ▹ Antivirus
  2. ▹ Actifs
  3. ▹ Authentification
  4. ▹ Disponibilité
  5. ▹ Critères de base pour l'analyse des risques
  6. ▹ Attaque informatique
  7. ▹ Confidentialité
  8. ▹ Control
  9. ▹ Cryptographie
  10. ▹ Cybercriminalité
  11. ▹ Cybercriminel
  12. ▹ DRP – Disaster Recovery Plan
  13. ▹ Sauvegarde de données
  14. ▹ Perte de données
  15. ▹ Défiguration
  16. ▹ Désinfectez la machine avec un live CD
  17. ▹ Mise au rebut
  18. ▹ Email
  19. ▹ Firewall
  20. ▹ Erreurs humaines
  21. ▹ IDS/IPS
  22. ▹ Droit à l'image
  23. ▹ Impact
  24. ▹ Intégrité
  25. ▹ Internet et droits d'auteurs
  26. ▹ Aspects légaux
  27. ▹ LuxTrust
  28. ▹ Logiciels malveillants
  29. ▹ Sites Web malicieux
  30. ▹ Segmentation réseau
  31. ▹ Password
  32. ▹ Correctifs - patch
  33. ▹ Phishing
  34. ▹ Pannes physiques
  35. ▹ Sécurité physique
  36. ▹ Vol Physique
  37. ▹ Recommandations pour sécuriser un serveur de fichiers
  38. ▹ Recommandations pour sécuriser un serveur connecté à Internet
  39. ▹ Recommandations pour sécuriser un serveur Web
  40. ▹ Supports amovibles
  41. ▹ Gestion des risques
  42. ▹ Spam - les courriers indésirables
  43. ▹ SSL/TLS - les technologies de chiffrement sur la toile
  44. ▹ Mettre à jour les logiciels sur son ordinateur à l'aide de Secunia PISA
  45. ▹ Charte de sécurité
  46. ▹ Ingénierie sociale
  47. ▹ Menaces
  48. ▹ VPN : Les réseaux privés virtuels
  49. ▹ Vulnérabilités
  50. ▹ Web of Trust - WOT
  51. ▹ Filtre web - Proxy
  52. ▹ Pourquoi est-il important de protéger son ordinateur?

Critères de base pour l'analyse des risques

En quelques mots

Lors de la définition du contexte dans lequel s’effectuera la gestion des risques, il s’agira d’établir des critères de base, qui serviront aussi bien à analyser les risques de l’organisme, que de proposer les solutions de traitements.

Les menaces

Un des moyens pour définir les critères de base au niveau des menaces est de définir une échelle de probabilités qui dépendra du contexte dont voici un exemple :

Critères de base des menaces:

Niveau Commentaire Périodicité
1 Très improbable : jamais arrivé, nécessité d'un haut niveau d'expertise, ou très coûteux à mettre en oeuvre. > 30 ans
2 Improbable : Peut déjà être survenu, phénomène rare ou nécessitée d'un bon niveau d'expertise ou coûteux à mettre en oeuvre. > 10 ans
3 Peut arriver de temps à autre > 5 ans
4 Très probable facile à mettre en œuvre, pas d'investissement ou d'expertise particulière au moins tous les ans

Les vulnérabilités

En définissant les critères de base des vulnérabilités, on détermine l’aisance d’exploitation des vulnérabilités par des menaces.

Critères de base des vulnérabilités:

Niveau Commentaire
0 Faible vulnérabilité, des mesures efficaces sont en place
1 Vulnérabilité moyenne, des mesures sont en places mais peuvent être insuffisantes
2 Vulnérabilité élevée, pas de mesure de protection efficace en place, ou elles sont mal adaptées

Les impacts

Quant aux critères de base qui définissent les impacts, on se sert des différents niveaux d’impact. Ces critères peuvent aussi être déterminés selon l’objectif de sécurité, c’est à dire par rapport à la confidentialité, à l’intégrité ou encore par rapport à la disponibilité des actifs d’un organisme. Voir aussi les critères de classification des actifs avec des échelles différentes. C’est à l’organisme de choisir son approche dans l’analyse des risques. Plus la maturité de l’organisme sera grande, plus les échelles utilisées pourront être détaillées.

Critères de base pour impacts:

Niveau Libellé Pertes financières (k€) juridique Perte sur l'image social, vie privée Commentaire
1 Impact insignifiant < 1 Sanctions internes à l’organisation Plaintes occasionnelles Divulgation de données personnelles peu sensibles Engage quelques frais dérisoires, ou ne sera pas remarqué extérieurement
2 Impact mineur 1 - 10 Actions en justice Critiques occasionnelles dans les médias Atteinte passagère à la réputation Engage des frais notoires, visible d'un point de vue externe
3 Impact sérieux 10 - 100 Condamnation de l’Autorité Critiques graves dans les médias Atteinte sérieuse à l’intégrité ou à la réputation Des frais conséquents sont à engager pour relever la situation
4 Impact vital > 100 Condamnation internationale de l’Autorité Altération définitive Perte de vie humaine / Atteinte grave à la réputation Perturbation majeure pour le citoyen, mais il n'y a pas péril à la survie de l'organisme

Le risque

Les critères de base du risque :

   Menace + Vulnérabilité
    1 2 3 4 5 6
I
M
P
A
C
T
S
1 1 2 3 4 5 6
2 2 4 6 8 10 12
3 3 6 9 12 15 18
4 4 8 12 16 20 24

Ici nous définissons le risque important comme celui dont la valeur est entre 6 et 11 (zone orange). Ce sont des risques qui devraient être adressés.

Les risques critiques dont la valeur est supérieure à 12 (zone rouge), doivent être adressés. S’il s’avère qu’une organisation présente des niveaux d’acceptation de risques différents concernant la confidentialité, l’intégrité ou la disponibilité, elle peut définir pour objectif de sécurité un tableau spécifique et déterminer des seuils différents.