Critères de base pour l'analyse des risques
En quelques mots
Lors de la définition du contexte dans lequel s’effectuera la gestion des risques, il s’agira d’établir des critères de base, qui serviront aussi bien à analyser les risques de l’organisme, que de proposer les solutions de traitements.
Les menaces
Un des moyens pour définir les critères de base au niveau des menaces est de définir une échelle de probabilités qui dépendra du contexte dont voici un exemple :
Critères de base des menaces:
| Niveau | Commentaire | Périodicité |
|---|---|---|
| 1 | Très improbable : jamais arrivé, nécessité d'un haut niveau d'expertise, ou très coûteux à mettre en oeuvre. | > 30 ans |
| 2 | Improbable : Peut déjà être survenu, phénomène rare ou nécessitée d'un bon niveau d'expertise ou coûteux à mettre en oeuvre. | > 10 ans |
| 3 | Peut arriver de temps à autre | > 5 ans |
| 4 | Très probable facile à mettre en œuvre, pas d'investissement ou d'expertise particulière | au moins tous les ans |
Les vulnérabilités
En définissant les critères de base des vulnérabilités, on détermine l’aisance d’exploitation des vulnérabilités par des menaces.
Critères de base des vulnérabilités:
| Niveau | Commentaire |
|---|---|
| 0 | Faible vulnérabilité, des mesures efficaces sont en place |
| 1 | Vulnérabilité moyenne, des mesures sont en places mais peuvent être insuffisantes |
| 2 | Vulnérabilité élevée, pas de mesure de protection efficace en place, ou elles sont mal adaptées |
Les impacts
Quant aux critères de base qui définissent les impacts, on se sert des différents niveaux d’impact. Ces critères peuvent aussi être déterminés selon l’objectif de sécurité, c’est à dire par rapport à la confidentialité, à l’intégrité ou encore par rapport à la disponibilité des actifs d’un organisme. Voir aussi les critères de classification des actifs avec des échelles différentes. C’est à l’organisme de choisir son approche dans l’analyse des risques. Plus la maturité de l’organisme sera grande, plus les échelles utilisées pourront être détaillées.
Critères de base pour impacts:
| Niveau | Libellé | Pertes financières (k€) | juridique | Perte sur l'image | social, vie privée | Commentaire |
|---|---|---|---|---|---|---|
| 1 | Impact insignifiant | < 1 | Sanctions internes à l’organisation | Plaintes occasionnelles | Divulgation de données personnelles peu sensibles | Engage quelques frais dérisoires, ou ne sera pas remarqué extérieurement |
| 2 | Impact mineur | 1 - 10 | Actions en justice | Critiques occasionnelles dans les médias | Atteinte passagère à la réputation | Engage des frais notoires, visible d'un point de vue externe |
| 3 | Impact sérieux | 10 - 100 | Condamnation de l’Autorité | Critiques graves dans les médias | Atteinte sérieuse à l’intégrité ou à la réputation | Des frais conséquents sont à engager pour relever la situation |
| 4 | Impact vital | > 100 | Condamnation internationale de l’Autorité | Altération définitive | Perte de vie humaine / Atteinte grave à la réputation | Perturbation majeure pour le citoyen, mais il n'y a pas péril à la survie de l'organisme |
Le risque
Les critères de base du risque :
| Menace + Vulnérabilité | |||||||
| 1 | 2 | 3 | 4 | 5 | 6 | ||
|
I M P A C T S |
1 | 1 | 2 | 3 | 4 | 5 | 6 |
| 2 | 2 | 4 | 6 | 8 | 10 | 12 | |
| 3 | 3 | 6 | 9 | 12 | 15 | 18 | |
| 4 | 4 | 8 | 12 | 16 | 20 | 24 | |
Ici nous définissons le risque important comme celui dont la valeur est entre 6 et 11 (zone orange). Ce sont des risques qui devraient être adressés.
Les risques critiques dont la valeur est supérieure à 12 (zone rouge), doivent être adressés. S’il s’avère qu’une organisation présente des niveaux d’acceptation de risques différents concernant la confidentialité, l’intégrité ou la disponibilité, elle peut définir pour objectif de sécurité un tableau spécifique et déterminer des seuils différents.