CASES.LU

Glossary

  1. ▹ Antivirus
  2. ▹ Assets
  3. ▹ Authentication
  4. ▹ Availability
  5. ▹ Basic criteria for risk analysis
  6. ▹ Computer Hacks
  7. ▹ Confidentiality
  8. ▹ Control
  9. ▹ Cryptography
  10. ▹ Cybercrime
  11. ▹ Cybercriminals
  12. ▹ DRP – Disaster Recovery Plan
  13. ▹ Data backups
  14. ▹ Data loss
  15. ▹ Defacement
  16. ▹ Disinfect machine with a live CD
  17. ▹ Disposal
  18. ▹ Email
  19. ▹ Firewall
  20. ▹ Human error
  21. ▹ IDS/IPS
  22. ▹ Image rights
  23. ▹ Impact
  24. ▹ Integrity
  25. ▹ Internet and copyright
  26. ▹ Legal Aspects
  27. ▹ LuxTrust
  28. ▹ Malicious Codes
  29. ▹ Malicious websites
  30. ▹ Network segmentation
  31. ▹ Password
  32. ▹ Patches
  33. ▹ Phishing
  34. ▹ Physical faults
  35. ▹ Securing a fixed workstation
  36. ▹ Physical theft
  37. ▹ Recommendations for securing a file server
  38. ▹ Recommendations to secure a server connected to Internet
  39. ▹ Recommendations to secure a Web server
  40. ▹ Removable devices
  41. ▹ Risk processing
  42. ▹ Spam – unwanted emails
  43. ▹ SSL/TLS – encryption technologies on the web
  44. ▹ Update softwares with Secunia PSI
  45. ▹ Security Charter
  46. ▹ Social engineering
  47. ▹ Threat
  48. ▹ Virtual Private Networks (VPNs)
  49. ▹ Vulnerabilities
  50. ▹ Web of Trust - WOT
  51. ▹ Web filter – Proxy
  52. ▹ Why is it important to protect your computer?

Basic criteria for risk analysis

In brief

Lors de la définition du contexte dans lequel s’effectuera la gestion des risques, il s’agira d’établir des critères de base, qui serviront aussi bien à analyser les risques de l’organisme, que de proposer les solutions de traitements.

Les menaces

Un des moyens pour définir les critères de base au niveau des menaces est de définir une échelle de probabilités qui dépendra du contexte dont voici un exemple :

Critères de base des menaces:

Niveau Commentaire Périodicité
1 Très improbable : jamais arrivé, nécessité d'un haut niveau d'expertise, ou très coûteux à mettre en oeuvre. > 30 ans
2 Improbable : Peut déjà être survenu, phénomène rare ou nécessitée d'un bon niveau d'expertise ou coûteux à mettre en oeuvre. > 10 ans
3 Peut arriver de temps à autre > 5 ans
4 Très probable facile à mettre en œuvre, pas d'investissement ou d'expertise particulière au moins tous les ans

Les vulnérabilités

En définissant les critères de base des vulnérabilités, on détermine l’aisance d’exploitation des vulnérabilités par des menaces.

Critères de base des vulnérabilités:

Niveau Commentaire
0 Faible vulnérabilité, des mesures efficaces sont en place
1 Vulnérabilité moyenne, des mesures sont en places mais peuvent être insuffisantes
2 Vulnérabilité élevée, pas de mesure de protection efficace en place, ou elles sont mal adaptées

Les impacts

Quant aux critères de base qui définissent les impacts, on se sert des différents niveaux d’impact. Ces critères peuvent aussi être déterminés selon l’objectif de sécurité, c’est à dire par rapport à la confidentialité, à l’intégrité ou encore par rapport à la disponibilité des actifs d’un organisme. Voir aussi les critères de classification des actifs avec des échelles différentes. C’est à l’organisme de choisir son approche dans l’analyse des risques. Plus la maturité de l’organisme sera grande, plus les échelles utilisées pourront être détaillées.

Critères de base pour impacts:

Niveau Libellé Pertes financières (k€) juridique Perte sur l'image social, vie privée Commentaire
1 Impact insignifiant < 1 Sanctions internes à l’organisation Plaintes occasionnelles Divulgation de données personnelles peu sensibles Engage quelques frais dérisoires, ou ne sera pas remarqué extérieurement
2 Impact mineur 1 - 10 Actions en justice Critiques occasionnelles dans les médias Atteinte passagère à la réputation Engage des frais notoires, visible d'un point de vue externe
3 Impact sérieux 10 - 100 Condamnation de l’Autorité Critiques graves dans les médias Atteinte sérieuse à l’intégrité ou à la réputation Des frais conséquents sont à engager pour relever la situation
4 Impact vital > 100 Condamnation internationale de l’Autorité Altération définitive Perte de vie humaine / Atteinte grave à la réputation Perturbation majeure pour le citoyen, mais il n'y a pas péril à la survie de l'organisme

Le risque

Les critères de base du risque :

   Menace + Vulnérabilité
    1 2 3 4 5 6
I
M
P
A
C
T
S
1 1 2 3 4 5 6
2 2 4 6 8 10 12
3 3 6 9 12 15 18
4 4 8 12 16 20 24

Ici nous définissons le risque important comme celui dont la valeur est entre 6 et 11 (zone orange). Ce sont des risques qui devraient être adressés.

Les risques critiques dont la valeur est supérieure à 12 (zone rouge), doivent être adressés. S’il s’avère qu’une organisation présente des niveaux d’acceptation de risques différents concernant la confidentialité, l’intégrité ou la disponibilité, elle peut définir pour objectif de sécurité un tableau spécifique et déterminer des seuils différents.

Table of Contents