Aller au contenu principal

2. Concepts clés de risque

Risque

Risque est une mesure de l'ampleur à laquelle une entité est menacée par une circonstance ou un événement potentiel, et est généralement une fonction de :

  1. Les impacts négatifs qui surviendraient si la circonstance ou l'événement se produisait ; et
  2. La probabilité de l'occurrence. Les risques de sécurité de l'information sont ces risques qui découlent de la perte de confidentialité, d'intégrité ou de disponibilité de l'information ou des systèmes d'information et reflètent les impacts négatifs potentiels sur les opérations organisationnelles (c'est-à-dire la mission, les fonctions, l'image ou la réputation), les actifs organisationnels, les individus, les autres organisations et la Nation. (Source : NIST SP 800-30)

Évaluation des Risques

L'évaluation des risques est le processus d'identification, d'estimation et de hiérarchisation des risques de sécurité de l'information. Évaluer les risques nécessite une analyse minutieuse des informations sur les menaces et les vulnérabilités afin de déterminer dans quelle mesure des circonstances ou des événements pourraient avoir un impact négatif sur une organisation et la probabilité que de telles circonstances ou événements se produisent. (Source : NIST SP 800-30)

Méthodologie d'Évaluation des Risques

Une méthodologie d'évaluation des risques inclut généralement :

  1. Un processus d'évaluation des risques ;
  2. Un modèle de risque explicite, définissant les termes clés et les facteurs de risque évaluables ainsi que les relations entre ces facteurs ;
  3. Une approche d'évaluation (par exemple, quantitative, qualitative ou semi-qualitative), spécifiant l'éventail des valeurs que ces facteurs de risque peuvent prendre lors de l'évaluation des risques et comment les combinaisons de facteurs de risque sont identifiées/analyées pour que les valeurs de ces facteurs puissent être fonctionnellement combinées pour évaluer le risque ; et
  4. Une approche d'analyse (par exemple, orientée vers la menace, orientée vers les actifs/impacts ou orientée vers la vulnérabilité), décrivant comment les combinaisons de facteurs de risque sont identifiées/analyées pour garantir une couverture adéquate de l'espace problème à un niveau de détail cohérent.

Les méthodologies d'évaluation des risques sont définies par les organisations et constituent un élément de la stratégie de gestion des risques développée lors de l'étape de cadrage des risques dans le processus de gestion des risques.

La figure ci-dessous illustre les composants fondamentaux dans les cadres de risque organisationnels et les relations entre ces composants :

[xxx Image]

Les organisations peuvent utiliser une méthodologie d'évaluation des risques unique ou peuvent employer plusieurs méthodologies d'évaluation, le choix d'une méthodologie spécifique dépendant, par exemple :

  1. Du calendrier pour la planification des investissements ou pour la planification des changements politiques ;
  2. De la complexité/maturité des processus de mission/affaires organisationnels (par segment d'architecture d'entreprise) ;
  3. De la phase des systèmes d'information dans le cycle de développement des systèmes ; ou
  4. De la criticité/sensibilité des informations et des systèmes d'information soutenant les principales missions/fonctions d'affaires organisationnelles.

En rendant explicites le modèle de risque, l'approche d'évaluation et l'approche d'analyse employées, et en exigeant comme partie du processus d'évaluation une justification pour les valeurs évaluées des facteurs de risque, les organisations peuvent accroître la reproductibilité et la répétabilité des évaluations de risques.

(Source : NIST SP 800-30)