📄️ Aperçu
Les modèles de risque définissent les facteurs de risque à évaluer ainsi que les relations entre ces facteurs. Les facteurs de risque sont des caractéristiques utilisées dans les modèles de risque comme éléments d'entrée pour déterminer les niveaux de risque dans les évaluations de risque. Les facteurs de risque sont également largement utilisés dans les communications sur les risques pour souligner les éléments qui influencent fortement les niveaux de risque dans des situations, circonstances ou contextes particuliers.
📄️ 1. Menace
Une menace est toute circonstance ou événement ayant le potentiel d'avoir un impact négatif sur les opérations et les actifs de l'organisation, les individus, d'autres organisations ou la nation via un système d'information par un accès non autorisé, la destruction, la divulgation ou la modification d'informations, et/ou le déni de service. Les événements menaçants sont causés par des sources de menace.
📄️ 2. Vulnérabilité
Une vulnérabilité est une faiblesse dans un système d'information, dans les procédures de sécurité du système, les contrôles internes ou la mise en œuvre, qui pourrait être exploitée par une source de menace.
📄️ 3. Condition prédisposante
En plus des vulnérabilités décrites ci-dessus, les organisations considèrent également les conditions prédisposantes.
📄️ 4. Scénarios de menace
En général, les risques se matérialisent à la suite d'une série d'événements menaçants, chacun tirant parti d'une ou plusieurs vulnérabilités. Les organisations définissent des scénarios de menace pour décrire comment les événements causés par une source de menace peuvent contribuer à un dommage ou en être la cause.
📄️ 5. Probabilité
La probabilité d'occurrence est un facteur de risque pondéré qui analyse la probabilité qu'une menace exploite une vulnérabilité (ou un ensemble de vulnérabilités). Cette probabilité combine une estimation de la probabilité qu'un événement menaçant soit initié avec une estimation de la probabilité de son impact (c'est-à-dire la chance que l'événement entraîne des effets négatifs).
📄️ 6. Impact
En cybersécurité, l'impact fait référence à l'ampleur potentielle des dommages pouvant résulter d'un événement menaçant, tel que la divulgation, la modification, la destruction non autorisée d'informations ou la perte de disponibilité d'un système d'information. L'impact peut affecter divers acteurs, y compris les dirigeants de l'organisation, les propriétaires de missions et d'activités, les propriétaires de systèmes d'information, ainsi que les individus ou les groupes dépendant de l'organisation. Essentiellement, toute personne ayant un intérêt dans les opérations et les actifs de l'organisation pourrait être affectée par les conséquences d'une menace.