Aller au contenu principal

2. Vulnérabilité

Une vulnérabilité est une faiblesse dans un système d'information, dans les procédures de sécurité du système, les contrôles internes ou la mise en œuvre, qui pourrait être exploitée par une source de menace.

La plupart des vulnérabilités des systèmes d'information peuvent être associées à des contrôles de sécurité qui n'ont pas été appliqués (intentionnellement ou non), ou qui ont été appliqués, mais conservent certaines faiblesses. Cependant, il est également important de prendre en compte la possibilité de vulnérabilités émergentes qui peuvent apparaître naturellement au fil du temps, à mesure que les missions/fonctions commerciales de l'organisation évoluent, que les environnements d'exploitation changent, que de nouvelles technologies prolifèrent et que de nouvelles menaces émergent. Dans le contexte de ces changements, les contrôles de sécurité existants peuvent devenir inadéquats et doivent peut-être être réévalués pour leur efficacité. La tendance des contrôles de sécurité à potentiellement se dégrader en efficacité au fil du temps renforce la nécessité de maintenir des évaluations des risques tout au long du cycle de vie du développement du système et souligne également l'importance des programmes de surveillance continue pour obtenir une connaissance situationnelle continue de la posture de sécurité de l'organisation.

Les vulnérabilités ne sont pas seulement identifiées au sein des systèmes d'information.

  • En envisageant les systèmes d'information dans un contexte plus large, des vulnérabilités peuvent être trouvées dans les structures de gouvernance organisationnelle (par exemple, le manque de stratégies efficaces de gestion des risques et d'encadrement adéquat des risques, de mauvaises communications intra-agence, des décisions incohérentes sur les priorités relatives des missions/fonctions commerciales, ou une mauvaise alignement de l'architecture d'entreprise pour soutenir les activités de mission/affaires).
  • Les vulnérabilités peuvent également être trouvées dans les relations externes (par exemple, les dépendances à certaines sources d'énergie, chaînes d'approvisionnement, technologies de l'information et fournisseurs de télécommunications), dans les processus de mission/d'affaires (par exemple, des processus mal définis ou qui ne tiennent pas compte des risques), et dans les architectures de sécurité d'entreprise/information (par exemple, de mauvaises décisions architecturales entraînant un manque de diversité ou de résilience dans les systèmes d'information organisationnels).

(Source: NIST SP 800-30)