3. Condition prédisposante

En plus des vulnérabilités décrites ci-dessus, les organisations considèrent également les conditions prédisposantes.

Une condition prédisposante est une condition existant au sein d'une organisation, d'un processus de mission ou d'affaires, d'une architecture d'entreprise, d'un système d'information, ou d'un environnement opérationnel, qui affecte (c'est-à-dire, augmente ou diminue) la probabilité que des événements de menace, une fois initiés, entraînent des impacts négatifs sur les opérations et les actifs organisationnels, les individus, d'autres organisations, ou la Nation.

Les conditions prédisposantes comprennent, par exemple, l'emplacement d'une installation dans une région sujette aux ouragans ou aux inondations (augmentant la probabilité d'exposition aux ouragans ou aux inondations) ou un système d'information autonome sans connectivité réseau externe (diminuant la probabilité d'exposition à une cyberattaque basée sur le réseau). Les vulnérabilités résultant de conditions prédisposantes qui ne peuvent être facilement corrigées pourraient inclure, par exemple, des lacunes dans les plans de contingence, l'utilisation de technologies obsolètes, ou des faiblesses/déficiences dans les mécanismes de sauvegarde et de basculement des systèmes d'information.

Dans tous les cas, ces types de vulnérabilités créent une prédisposition aux événements de menace ayant des impacts négatifs sur les organisations. Les vulnérabilités (y compris celles attribuées aux conditions prédisposantes) font partie de la posture de sécurité globale des systèmes d'information organisationnels et des environnements opérationnels qui peuvent affecter la probabilité d'occurrence d'un événement de menace.

(Source : NIST SP 800-30)