4. Scénarios de menace

En général, les risques se matérialisent à la suite d'une série d'événements menaçants, chacun tirant parti d'une ou plusieurs vulnérabilités. Les organisations définissent des scénarios de menace pour décrire comment les événements causés par une source de menace peuvent contribuer à un dommage ou en être la cause.

Le développement de scénarios de menace est utile sur le plan analytique, car certaines vulnérabilités peuvent ne pas être exposées à une exploitation à moins et jusqu'à ce que d'autres vulnérabilités aient été exploitées. Une analyse qui met en lumière comment un ensemble de vulnérabilités, considérées ensemble, pourrait être exploité par un ou plusieurs événements menaçants est donc plus utile que l'analyse de vulnérabilités individuelles.

De plus, un scénario de menace raconte une histoire et est donc utile pour la communication des risques ainsi que pour l'analyse.

(Source : NIST SP 800-30)