5. Probabilité

La probabilité d'occurrence est un facteur de risque pondéré qui analyse la probabilité qu'une menace exploite une vulnérabilité (ou un ensemble de vulnérabilités). Cette probabilité combine une estimation de la probabilité qu'un événement menaçant soit initié avec une estimation de la probabilité de son impact (c'est-à-dire la chance que l'événement entraîne des effets négatifs).

Pour les menaces adverses, l'évaluation de la probabilité est généralement basée sur l'intention de l'adversaire, sa capacité et sa ciblage. L'intention de l'adversaire fait référence à sa motivation ou son désir de mener une attaque, que ce soit pour un gain financier, un vol de données, une perturbation ou de l'espionnage. Elle indique la volonté et la détermination d'un adversaire à initier des actions nuisibles contre une cible. Le ciblage de l'adversaire implique la sélection de cibles spécifiques, reflétant qui ou quoi l'adversaire vise à attaquer en fonction de ses objectifs, motivations ou vulnérabilités perçues. La capacité de l'adversaire se réfère aux compétences, ressources et outils dont il dispose pour exécuter efficacement une attaque, y compris ses compétences techniques, son infrastructure, et ses réseaux de soutien.

Pour les menaces non adverses, la probabilité d'occurrence est estimée à l'aide de preuves historiques, de données empiriques ou d'autres facteurs pertinents. La probabilité d'un événement menaçant est évaluée sur une période de temps spécifique (par exemple, les six prochains mois, l'année prochaine, ou jusqu'à une étape particulière). Si un événement est presque certain de se produire pendant cette période, l'évaluation des risques peut également prendre en compte sa fréquence estimée.

La probabilité d'impact aborde la probabilité qu'un événement menaçant entraîne des effets négatifs, indépendamment de la gravité attendue du dommage.

(Source : NIST SP 800-30)