6. Impact

En cybersécurité, l'impact fait référence à l'ampleur potentielle des dommages pouvant résulter d'un événement menaçant, tel que la divulgation, la modification, la destruction non autorisée d'informations ou la perte de disponibilité d'un système d'information. L'impact peut affecter divers acteurs, y compris les dirigeants de l'organisation, les propriétaires de missions et d'activités, les propriétaires de systèmes d'information, ainsi que les individus ou les groupes dépendant de l'organisation. Essentiellement, toute personne ayant un intérêt dans les opérations et les actifs de l'organisation pourrait être affectée par les conséquences d'une menace.

Les organisations évaluent l'impact en définissant un processus de détermination de l'impact, en établissant des hypothèses, en utilisant des méthodes spécifiques pour obtenir des informations sur l'impact et en fournissant une justification de leurs conclusions. Ces évaluations sont guidées par des priorités et des valeurs établies, telles que l'identification d'actifs de grande valeur et la compréhension des effets néfastes sur les parties prenantes. Des outils comme les catégorisations de sécurité, les évaluations de l'impact sur la vie privée et les analyses d'impact sur les activités aident à déterminer l'impact organisationnel des événements menaçants.

Les évaluations d'impact peuvent prendre en compte à la fois les effets immédiats sur les fonctions de mission ou d'activité et les conséquences à long terme, telles que le préjudice à la réputation. Les seuils de tolérance au risque sont également utilisés pour déterminer si certains impacts sont suffisamment significatifs pour justifier une analyse plus approfondie.

(Source : NIST SP 800-30)