Aller au contenu principal

5. Approches d'analyse

Les approches d'analyse diffèrent en termes d'orientation ou de point de départ de l'évaluation des risques, du niveau de détail, et de la manière dont les risques liés à des scénarios de menace similaires sont traités. Une approche d'analyse peut être :

  1. Orientée menace,
  2. Orientée actif/impact, ou
  3. Orientée vulnérabilité.

Une approche orientée menace commence par l'identification des sources de menace et des événements menaçants, en se concentrant sur le développement de scénarios de menace. Les vulnérabilités sont identifiées dans le contexte des menaces, et pour les menaces adverses, les impacts sont évalués en fonction de l'intention de l'adversaire.

Une approche orientée actif/impact débute par l'identification des impacts ou conséquences préoccupants et des actifs critiques. Cela peut impliquer l'utilisation des résultats d'analyses d'impact sur la mission ou l'entreprise et l'identification des événements menaçants qui pourraient conduire à ces impacts ou conséquences, ou des sources de menace pouvant les cibler.

Une approche orientée vulnérabilité commence par l'identification des conditions prédisposantes ou des faiblesses exploitables dans les systèmes d'information organisationnels ou leurs environnements, puis identifie les événements menaçants susceptibles d'exploiter ces vulnérabilités, avec les conséquences possibles.

Chaque approche d'analyse prend en compte les mêmes facteurs de risque et implique le même ensemble d'activités d'évaluation des risques, bien que dans un ordre différent. Les différences dans le point de départ de l'évaluation des risques peuvent potentiellement biaiser les résultats, ce qui peut entraîner la négligence de certains risques. (Source : NIST SP 800-30)

Ainsi, l'incorporation de risques à partir d'une orientation supplémentaire (par exemple, en complétant une approche orientée menace par une approche orientée actif/impact) peut améliorer la rigueur et l'efficacité de l'analyse. CSFaaS intègre les trois approches (orientée menace, orientée actif/impact et orientée vulnérabilité), garantissant une évaluation des risques exhaustive qui couvre de manière holistique les menaces, les impacts et les vulnérabilités, renforçant ainsi la rigueur et l'efficacité de l'analyse