Menu Fermer

Nous utilisons les impacts techniques proposés par MITRE CWE qui ont l’avantage d’être plus granulaires lorsque l’analyse est plus détaillée et technique, et qu’elle considère des scénarios de menace complexes.

  • Modification non autorisée ou non validée des données, des répertoires, des fichiers, des paramètres (impact sur l’intégrité)
  • Divulgation non autorisée ou négligente de données, de répertoires, de fichiers, de paramètres (impact sur la confidentialité)
  • Déni de service par exécution non fiable ou par épuisement de ressources (impact sur la disponibilité)
  • Exécution non autorisée de code ou de commandes (impacts sur la confidentialité, l’intégrité, la disponibilité, l’imputabilité)
  • Gain ou élévation de privilèges (impacts sur la confidentialité, l’intégrité, la disponibilité, l’imputabilité)
  • Usurpation d’identité (impact sur l’imputabilité)
  • Contournement d’un mécanisme de protection (impacts sur la confidentialité, l’intégrité, la disponibilité, l’imputabilité)
  • Dissimulation d’activités (impact sur l’intégrité, la disponibilité, la non-répudiation)

Le cas échéant, il est possible d’utiliser les impacts sur la sécurité de l’information étendus :

  • Perte de confidentialité
  • Perte d’intégrité
  • Indisponibilité
  • Perte d’imputabilité ou de non-répudiation (si le mode d’authentification est faible ou si les journaux d’accès sont indisponibles)
  • Perte d’authenticité (d’un message par exemple, liée à une authentification peu robuste)

Ultimement, après avoir évalué en premier lieu les impacts techniques, nous devrons évaluer les impacts organisationnels, ce qui permet de faire comprendre les enjeux à l’unité organisationnelle concernée et d’avoir, si cela existe, une magnitude d’impact quantitative. Ceci est théorique, et si on veut déterminer les impacts organisationnels, il faudra parler directement aux unités organisationnelles concernées pour leur faire évaluer les scénarios plutôt que de demander à chaque analyse de risques, souvent technique, de déduire avec plus ou moins de bonheur, des niveaux d’impacts organisationnels. La grille et les types d’impacts organisationnels seront souvent hérités de la conformité réglementaire, de l’audit ou s’il existe, du département des risques d’entreprise. Il suffira dans ce cas de les intégrer. Mais s’il faut les définir, voici un exemple de liste. S’ils sont individualisés, dans la réalité, chaque type d’impact peut engendrer un autre de la liste. On parlerait lors d’impact organisationnel primaire et secondaire.
Comme tous les impacts organisationnels qui comptent ont un impact financier, celui-ci ne sera pas noté comme type mais déduit sous forme de dollars pour chacun des impacts de la liste :

  • Non-conformité à une loi ou réglementation
  • Perte de la licence d’opérer
  • Perte de revenu
  • Perte d’une part de marché
  • Perte d’un avantage concurrentiel (p. ex. si la mise sur le marché d’un produit est retardée à cause d’un scénario de risque)
  • Perte de réputation
  • Retard de livraison
  • Interruption de la fabrication
  • Ralentissement de la fabrication
  • Incapacité à connaître un client
  • Incapacité à enregistrer un nouveau usager

La liste des ces impacts est bien plus grande que les grandes catégories que l’on rencontre souvent et qui permettent mal de comprendre comment un événement ou un scénario peut affecter une organisation. La liste d’impacts doit être adaptée aux activités clé de l’organisation, lorsqu’elles sont inventoriées. Elles peuvent varier selon que l’organisation est une assurance, une banque ou une manufacture. Aussi difficile que cela puisse paraître, utiliser une liste adaptée au secteur d’activité est important pour aider à communiquer les conséquences d’un risque à une unité organisationnelle, faire en sorte que ça lui parle directement sans passer par des couches d’abstraction.