Identifier et modéliser les menaces

Les vulnérabilités précédemment identifiées exposent les biens a des menaces. La norme ISO/CEI 27001 impose l’identification des menaces pour tous les biens recensés.

Les principales menaces auxquelles un système d’information peut être confronté sont :

un utilisateur du système : l’énorme majorité des problèmes liés à la sécurité d’un système d’information a pour origine un utilisateur, généralement insouciant. Il n’a pas le désir de porter atteinte à l’intégrité du système sur lequel il travaille, mais son comportement favorise le danger ;
une personne malveillante : une personne parvient à s’introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes auxquels elle n’est pas censée avoir accès. Le cas fréquent est de passer par des logiciels utilisés au sein du système, mais mal sécurisés ;
un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données ; des données confidentielles peuvent être collectées à l’insu de l’utilisateur et être réutilisées à des fins malveillantes ;
un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.
Identifier les conséquences
La norme ISO 27001 oblige l’évaluation de conséquences ; tel que : la perte de confidentialité, de disponibilité ou d’intégrité. Cela revient à donner une note en trois dimensions (confidentialité ; disponibilité et intégrité), selon des critères définis, pour chaque actif.

Identifier les dommages
Quatre types de dommages peuvent affecter le système d’information d’une organisation:

Les dommages financiers :
Sous forme de dommages directs, c’est l’action de reconstituer des bases de données qui ont disparu, de reconfigurer un parc de postes informatiques ou de réécrire une application,
Sous la forme de dommages indirects, c’est le dédommagement des victimes d’un piratage, le vol d’un secret de fabrication ou la perte de marchés commerciaux ;
La perte de l’image de marque :
Perte directe par la publicité négative faite autour d’une sécurité insuffisante tel que l’hameçonnage,
Perte indirecte par la baisse de confiance du public dans une société, par exemple, les techniques répandues de défacement ;
Les dommages réglementaires :
L’indisponibilité d’un systèmes d’informations peut mettre en défaut l’entité devant ses obligations légales et juridiques ;
Les dommages écologiques et/ou Sanitaires :
La défaillance d’un système peut provoquer des catastrophes écologiques (ex. : AZF, marées noires, etc.),
La défaillances d’un système peut provoquer des dégâts sanitaires (ex. : les centrales nucléaires, etc.).
Évaluer la vraisemblance
Il s’agit de remettre le bien d’information dans son contexte environnemental et donc de prendre en compte les mesures qui sont déjà mises en place. (ex. : si un fichier client est déjà chiffré, alors la vraisemblance de voir sa confidentialité compromise est limitée.) . Il est possible d’évaluer la notion de vraisemblance par une note sur une échelle de 1 à 5.

Estimer les niveaux de risque
L’attribution d’une note finale reflétera le niveau de risque réel tout en tenant compte des éléments ci-dessus. La norme ISO 27001 n’impose aucune formule c’est donc à l’implémenteur de la choisir. Il peut s’agir d’une note allant de 0 à 100 ou d’un code couleur.

Source : https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information