Paramètres de l'analyse des risques

Ceci est une ancienne révision du document !

On considère pour chaque type d'information les effets du non respect de l'un des critères de la sécurité de l'information : disponibilité, intégrité ou confidentialité.

L'échelle de gravité est celle de la fiche 9 de la HAS

Gravité
Mineur	1
Significatif	2
Majeur	3
Critique	4
Catastrophique	5

De même, l'échelle de vraisemblance est celle de la même fiche, avec 5 niveaux.

Vraisemblance
Très improbable	1
Très peu probable	2
Peu probable	3
Possible/Probable	4
Très probable	5

Le niveau de risque est obtenu en multipliant la gravité par la vraisemblance maximum. Pour retrouver la matrice de criticité donnée en exemple dans la fiche, on en tire trois classes de risques:

Prioritaire (rouge) si le niveau de risque est supérieur ou égal à 10
A surveiller (jaune) s'il est supérieur ou égal à 5
Non critique (vert) s'il est inférieur à 5

NiveauRisque
Non critique	4
A surveiller	9
Prioritaire	25

CouleurRisque
Non critique	60ff60
A surveiller	ffff60
Prioritaire	ff7070

Critère
Confidentialité	C
Intégrité	I
Disponibilité	D

Les modes de défaillance sont ceux usuels d'EBIOS.

Mode
Dépassement des limites de fonctionnement	DEP
Détérioration	DET
Espionnage	ESP
Modification, paramétrage, infection	MOD
Perte, disparition	PTE
Détournement de l'usage prévu	USG

Source
Usager maladroit	USG_MLD
Administrateur maladroit	ADMIN_MLD
Intrus avec des capacités faibles	EXT_LOW_MLV
Intrus avec des capacités limitées	EXT_MID_MLV
Intrus avec des capacités élevées	EXT_HI_MLV

Vecteur
Locaux en général	LOC
Logiciels en général	LOG
Matériels en général	MAT
Matériels de stockage	MAT_STOR
Organisation en général	ORG
Sous-traitant	ORG_SUB
Personnels en général	PER
Réseaux en général	RSX