|
|
|
|
|
Définit la perte sur un actif pour l'organisation (en termes valeur /passif et de volume de l'actif).
Valeur Étiquetés
- Responsabilité/Valeur
- Volume
- Coût – La valeur intrinsèque de l’actif
- Criticité – Très élevée (Très élevée), élevée (É), modérée (Moyenne), faible (Faible), très faible (Très faible)
- Facteur de perte
- LossForm – Productivité, Réponse, Remplacements, Amendes et jugements, Avantage concurrentiel, Réputation
- Type de perte – Primaire, Secondaire
- Sensibilité
- Embarras/Réputation – Les informations fournissent la preuve d'une gestion incompétente, criminelle ou contraire à l'éthique ; note que cela fait référence à une atteinte à la réputation résultant de la nature de l'information elle-même, par opposition à une atteinte à la réputation qui pourrait survenir lorsqu'un événement de perte se produit
- Avantage concurrentiel - L'information fournit un avantage concurrentiel (comme des stratégies clés ou des secrets commerciaux) ; parmi les catégories de sensibilité, c'est la seule où la sensibilité représente valeur - dans tous les autres cas, la sensibilité représente une responsabilité
- Réglementation légale - L'organisation est tenue par la loi de protéger les informations
- Généralités – La divulgation des informations entraîne une certaine forme de perte
|
|
|
|
Capture les hypothèses formulées dans l’analyse des risques.
Valeur Étiquetés
|
|
|
|
La fréquence probable, dans une période donnée, à laquelle un agent de menace entrera en contact avec un actif.
Valeur Étiquetés
- Niveau de confiance - Généralement exprimé en pourcentage
- Valeur maximale probable
- Valeur minimale probable
- Type -
- Aléatoire - L'agent de menace « tombe sur » l'actif au cours d'une activité non ciblée ou non dirigée
- Régulier - Le contact se produit en raison des actions régulières de l'agent de menace
- Intentionnel – L'agent de menace recherche des cibles spécifiques
|
|
|
|
Capture les facteurs de perte externes.
Valeur Étiquetés
- Facteurs – Détection d’événements, aspects juridiques et réglementaires, concurrents, médias, autres parties prenantes
- Coût
- Criticité – Très élevée (Très élevée), élevée (É), modérée (Moyenne), faible (Faible), très faible (Très faible)
- Facteur de perte
- LossForm – Productivité, Réponse, Remplacements, Amendes et jugements, Avantage concurrentiel, Réputation
- Type de perte – Primaire, Secondaire
- Sensibilité –
- Embarras/Réputation – Les informations fournissent la preuve d'une gestion incompétente, criminelle ou contraire à l'éthique ; note que cela fait référence à une atteinte à la réputation résultant de la nature de l'information elle-même, par opposition à une atteinte à la réputation qui peut survenir lorsqu'un événement de perte se produit
- Avantage concurrentiel - L'information fournit un avantage concurrentiel (comme des stratégies clés ou des secrets commerciaux) ; parmi les catégories de sensibilité, c'est la seule où la sensibilité représente valeur - dans tous les autres cas, la sensibilité représente une responsabilité
- Réglementation légale - L'organisation est tenue par la loi de protéger les informations
- Généralités – La divulgation des informations entraîne une certaine forme de perte
|
|
|
|
Capture la perte qu’une menace peut entraîner.
Valeur Étiquetés
- Coût
- Criticité – Très élevée (Très élevée), élevée (É), modérée (Moyenne), faible (Faible), très faible (Très faible)
- Facteur de perte
- LossForm – Productivité, Réponse, Remplacements, Amendes et jugements, Avantage concurrentiel, Réputation
- Type de perte – Primaire, Secondaire
- Sensibilité
- Embarras/Réputation – Les informations fournissent la preuve d'une gestion incompétente, criminelle ou contraire à l'éthique ; note que cela fait référence à une atteinte à la réputation résultant de la nature de l'information elle-même, par opposition à une atteinte à la réputation qui pourrait survenir lorsqu'un événement de perte se produit
- Avantage concurrentiel - L'information fournit un avantage concurrentiel (comme des stratégies clés ou des secrets commerciaux) ; parmi les catégories de sensibilité, c'est la seule où la sensibilité représente valeur - dans tous les autres cas, la sensibilité représente une responsabilité
- Réglementation légale - L'organisation est tenue par la loi de protéger les informations
- Généralités – La divulgation des informations entraîne une certaine forme de perte
|
|
|
|
La fréquence probable, dans un laps de temps donné, à laquelle un agent de menace infligera des dommages à un actif.
Valeur Étiquetés
- Type de perte
- ProbableFrequency - Probabilité est toujours basée sur une période de temps (l'événement X a 10 % de chances de se produire au cours du prochain Y)
- Évaluation - Très élevé (TW), élevé (H), modéré (M), faible (L), très faible (VL)
- Période de temps
|
|
|
|
L’ampleur probable de la perte résultant d’un événement de perte.
Valeur Étiquetés
- Type de perte
- Cote - Grave (SV), Élevé (H), Significatif (Sg), Modéré (M), Faible (L), Très Faible (VL)
|
|
|
|
Capture la perte pour l’organisation.
Valeur Étiquetés
- Facteurs – Moment, diligence raisonnable, réponse, détection
- Coût – La valeur intrinsèque de l’actif
- Criticité – Très élevée (Très élevée), élevée (É), modérée (Moyenne), faible (Faible), très faible (Très faible)
- Facteur de perte
- Formulaire de perte
- Productivité - La réduction de la capacité d'une organisation à générer sa principale proposition valeur
- Réponse - Dépenses associées à la gestion d'un événement de perte (telles que les heures de travail internes ou externes, les dépenses logistiques, les frais de défense juridique et de relations publiques)
- Remplacement - Dépense en capital associée au remplacement des actifs perdus ou endommagés
- Amendes et jugements - Mesures légales ou réglementaires prises contre une organisation
- Avantage concurrentiel – Pertes associées à une position concurrentielle diminuée
- Réputation - Pertes associées à la perception d'une partie prenante externe selon laquelle la proposition valeur d'une organisation est diminuée
- Type de perte – Primaire, Secondaire
- Sensibilité
- Embarras/Réputation – Les informations fournissent la preuve d'une gestion incompétente, criminelle ou contraire à l'éthique ; note que cela fait référence à une atteinte à la réputation résultant de la nature de l'information elle-même, par opposition à une atteinte à la réputation qui pourrait survenir lorsqu'un événement de perte se produit
- Avantage concurrentiel - L'information fournit un avantage concurrentiel (comme des stratégies clés ou des secrets commerciaux) ; parmi les catégories de sensibilité, c'est la seule où la sensibilité représente valeur - dans tous les autres cas, la sensibilité représente une responsabilité
- Réglementation légale - L'organisation est tenue par la loi de protéger les informations
- Généralités – La divulgation des informations entraîne une certaine forme de perte
|
|
|
|
La probabilité qu'un agent de menace agisse contre un actif une fois le contact établi.
Valeur Étiquetés
- Niveau de confiance - Généralement exprimé en pourcentage
- Niveau d'effort - Très élevé (VH), élevé (H), modéré (M), faible (L), très faible (VL)
- MaximumLikelyValue - La proposition valeur maximale de l'agent de menace pour l'exécution de l'acte
- MinimumLikelyValue - La proposition valeur minimale de l'agent de menace pour l'exécution de l'acte
- MostLikelyValue - La proposition valeur perçue par l'agent de menace en effectuant l'acte
- Risque de détection/capture - Très élevé (VH), élevé (H), modéré (M), faible (F), très faible (FL)
|
|
|
|
La force d’un contrôle par rapport à une mesure de force de base.
Valeur Étiquetés
- Niveau de confiance - Généralement exprimé en pourcentage
- Niveau d'effort - Très élevé (VH), élevé (H), modéré (M), faible (L), très faible (VL)
- Valeur maximale probable
- Valeur minimale probable
- Valeur la plus probable
- Évaluation - Très élevé (TW), élevé (H), modéré (M), faible (L), très faible (VL)
|
|
|
|
Définit l’environnement ou la situation qui comporte un risque.
|
|
|
|
Définit une estimation de la fréquence et de l'ampleur probables des pertes futures
Valeur Étiquetés
- Évaluation - Très élevé (TW), élevé (H), modéré (M), faible (L), très faible (VL)
|
|
|
|
La décision d’atténuer le risque.
|
|
|
|
Définit le préjudice causé à un actif par un risque.
Pour le stockage et le flux de données électroniques, tenez également compte des éléments de cybersécurité dans modélisation des menaces.
Valeur Étiquetés
- Scénario de menace – Malveillant, Erreur, Échec, Naturel
- Type de menace – Externe, Interne
|
Modélisation des menaces et cybersécurité
|
|
|
La source qui pourrait nuire à un actif.
Valeur Étiquetés
- Méthode d'accès
- Visibilité souhaitée
- Motif
- Objectif
- Tolérance au risque personnel
- Ressources
- Évaluation des compétences
- Parrainage
- Type de menace – Externe, Interne
|
|
|
|
Le niveau probable de force qu’un agent de menace est capable d’appliquer contre un actif.
Valeur Étiquetés
- Niveau de confiance - Généralement exprimé en pourcentage
- MaximumLikelyValue - Le niveau maximal de compétences qu'un attaquant peut avoir
- MinimumLikelyValue - Le niveau minimum de compétences qu'un attaquant pourrait avoir
- MostLikelyValue - Le niveau de compétence de l'attaquant le plus probable
- Évaluation - Très élevé (TH), élevé (H), modéré (M), faible (L), très faible (VL)
|
|
|
|
Personnes associées aux conditions entourant l’actif à risque.
Valeur Étiquetés
- Type de menace – Externe, Interne
|
|
|
|
La fréquence probable, dans un laps de temps donné, à laquelle un agent de menace agira contre un actif.
Valeur Étiquetés
- Évaluation - Très élevé (TW), élevé (H), modéré (M), faible (L), très faible (VL)
|
|
|
|
L’action associée à la gestion d’un événement de perte.
Considérez également l’atténuation des menaces grâce au facilité Modélisation des menaces pour la cybersécurité.
Valeur Étiquetés
- Pourcentage de réponse
- Type de réponse :
- Confinement - Capacité d'une organisation à limiter l'ampleur et la profondeur d'un événement
- Correction - Capacité d'une organisation à supprimer l'agent de menace
- Récupération - La capacité de ramener les choses à la normale
|
Modélisation des menaces et cybersécurité
|
|
|
La probabilité qu'un événement de menace se transforme en événement de perte.
Valeur Étiquetés
- Évaluation - Très élevé (TW), élevé (H), modéré (M), faible (L), très faible (VL)
|
|
