Modèle DREAD.

DREAD est un modèle qualitatif de notation des risques introduit par Microsoft au début des années 2000 aux côtés de STRIDE pour la modélisation des menaces applicatives. Chaque menace identifiée est évaluée sur cinq dimensions — Damage potential, Reproducibility, Exploitability, Affected users et Discoverability — généralement notées de 1 à 10, puis sommées ou moyennées pour obtenir une note de risque relative servant à la priorisation. Microsoft a officiellement abandonné DREAD en raison de la subjectivité et de l'incohérence de la notation, mais il reste largement enseigné et appliqué dans de nombreux contextes AppSec, threat modeling et évaluations de risques ISO 27001 lorsqu'un schéma léger est préféré au CVSS ou à une analyse quantitative complète. DREAD se combine naturellement avec les menaces identifiées via STRIDE.