Évaluation des risques
Qu'est-ce que Évaluation des risques ?
Évaluation des risquesActivité structurée de la gestion des risques qui identifie menaces, vulnérabilités et impacts sur des actifs précis et note le risque obtenu pour étayer les décisions de traitement.
Une évaluation des risques combine l'identification, l'analyse et l'évaluation des risques sur un périmètre défini : système, processus métier, fournisseur ou nouveau projet. Les évaluateurs collectent du renseignement sur les menaces, cartographient les vulnérabilités, estiment vraisemblance et impact métier puis produisent une liste priorisée de risques selon les critères de l'organisation. Les méthodes vont des cartes de chaleur qualitatives aux techniques quantitatives comme FAIR ou les simulations Monte Carlo, et alimentent le registre des risques et les plans de traitement. C'est aussi une exigence réglementaire dans NIST SP 800-30, ISO/IEC 27005, les AIPD du RGPD ou la Security Rule HIPAA.
● Exemples
- 01
Évaluation de type NIST SP 800-30 pour une nouvelle plateforme SaaS de paie.
- 02
Évaluation annuelle ISO 27005 à l'appui d'un audit de certification ISO 27001.
● Questions fréquentes
Qu'est-ce que Évaluation des risques ?
Activité structurée de la gestion des risques qui identifie menaces, vulnérabilités et impacts sur des actifs précis et note le risque obtenu pour étayer les décisions de traitement. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Évaluation des risques ?
Activité structurée de la gestion des risques qui identifie menaces, vulnérabilités et impacts sur des actifs précis et note le risque obtenu pour étayer les décisions de traitement.
Comment fonctionne Évaluation des risques ?
Une évaluation des risques combine l'identification, l'analyse et l'évaluation des risques sur un périmètre défini : système, processus métier, fournisseur ou nouveau projet. Les évaluateurs collectent du renseignement sur les menaces, cartographient les vulnérabilités, estiment vraisemblance et impact métier puis produisent une liste priorisée de risques selon les critères de l'organisation. Les méthodes vont des cartes de chaleur qualitatives aux techniques quantitatives comme FAIR ou les simulations Monte Carlo, et alimentent le registre des risques et les plans de traitement. C'est aussi une exigence réglementaire dans NIST SP 800-30, ISO/IEC 27005, les AIPD du RGPD ou la Security Rule HIPAA.
Comment se défendre contre Évaluation des risques ?
Les défenses contre Évaluation des risques combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Évaluation des risques ?
Noms alternatifs courants : Analyse des risques, Évaluation des cyber-risques.
● Termes liés
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
- compliance№ 937
Registre des risques
Inventaire vivant des risques identifiés avec description, propriétaire, scores, traitement et statut, utilisé pour suivre l'exposition de l'organisation dans le temps.
- compliance№ 888
Analyse qualitative des risques
Approche d'analyse qui note la vraisemblance et l'impact via des échelles descriptives (faible/moyen/élevé ou 1-5) plutôt que des valeurs monétaires ou probabilistes.
- compliance№ 889
Analyse quantitative des risques
Approche d'analyse qui exprime vraisemblance et impact sous forme chiffrée, typiquement par des probabilités et des distributions de pertes monétaires, pour étayer des décisions fondées sur des données.
- compliance№ 282
Analyse d'impact relative à la protection des données (AIPD/DPIA)
Analyse structurée, exigée par l'article 35 du RGPD, qui identifie et atténue les risques pour les droits et libertés des personnes avant le démarrage d'un traitement à haut risque.
- appsec№ 1150
Modélisation des menaces
Analyse structurée qui identifie les actifs, menaces, vulnérabilités et contre-mesures d'un système afin d'intégrer la sécurité dès la conception.