P.I.L.O.T.E

3 min de lecture

4.2 Évaluation des risques (ID.RA)

Objectif de la catégorie

Cette catégorie permet à l’organisation de comprendre les menaces, vulnérabilités, impacts et probabilités qui définissent les risques cybersécurité affectant ses actifs, ses opérations et ses individus.

Quote

« Il n’y a pas de bonne cybersécurité sans bonne appréciation du risque. »

ID.RA-01 : Identification et enregistrement des vulnérabilités

  • Procédures d’identification :
    • Scans réguliers (outils automatisés)
    • Bulletins de sécurité éditeurs
    • Retours terrain et audit
  • Enregistrement des vulnérabilités :
    • Description, criticité, date de détection
    • Outil recommandé : base centralisée (ex : GLPI, GRC)

ID.RA-02 : Réception des informations sur les menaces

  • Sources à surveiller :
    • CERT-FR, ANSSI, CISA, ISACs sectoriels
    • Flux de Threat Intelligence (CTI)
    • Partenaires industriels
  • Intégration automatique dans l’outil de supervision ou via processus hebdo

ID.RA-03 : Identification des menaces internes et externes

  • Cartographie des menaces :
    • Internes (insider malveillant, erreur humaine)
    • Externes (ransomware, APT, hacktivisme)
  • Doit alimenter la stratégie de sécurité et les analyses de risque

Example

Le départ d’un employé non maîtrisé = menace interne critique.

ID.RA-04 : Estimation des impacts et probabilités

  • Méthodologie formelle (ex : ISO 27005, EBIOS, FAIR)
  • Score global = probabilité × impact
  • Représentation matricielle utile pour priorisation

ID.RA-05 : Utilisation des résultats pour évaluer les risques

  • Les menaces + vulnérabilités + impacts = risques bruts
  • Permet de déterminer :
    • Risques critiques à traiter immédiatement
    • Risques acceptables (tolérés ou assurés)

ID.RA-06 : Traitement des risques

  • Choix des options :
    • Réduction (mesure technique)
    • Acceptation (tolérance documentée)
    • Transfert (assurance, délégation)
    • Évitement (arrêt d’une activité)
  • Doit être formalisé dans un plan d’action ou POA&M

ID.RA-07 : Gestion des changements et exceptions

  • Les projets et modifications doivent passer par :
    • Une analyse d’impact sécurité
    • Une évaluation des risques induits
  • Suivi des dérogations et approbations temporaires

ID.RA-08 : Processus de gestion des vulnérabilités signalées

  • Mettre en place un processus formel de réception/traitement :
    • Signalements internes (DSI, métiers)
    • Signalements externes (clients, chercheurs sécurité…)
  • Réponse rapide, traçabilité, communication contrôlée

ID.RA-09 : Vérification de l’intégrité des matériels/logiciels

  • Avant mise en production :
    • Vérification de source (hash, signature)
    • Conformité du matériel aux exigences sécurité
    • Analyse des dépendances open source

ID.RA-10 : Évaluation des fournisseurs critiques

  • Analyse de risque fournisseur intégrée au processus achat
  • Critères :
    • Accès aux données sensibles ?
    • Prestations critiques ?
    • Conformité (ISO 27001, SecNumCloud, HDS…)
  • Audit possible pour les plus sensibles

Synthèse opérationnelle

ÉlémentOutils / Méthodes
Identification vulnérabilitésScanner + base GLPI ou GRC
MenacesCartographie enrichie CTI
ÉvaluationISO 27005, EBIOS, FAIR
TraitementRegistre de risques + POA&M
FournisseursÉvaluation initiale + audits SSI

Vue Graphique