Identification des risques
Info
Identifier les risques = comprendre ce qui pourrait arriver, sur quoi, et comment.
Étape 1 – Identifier les actifs
| Type d’actif | Exemples |
|---|---|
| Information | Base de données clients, contrat, source de code |
| Logiciel | ERP, SI RH, CRM |
| Matériel | Serveur, routeur, laptop |
| Humain | Administrateurs, prestataires |
| Services | Infogérance, hébergement, SaaS |
Tip
Classez les actifs par criticité ou selon les processus métier.
Étape 2 – Identifier les menaces
- Naturelles (incendie, inondation)
- Techniques (malware, perte de disponibilité)
- Humaines (erreur, sabotage, négligence)
- Organisationnelles (défaut de procédure, sous-traitance non contrôlée)
Étape 3 – Identifier les vulnérabilités
- Mots de passe faibles
- Absence de filtrage réseau
- Manque de sensibilisation du personnel
Étape 4 – Identifier les scénarios de risque
Example
« Un collaborateur quitte l’entreprise avec une copie non chiffrée d’un fichier client. »
- Actif ciblé : données clients
- Menace : vol de données
- Vulnérabilité : pas de procédure de révocation / pas de chiffrement
- Conséquence : perte de confidentialité, atteinte à l’image, RGPD
Warning
Un scénario ≠ un incident : il représente un risque potentiel, crédible et documentable.