Cadres et définitions essentiels
Définition du risque
Le risque est la combinaison de :
- Un événement redouté (dommage potentiel) ;
- Une source de risque (adversaire ou origine) ;
- Une vraisemblance (probabilité/effort pour l’adversaire de réussir).
Éléments clés de vocabulaire
| Terme | Définition |
|---|---|
| Valeur métier | Élément essentiel au fonctionnement de l’organisation (ex : données clients, continuité de service…) |
| Bien support | Ressource technique ou humaine qui supporte une valeur métier (serveur, logiciel, employé…) |
| Événement redouté | Dommage qui menace une valeur métier (ex : fuite de données, arrêt de production…) |
| Source de risque | Adversaire ou facteur de menace (état, cybercriminel, salarié mécontent…) |
| Objectif visé | Intention poursuivie par la source de risque (gain financier, sabotage, espionnage…) |
Intégration avec d’autres cadres
| Cadre | Objectif | Compatibilité |
|---|---|---|
| ISO/IEC 27005 | Management du risque SSI | EBIOS RM est plus opérationnel et orienté “adversaire” |
| NIST RMF | Cadre US pour le traitement du risque (FIPS 199/200) | Compatible mais plus prescriptif |
| ISO 31000 | Management global du risque | EBIOS RM est une déclinaison cybersécurité |
Tip
Garde à l’esprit que tous les termes sont liés. Par exemple : un événement redouté est toujours connecté à une valeur métier, et provoqué par une source de risque selon un objectif visé.