Livre électronique gratuit : Préparer NIS2 en utilisant les meilleures pratiques de l'ISO 27001
Télécharger l'ebook
Accueil de l'Académie
Aide
Calcul du niveau de risque en Cyberday

L'évaluation des risques est l'étape de la gestion des risques liés à la sécurité de l'information qui consiste à classer les risques par ordre de priorité en évaluant leur impact et leur probabilité, et à déterminer ainsi le niveau de risque.

Paramètres d'automatisation des risques

La gestion des risques peut être exécutée sur Cyberday de manière entièrement manuelle ou en tirant parti de nos automatismes.

Vous trouverez les paramètres correspondants dans Paramètres -> Gestion des risques : Paramètres généraux.

Si vous souhaitez profiter de l'évaluation automatique des risques de Cyberday, activez le pilote automatique des risques.

Qu'est-ce que l'évaluation automatisée des risques ?

Comme vous vous en souvenez au début de cet article, l'objectif de l'évaluation des risques est de les classer par ordre de priorité. Cet ordre doit tenir compte de la nature de la menace, mais aussi de vos actions actuelles et du type de votre entreprise et de son environnement opérationnel.

Cette tâche n'est pas simple et l'évaluation automatisée des risques est là pour vous aider.

Si vous utilisez l'évaluation automatisée des risques, les éléments suivants se produiront automatiquement :

  • Remplir une évaluation de départ pour chaque risque (probabilité + valeurs d'impact) selon l'avis d'experts.
  • Ajuster le niveau de risque en fonction du facteur de contrôle du risque

Cyberday relie toujours automatiquement les tâches de contrôle connexes aux risques, mais vous pouvez également ajuster ces connexions manuellement à partir de la fiche de risque.

Modalités de calcul du niveau de risque

Le niveau de risque est calculé en multipliant la probabilité par l'impact. En fonction de la configuration de votre pilote automatique de risque, ce résultat est ensuite multiplié par le facteur de maturité de vos contrôles actuels (0-1) (c'est-à-dire le facteur de contrôle du risque).

Niveau de risque avec le pilote automatique

Si le pilotage automatique du risque est activé, le niveau de risque est calculé par la probabilité x l'impact x le facteur de contrôle du risque.

Le facteur de maîtrise des risques est calculé de la manière suivante et est toujours compris entre 0 et 1 :

  1. Trouver toutes les tâches de contrôle liées au risque (dans le bloc "Tâches de contrôle du risque actuel")
  2. Créer une valeur de maîtrise des risques pour chaque tâche de maîtrise des risques en fonction de son statut
    • 0,02 lorsque le statut est PENDANT (non réalisé)
    • 0,05 lorsque le statut est ACTIF (partiellement/principalement effectué)
    • 0,10 lorsque l'état est DONE (Entièrement réalisé)
  3. Ajuster la valeur de contrôle du risque pour chaque tâche de contrôle du risque en fonction de sa priorité
    • 2x lorsque la priorité est CRITIQUE
    • 1,5x lorsque la priorité est HAUTE
    • 1x lorsque la priorité est MOYENNE
    • 0,5x lorsque la priorité est BASSE
  4. Soustraire de 1 la somme des valeurs de maîtrise des risques de toutes les tâches pour obtenir le facteur de maîtrise des risques calculé pour ce risque.
    • par exemple 1 - ( tâche_faible_priorité_faite + tâche_haute_priorité_active)
    • = 1 - (0.05 + 0.075)
    • = 0.875

Dans ce cas, si les valeurs initiales évaluées de la probabilité et de l'impact du risque sont 2 et 3, le calcul sera le suivant :

  • Niveau de risque = 2 * 3 * 0,875 = 5,25

Niveau de risque sans pilote automatique

Si vous décidez de désactiver le pilote automatique du risque, vous remplissez les évaluations de risque manuellement et le niveau de risque est calculé directement par la probabilité x l'impact.

Contenu

Partager l'article