Un modèle d'évaluation des menaces est une représentation du plan d'une organisation concernant l'identification des menaces potentielles et les moyens qu'elle mettra en œuvre pour minimiser ou contrer ces menaces. De tels modèles peuvent utiliser des feuilles de calcul, des graphiques, des organigrammes, des diagrammes ou un certain nombre d’autres aides pour illustrer leurs points nécessaires.
Objectif
L'objectif d'un modèle d'évaluation des menaces est de permettre aux organisations d'identifier les menaces potentielles avant qu'elles ne surviennent et de définir des moyens de les prévenir ou d'inverser leurs effets. Au fur et à mesure que l'organisation grandit et se complexifie, les différents types de menaces auxquels elle est confrontée peuvent croître en nombre et en ampleur. Il est donc important de disposer d'un modèle bien établi que l'organisation peut utiliser pour organiser et analyser ces menaces, puis mettre en œuvre des mesures correctives pour les combattre.. Tenter de minimiser les menaces sans utiliser de modèle peut être déroutant, inefficace et même contre-efficace.
Les usages
Les modèles d'évaluation des menaces peuvent être utiles en matière de responsabilité, tels que les risques pour la sécurité pouvant amener les clients à engager des poursuites au civil contre un détaillant. Ils peuvent également traiter de sujets tels que la sécurité informatique, ce qui peut être extrêmement important pour les entreprises qui gèrent de vastes stocks d’informations sur les comptes clients, en particulier lorsqu’elles stockent des informations telles que les numéros de cartes de crédit, les adresses et les numéros de sécurité sociale. En prenant note des menaces éventuelles et en trouvant des moyens de les gérer, les organisations peuvent se protéger, protéger leur réputation, leurs clients et la société en général.
Questions fondamentales
Selon "Un aperçu de l'évaluation des menaces et des risques" de James Bayne pour le SANS Institute, une source de formation en sécurité de l'information, tout modèle d'évaluation des menaces doit traiter un certain nombre de problèmes clés. Premièrement, il doit identifier ce qui doit être protégé, tel que des actifs physiques ou des informations sensibles. Deuxièmement, il doit identifier toutes les menaces et vulnérabilités auxquelles l'organisation est confrontée. Troisièmement, il doit exposer toutes les conséquences de ce qui se produirait si l’un des actifs précieux était perdu. Quatrièmement, il doit donner quelques solutions concernant la manière dont l’organisation peut minimiser son exposition à de telles menaces.
Analyser les menaces
Lors de l'évaluation des menaces, vous devez analyser la nature et la gravité des menaces auxquelles votre organisation est confrontée. L'aspect le plus important de la catégorisation des menaces est de les identifier comme étant humaines ou non humaines. Une menace humaine, par exemple, serait un pirate informatique, un employé mécontent, un employé mal formé ou un voleur. Une menace non humaine serait une catastrophe naturelle ou une défaillance de l'équipement. Un modèle d'évaluation des menaces doit vous aider à répertorier toutes ces menaces et à quantifier leur degré de gravité.
