indicateurs les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus complexes à définir et à apprécier, à preuve ceux sur les « alertes virales »[évasif].

n peut désigner comme indicateurs les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus complexes à définir et à apprécier, à preuve ceux sur les « alertes virales »[évasif].
Informations sensibles[modifier | modifier le code]
Article détaillé : Sécurité des données.
Avant de tenter de se protéger, il convient de déterminer quelles sont les informations sensibles de l'entreprise, qui peuvent être des données, ou plus généralement des actifs représentés par des données. Chaque élément pourra avoir une sensibilité différente.
Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un patrimoine informationnel à protéger.
Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments sensibles.
Critères de sécurité[modifier | modifier le code]
La sécurité peut s'évaluer suivant plusieurs critères :
Disponibilité : garantie que ces éléments considérés sont accessibles au moment voulu par les personnes autorisées.
Intégrité : garantie que les éléments considérés sont exacts et complets.
Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments considérés.
D'autres aspects peuvent éventuellement être considérés comme des critères (bien qu'il s'agisse en fait de fonctions de sécurité), tels que :
Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.
Une fois les éléments sensibles déterminés, les risques sur chacun de ces éléments peuvent être estimés en fonction des menaces qui pèsent sur les éléments à protéger. Il faut pour cela estimer :
la gravité des impacts au cas où les risques se réaliseraient,
la vraisemblance des risques (ou leur potentialité, ou encore leur probabilité d'occurrence).
Dans la méthode EBIOS, ces deux niveaux représentent le niveau de chaque risque qui permet de les évaluer (les comparer).
Dans la méthode MEHARI, le produit de l'impact et de la potentialité est appelé « gravité ». D'autres méthodes utilisent la notion de « niveau de risque » ou de « degré de risque ».
Menaces[modifier | modifier le code]
Article détaillé : Insécurité du système d'information.
Les principales menaces auxquelles un système d’information peut être confronté sont :
un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un système d'information a pour origine un utilisateur, généralement insouciant. Il n'a pas le désir de porter atteinte à l'intégrité du système sur lequel il travaille, mais son comportement favorise le danger ;
une personne malveillante : une personne parvient à s'introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes auxquels elle n'est pas censée avoir accès. Le cas fréquent est de passer par des logiciels utilisés au sein du système, mais mal sécurisés;
un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données ; des données confidentielles peuvent être collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ;