ateurs de résultats sont plus complexes à définir et à apprécier, à preuve ceux sur les « alertes virales »

ifier | modifier le code]
Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les trois principales méthodes d'évaluation disponibles sur le marché français :
la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité), développée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ;
la méthode MEHARI (Méthode harmonisée d'analyse des risques), développée par le CLUSIF ;
la méthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par l'Université de Carnegie Mellon (USA).
La société MITRE, qui travaille pour le Département de la Défense des États-Unis, a aussi développé en 1998 une méthode d'évaluation des menaces et des vulnérabilités appliquée à l'industrie aérospatiale, et pouvant être généralisée aux infrastructures critiques : NIMS (NAS Infrastructure Management System, NAS signifiant National Aerospace).
Même si le but de ces méthodes est identique, les termes et les expressions utilisés peuvent varier. Ceux utilisés ci-dessous sont globalement inspirés de la méthode Feros.
Paradoxalement, dans les entreprises, la définition d'indicateurs « sécurité du SI » mesurables, pertinents et permettant de définir ensuite des objectifs dans le temps, raisonnables à atteindre, s'avère délicate. S'il s'agit d'indicateurs de performances, on peut désigner comme indicateurs les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus complexes à définir et à apprécier, à preuve ceux sur les « alertes virales »[évasif].
Informations sensibles[modifier | modifier le code]
Article détaillé : Sécurité des données.
Avant de tenter de se protéger, il convient de déterminer quelles sont les informations sensibles de l'entreprise, qui peuvent être des données, ou plus généralement des actifs représentés par des données. Chaque élément pourra avoir une sensibilité différente.
Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un patrimoine informationnel à protéger.
Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments sensibles.
Critères de sécurité[modifier | modifier le code]
La sécurité peut s'évaluer suivant plusieurs critères :
Disponibilité : garantie que ces éléments considérés sont accessibles au moment voulu par les personnes autorisées.
Intégrité : garantie que les éléments considérés sont exacts et complets.
Confidentialité : ga