BlueKrypt

ÉTAPE 2 : ANALYSE DE RISQUES

Pour chaque composant, service ou fonction, BlueKrypt identifie et qualifie ensuite les risques résultants des menaces et vulnérabilités mises en évidence. L’analyse précise pour chaque risque :

• Une description de ce risque.
• Les critères de sécurité impactés (disponibilité, intégrité, confidentialité, traçabilité).
• La probabilité du risque et son impact, évalués au regard des enjeux de sécurité identifiés lors de l’étape 1.

Ces éléments sont synthétisés dans un tableau similaire à celui présenté ci-dessous :

ÉTAPE 3 : RECOMMANDATIONS ET PLAN D’ACTION

Cette étape a pour objectif d’expliciter les recommandations de sécurité et de formaliser le plan d’action associé, en distinguant le très court terme (actions à réaliser en priorité pour couvrir les principaux risques ou dont la mise en œuvre est aisée) et le court/moyen terme (actions moins urgentes ou nécessitant un investissement plus important).

Pour chaque recommandation, le plan d’action détaillera :

• La description de la mesure.
• Son niveau de priorité de mise en œuvre, en faisant apparaître en premier lieu les actions urgentes à mettre en œuvre sur le court terme ou permettant d’améliorer certains niveaux de sécurité simplement et rapidement.
• Sa portée (en terme de périmètre, de risque traité…).
• Ses prérequis techniques ou organisationnels.
• Ses impacts éventuels sur la production.
• Une estimation du coût de mise en œuvre.
• Le risque résiduel.