Analyse de Risques
Identification des menaces, evaluation et priorisation selon la methode EBIOS
Methode de cotation
La matrice de risque identifie les menaces pesant sur le SI, evalue leur probabilite et leur impact, puis priorise les mesures de traitement. Elle est conforme a la methode EBIOS Risk Manager (ANSSI) et aux exigences NIS2 / DORA (gestion des risques ICT).
Formule
Criticite = Probabilite × Impact | Seuil d'acceptabilite : ≤ 4
| Niveau | Probabilite | Impact |
|---|---|---|
| 1 – Faible | Rare (< 1 fois / 3 ans) | Impact mineur, pas d'interruption de service |
| 2 – Moyen | Occasionnel (1 fois / an) | Impact limite, service degrade < 4h |
| 3 – Fort | Probable (plusieurs fois / an) | Impact significatif, arret partiel, perte donnees |
| 4 – Critique | Quasi-certain (recurrent) | Impact majeur : atteinte RGPD, arret total, perte financiere |
Matrice des risques identifies
| ID | Menace / Risque | Actif concerne | Prob. | Impact | Crit. | Mesures de traitement | Ref. |
|---|---|---|---|---|---|---|---|
| R01 | Acces RDP direct expose sur IP publique | Serveurs Windows | 4 | 4 | 16 | Suppression RDP public, VPN SSL + MFA, bastion d'administration | NIS2 Art.21 / DORA |
| R02 | Ransomware / chiffrement de donnees critiques | Serveurs fichiers, sauvegardes | 3 | 4 | 12 | EDR, sauvegardes 3-2-1 offline, segmentation VLAN, monitoring SIEM | RGPD Art.32 / NIS2 |
| R03 | Fuite ou divulgation de donnees personnelles | BDD clients, RH | 2 | 4 | 8 | Chiffrement AES-256, DLP, gestion habilitations, journalisation | RGPD Art.5/32/33 |
| R04 | Elevation de privileges / compromission compte admin | Active Directory | 2 | 4 | 8 | PAM, MFA admin, audit comptes, principe moindre privilege | NIS2 / PSSI |
| R05 | Absence de segmentation reseau (propagation laterale) | Reseau interne | 3 | 3 | 9 | VLANs segmentes, NGFW, regles DENY ALL par defaut | NIS2 Art.21 |
| R06 | OS obsoletes (Windows 2012 non supporte) | Serveurs applicatifs | 3 | 3 | 9 | Migration Windows Server 2022, plan de mise a jour WSUS | NIS2 / CIS |
| R07 | Indisponibilite d'un service critique (PRA/PRI) | Infra complete | 2 | 4 | 8 | Plan de reprise (PRI/PCA), tests trimestriels, sauvegardes hors site | DORA Art.11 / NIS2 |
| R08 | Attaque phishing / ingenierie sociale | Utilisateurs, messagerie | 3 | 3 | 9 | Sensibilisation, S/MIME, filtrage email, MFA, procedure signalement | NIS2 / CI |
| R09 | Non-conformite RGPD (absence de registre, DPA) | Traitements donnees | 2 | 3 | 6 | Registre traitements, DPO, PIA, clauses sous-traitants | RGPD Art.30/35/28 |
| R10 | Defaillance fournisseur tiers / cloud | Sauvegardes cloud, SaaS | 2 | 3 | 6 | Contrats SLA, audits tiers, plan B hebergement alternatif | DORA Art.28 / NIS2 |
| R11 | Absence de journalisation et de detection d'incidents | Ensemble SI | 2 | 3 | 6 | SIEM, SOC, retention logs 1 an, alerting temps reel | NIS2 Art.23 / PSSI |
| R12 | Violation de disponibilite > RTO/RPO definis | Applications metier | 2 | 3 | 6 | Monitoring 24/7, alertes Nagios/Zabbix, SLA contractuels | DORA Art.12 |
Legende criticite
1–4 : Risque acceptable
5–8 : Risque a surveiller (plan d'action)
9–12 : Risque eleve (traitement prioritaire)
13–16 : Risque critique (action immediate)
Pages liées
- Pour plus de détails sur la sécurisation réseau, consultez notre section Gestion du Réseau.
- Découvrez notre approche de Surveillance de la Sécurité pour la détection proactive des menaces.