- Utiliser la formule Risque = Probabilite x Impact pour evaluer les risques techniques
- Comprendre le systeme CVSS pour scorer les vulnerabilites
- Prioriser les actions de remediation selon le risque residuel
La formule de base du risque
En cybersecurite, Risque = Probabilite x Impact. La probabilite estime la vraisemblance qu'une menace exploite une vulnerabilite (de 1 a 5). L'impact mesure les consequences sur la confidentialite, l'integrite, la disponibilite et la reputation (de 1 a 5). Le produit donne un score de risque brut qui permet de classer et prioriser les risques. Cette methodologie simple s'applique meme sans outils specialises.
Le systeme CVSS pour les vulnerabilites techniques
Le Common Vulnerability Scoring System (CVSS) est le standard pour evaluer la severite des vulnerabilites logicielles. Version 3.1 : score de 0 a 10, avec categories None (0), Low (0.1-3.9), Medium (4.0-6.9), High (7.0-8.9), Critical (9.0-10.0). Les scores Critical et High doivent declencher un patch immediat. Les scores CVSS sont publics sur la base CVE (cve.mitre.org).
Prioriser la remediation
Une fois les risques evalues, la remediation suit quatre options : mitiguer (reduire la probabilite ou l'impact par des controles), transferer (assurance cyber, infogerer a un prestataire), accepter (risques faibles documentellement acceptes par la direction), ou eviter (eliminer l'actif ou la pratique risquee). Chaque risque residuel doit etre documente et accepte formellement par la direction.
Checklist pratique
Votre progression est sauvegardée localement dans votre navigateur.
Points clés à retenir
- Risque = Probabilite x Impact : un cadre simple et universel pour prioriser
- CVSS score les vulnerabilites de 0 a 10 : Critical (9+) = patch immediat
- Le score CVSS est intrinsèque : le contexte de votre infrastructure peut le relativiser
- Mitiguer, transferer, accepter ou eviter : chaque risque doit avoir une decision documentee