TRA-1 Méthodologie harmonisée d’évaluation des menaces et des risques Appendice C-4 - Tableau d’évaluation des menaces Classe de menace Délibérées Catégorie d’agent Agent de menace de menace Incident Activité de menace Niveaux de menace C D I Sous-groupe(s) de biens touchés Espionnage Sabotage Subversion Terrorisme Actes criminels Autres Accidentelles Accidents au bureau Altération des données Failles dans un logiciel Défaillances du matériel Défaillances mécaniques Défaillances de structure Incendies Accidents industriels Accidents nucléaires Risques naturels Maladies Mouvements de terrain Inondations Activités d’ordre environnemental Violentes tempêtes Plantes et animaux Légende : C – Confidentialité, D – Disponibilité, I - Intégrité Appendice C-4 Tableau d’évaluation des menaces C4-1 23 octobre 2007 TRA-1 Méthodologie harmonisée d’évaluation des menaces et des risques 1 Instructions Entrez toutes les menaces visées par le projet d’EMR au niveau de ventilation appropriée (Activité de menace, Catégorie d’agent de menace, Agent de menace et Incident) à partir de la liste des menaces de l’appendice C-2. À partir des paramètres des menaces de l’appendice C-3, déterminez les niveaux pertinents de chaque menace sur une échelle allant de Très faible à Très élevé (TF à TE) pour les aspects confidentialité (C), disponibilité (D) et /ou intégrité (I) des sous-groupes de biens touchés. 2 Exemples 2.1 Espionnage Si la menace d’espionnage que pose tel ou tel service de renseignement est élevée pour la confidentialité de plans militaires en fonction de la probabilité d’occurrence et des capacités de l’adversaire, le tableau d’évaluation des menaces se présenterait ainsi : Classe de menace Menaces délibérées Catégorie d’agent de menace Activité de menace Espionnage Services de renseignement Agent de menace Spécifique Incident – Niveaux de menace C D I Sous-groupe(s) de biens touchés E Plans militaires 2.2 Pirate Si la menace que représente un pirate informatique pour les fichiers de données d’un ministère est moyenne au chapitre de l’accès non autorisé (Confidentialité) et de la modification non autorisée (Intégrité), mais élevée en ce qui concerne les attaques de déni de service (Disponibilité), le tableau d’évaluation des menaces se présenterait ainsi : Classe de menace Menaces délibérées Catégorie d’agent de menace Activité de menace Espionnage Sabotage Sabotage Pirates informatiques Pirates informatiques Pirates informatiques Appendice C-4 Tableau d’évaluation des menaces Agent de menace – – – C4-2 Incident Accès non autorisé Modification non autorisée Déni de service Niveaux de menace Sous-groupe(s) de C D I biens touchés M – – – – M – E – Fichiers de données du ministère Fichiers de données du ministère Fichiers de données du ministère 23 octobre 2007 TRA-1 Méthodologie harmonisée d’évaluation des menaces et des risques 2.3 Hausses de tension Si la menace de hausses de tension périodiques qui occasionneraient des dommages à des appareils électriques délicats est élevée (Disponibilité) mais que le risque d’altération des données qui l’accompagne est faible (Intégrité), le tableau d’évaluation des menaces se présenterait ainsi : Classe de menace Activité de menace Menaces accidentelles Menaces accidentelles Défaillances mécaniques Défaillances mécaniques Catégorie d’agent de menace Services publics Services publics Appendice C-4 Tableau d’évaluation des menaces Agent de menace Incident Compagnie d’électricité Compagnie d’électricité Hausse de tension Hausse de tension C4-3 Niveaux de menace Sous-groupe(s) de C D I biens touchés – E – Appareils électriques – – F Fichiers de données 23 octobre 2007