Z001 Absence d'analyse de risque

Nom du scénario: Absence d'analyse de risque

Nom de l'organisme: CSSS

Date de création du scénario: 04 mai 2009

Scénario créé par: Annassou Abokou

Ayants cause:

  • Responsable de la gestion des ressources informationnelles
  • Technicien au support technique informatique

Description du scénario: Aucune analyse ne se fait sur les services, ports et protocoles installés pour des systèmes (serveurs, applications, etc.) ; De ce fait, il serait possible qu'un instruis ait accès à des systèmes (serveurs, applications, ports, etc.) sans autorisation. L’instruis pourrait aussi accéder à des systèmes, ports, etc. qui normalement ne devraient être accessibles que par des personnes préalablement identifiées et autorisées. En l’absence d’analyses (de vulnérabilités, etc.) régulières sur des systèmes d’information de l’établissement, le personnel des ressources informationnelles pourrait ne pas être au courant des failles éventuelles de leurs systèmes d’information. Or, la plupart des instruisions dans de systèmes par de pirates (informatiques) s’effectuent en exploitant les failles de sécurité dans des systèmes d’information. Ces failles peuvent porter entre autre sur l’absence d’une mise à jour récente de sécurité sur un système de l’établissement, etc. L’absence d’une mise à jour récente de sécurité sur un système (critique) pourrait impacter la disponibilité, l’intégrité et la confidentialité des données et des systèmes d’information du CSSS.

Cible: disponibilité, intégrité et confidentialité des systèmes, ainsi que de leurs données

Actifs informationnels visés: tous les actifs informationnels du CSSS, comme par exemples : systèmes SoftLab, Banque de sang, serveurs de la salle des serveurs, SICHL, horaire, ADT (Admission Départ Transfert) etc.

Processus d'affaires visés: processus d’affaires supportant tous les actifs informationnels du CSSS

Probabilité de la réalisation de ce scénario: Ce scénario est considéré par les ayants causse interviewés comme ayant une probabilité faible (évaluation subjective qualitative sur la base de leur connaissance de l'organisation).

Données historiques: aucunes

Impacts potentiels: Les impacts peuvent être minimes dans certains cas, mais peuvent aussi être très grands lorsque l’analyse de vulnérabilités ne se fait pas minimalement sur les systèmes critiques de l’établissement.

Impacts monétaires: l’analyse de vulnérabilités sur les systèmes du CSSS nécessite l’embauche d’une ressource supplémentaire. Le coût estimé est de (20 000$) en salaires et (10 000$) en heures de temps supplémentaire. L’achat de logiciels d’analyses de vulnérabilités, ainsi que la formation de la ressource supplémentaire sont estimées à (30 000$).

Pertes de revenu: non déterminé

Facteurs de résilience individuelle ou organisationnelle: aucuns

Autres facteurs organisationnels à considérer: aucuns

Mesures de mitigation en place: aucunes

Mesures de mitigation envisagées: Lors de l'entrevue avec les ayants cause, ils ont mentionné que les mesures suivantes sont envisagés (quoi et quand). (Quelle est l'efficacité de ces mesures ?)

Mesures de mitigation proposées: Les mesures de mitigation des risques suivantes peuvent être envisagées pour réduire le risque. (Quelle est l'efficacité de ces mesures ?)

Contrôles de gestion en place ou proposés: à déterminer

Historique des modifications du scénario:

  • créé par Annassou Abokou, 4/052009
  • Anonymisé par MA Léger, 12/01/2012
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-NonCommercial 3.0 License