Identification des Actifs du SI . Données : Identifier les principales données gérées par l'organisation, y compris les données personnelles, financières, opérationnelles, et de recherche.. Applications : Répertorier toutes les applications utilisées pour traiter, stocker ou transmettre ces données.
. Identifier celle gérées en interne et celles externalisées (SaaS, ...)
Classification des Applications Importance opérationnelle : . Classer les applications en fonction de leur importance pour les opérations de l'entreprise, de critique à non essentielle.
. Sensibilité des données traitées : Prendre en compte le type de données traitées ou stockées par l'application pour aider à déterminer son niveau de sensibilité, notamment par rapport aux risques de divulgation ou de détournement de ces données.
Évaluation des Risques sur les actifs critiques Il ne s'agit pas de faire une analyse des risques qui peut être longue et couteuse, mais de se focaliser sur les applications critiques pour l'entreprise.. Analyse des risques : Évaluer les risques associés à chaque catégorie d'application, mais surtout les applications critiques pour l'entreprise. Il est difficile d'estimer le type de menaces cybernétiques, tant les menaces évoluent vite. Il faut plutôt se préoccuper de la gravité de l'impact sur l'entreprise ou organisme.
. Mesures de protection : Déterminer les mesures de sécurité existantes de cyber-résilience et définir leur efficacité.