Identification des vulnérabilités Vulnérabilité:identification

ISO/IEC 27005, clause 8.2.5 :

La présence d’une vulnérabilité ne cause pas de préjudice en soi, car il faut qu’une menace soit présente pour l’exploiter.

Une vulnérabilité qui n’a pas de menace correspondante peut ne pas nécessiter la mise en œuvre d’un contrôle, mais doit être reconnue et surveillée.

Il convient de noter qu’un contrôle ou un contrôle incorrectement mis en œuvre ou défectueux, ou utilisé de manière incorrecte pourrait lui-même constituer une vulnérabilité.

La présence d’une vulnérabilité peut être identifiée dans différents domaines tels que l’organisation, les processus, les procédures, le personnel, le matériel, les logiciels, l’environnement, la configuration des éléments du système d’information ou encore des routines de gestion. Cette liste n’est pas exhaustive.

L’annexe D de la norme ISO/IEC 27005 présente un tableau regroupant un grand nombre de vulnérabilités. Il est important de s’en servir pour nous guider lors de cette phase d’identification.

Exemples de vulnérabilités tirés de l’annexe D de la norme ISO/IEC 27005 : Vulnérabilité

Type

Exemple de vulnérabilités...

couv_EPISO27005.png

Découvrez 

le livre :

Aussi inclus dans nos :

Précédent
Identification des contrôles existants
Suivant
Identification des conséquences