En fonction des éléments que vous avez identifié dans le type de risque et du contexte lié à l'actif, vous devez maintenant évaluer le risque.

Cette évaluation se fait en probabilité et en impact.

Détermination de l'échelle de risques

Pour évaluer les risques, il est nécessaire de positionner ces deux valeurs sur une échelle. C'est l'échelle de risques. Cette échelle est généralement basée sur 5 niveaux. En France, la méthode Ebios (poussée par la CNIL et l'ANSSI notamment) prévoit une échelle sur 4 niveaux.

Pour chaque niveau, il convient de déterminer une condition d'application. L'échelle peut correspondre à un montant financier par exemple (en termes d'impact).

L'échelle de Dastra est personnalisable. Vous pouvez la modifier en allant dans les réglages de l'espace de travail (attention, seul l'administrateur peut y accéder).

Probabilité (vraisemblance)

La probabilité correspond à l'évaluation de la fréquence d'occurrence d'un risque. C'est un score évalué de manière empirique (note sur 5 traditionnellement). Chaque niveau de risque peut correspondre à une fréquence d'apparition du risque (et donc de réalisation de la menace).

Impact (gravité)

L'impact correspond à l'évaluation de la conséquence d'un évènement redouté sur l'entreprise. C'est la gravité de cette conséquence qui est estimée.

En fonction du risque évalué, cet impact peut être variable. Cette évaluation peut être estimée de manière empirique. Par exemple, en estimant le coût d'une fuite de données ou d'une indisponibilité des données à la suite d'une attaque informatique. Le journal des évènements peut aider à concrétiser ces expériences passées.

S'il s'agit de risques concernant les personnes (dans le cadre du RGPD par exemple), l'impact correspondra au préjudice subi par les personnes concernées et à l'atteinte à leurs droits et libertés. On a déjà évoqué la discrimination, le refus de contrat, un désagrément.

Le tableau réalisé par la CNIL accessible dans cet article sur l'évaluation de l'impact sur les personnes concernées peut aider à cette évaluation.