6. Supports, impacts, scénarios

Les listes des référentiels sont accessibles via le menu Administration par le DPO et son équipe (assistants). Elles sont entièrement personnalisables et peuvent être enrichies.

Les référentiels proviennent du document "Les bases de connaissances" de la CNIL :

Supports de données

Les supports sont organisés par type et sélectionnés dans l'onglet Données. Les rédacteurs de l'analyse peuvent facilement ajouter de nouveaux supports :

Une fois sélectionnés, les supports sont affichés dans un récapitulatif, indiquant les vulnérabilités par type, afin de vous assister dans l'analyse :

En bas de l'onglet Mesures, vous retrouvez la liste des supports sélectionnés. Vous pouvez identifier les supports présentant des vulnérabilités résiduelles, en fonction des mesures de sécurité appliquées, et nécessitant un examen. Par défaut, tous les supports sont sélectionnés :

Les supports cochés ici seront utilisés dans l'analyse des risques, pour créer des scénarios.

Impacts pour les personnes concernées

Les impacts sont évalués pour les 3 types de risques, dans les onglets Confidentialité, Intégrité et Disponibilité.

Ils peuvent être corporels, matériels ou moraux et sont associés à une gravité :

Vous pourrez ajouter facilement de nouveaux impacts en bas de la liste :

Les définitions provenant du module PIA de la CNIL vous assistent dans la détermination de la gravité des impacts lors de leur création :

Les scénarios de risque

Pour chaque type de risque (perte de confidentialité, d'intégrité ou de disponibilité), vous pouvez construire plusieurs scénarios :

Il est possible de copier un scénario d'une AIPD à une autre, à condition que cette dernière soit en statut Brouillon.

Les menaces proposées dépendent du support sélectionné et du type de risque, conformément aux listes issues de la base de connaissances de la CNIL. Vous pouvez ainsi examiner les différentes menaces possibles pour chaque support.

Les sources de menaces se répartissent en 3 types : interne humaine, externe humaine ou non humaine. Depuis le menu Administration, le DPO peut adapter cette liste pour qu'elle corresponde à son organisation.

Choisissez les mesures à mettre en place pour réduire les risques :

Ajoutez une description de la menace et évaluez son niveau de gravité et de vraisemblace. L’évaluation des menaces après application des mesures peut être réalisée directement depuis la liste des scénarios

Retour en haut