Rechercher les vulnérabilités par actif qui sont identifiées (par exemple: connues par identification à partir du référentiel CVE, par évaluation des menaces et des risques des actifs; à partir des notifications des fournisseurs de systèmes/actifs/technologies; à partir des actions correctives déployées lors de leur exploitation pour cause d'incident de sécurité observé) et qui sont documentées (par exemple: accessibles, utilisables, non obsolètes et maintenus; par une évaluation des risques exécutée par le fournisseur d'actifs et/ou l'organisation) garantissant une compréhension suffisante du ou des risques de cybersécurité exposés.
Rapports sur les vulnérabilités pour identifier les tendances dans lesquelles les applications sont les plus sensibles, les menaces les plus dommageables et les contrôles qui fonctionnent.
Ref: REQ_FUNC_VUL-2
Rechercher dans les journaux d'audit concernant les analyses de vulnérabilité (par exemple: les mesures proactives) effectuées sur les actifs de l'organisation et sur l'étendue de sa responsabilité (par exemple: les appareils de leurs clients lorsqu'il sont inclus dans les services fournis dans le cadre du SLA).
Ref: REQ_FUNC_VUL-1
Organisation, planification et suivi des programmes de formation relatifs aux activités de sécurité et aux comportements attendus des membres de l'organisation et des parties prenantes (ex. partenaires, fournisseurs).
Veiller à ce que les employés soient formés et au courant de toutes les politiques et procédures pertinentes.
Exemples:
- Assurance que toute l'organisation sait comment réagir dans les premières minutes après un incident grâce à une formation sur le plan de réponse.
- Exercices de plans de continuité d'activité.
- Formations sur la sécurité des personnes et la violence au travail.
- Gérer les exercices de test de reprise après sinistre.
Ref: REQ_FUNC_TRT-1
Rechercher des menaces (par exemple: des agents de menace) qui sont identifiées (par exemple: à partir d'évaluations et d'analyses de risques effectuées; à partir de sources d'informations sur les vulnérabilités exposées lors de l'utilisation de technologies, y compris l'exposition aux agents de menace qui sont mis en œuvre par les actifs identifiés de l'organisation) concernant les risques de cybersécurité (par exemple: contre les opérations de l'organisation, des actifs et des individus; dans un contexte d'utilisation ou une situation où les actifs et/ou les informations sont gérés).
Ref: REQ_FUNC_THI-1
Rechercher les impacts potentiels identifiés (ex : impact business identifié lors d'une évaluation des risques, d'une analyse d'impact business ou issus d'impacts observés lors d'une situation de crise vécue lors de l'exploitation des actifs) et catalogués. Trouver les probabilités évaluées (ex : lors de l'analyse des risques et de l'évaluation du niveau d'impact potentiel). Le périmètre de recherche prend en compte les impacts sur les actifs et les opérations déjà en production opérationnelle, mais également issus des projets en construction concernant de nouveaux actifs ou des évolutions d'actifs existants.
Ref: REQ_FUNC_RSK-6
Rechercher les risques de cybersécurité qui sont évalués (par exemple: en cours, finalisés et cohérents, revus) en tenant compte des menaces, des vulnérabilités, des probabilités et des analyses d'impact effectuées avec une visibilité réaliste pour leur gestion (par exemple: identification des mesures de contrôle à mettre en œuvre) concernant les actifs existants, et/ou futur (par exemple: projets en cours). Ce périmètre prend en compte les processus initialisés et/ou finalisés d'identification, d'évaluation, d'analyse des risques.
Ref: REQ_FUNC_RSK-5
Rechercher des processus de gestion des risques de cybersécurité définis par l'organisation avec un niveau de qualité sous contrôle (par exemple: documentés, finalisés, revus, approuvés, accessibles, déployés, maintenus), qui sont applicables par les parties prenantes (par exemple: projets, gestionnaires d'actifs, centre des opérations de sécurité...) et qui sont compris (par exemple: formation exécutée; attestations de lecture/compréhension existantes; preuves d'application des processus).
Ref: REQ_FUNC_RSK-4
Rechercher la tolérance au risque qui est clairement exprimée (par exemple identifiée, sélectionnée, alignée sur les buts et objectifs de l'organisation) et déterminée (par exemple: hiérarchisée; à contraintes définies) dans un état utilisable comme référence pour la stratégie de gestion des risques et le soutien aux activités d'évaluation des risques.
Ref: REQ_FUNC_RSK-3
Rechercher les preuves de bonne compréhension (exemple: attestation de formation par les personnels; résultats de campagnes de sensibilisation et/ou d'entretiens qui ont confirmés la compréhension) et de bons usages des critères de tolérance (ex: niveau de risque adéquat accepté/respecté dans l'analyse de risque effectuée sur les projets) en fonction de son rôle dans les infrastructures critiques et les analyses des risques spécifiques au secteur déjà réalisées par l'organisation.
Ref: REQ_FUNC_RSK-2
Rechercher les processus de gestion des risques de cybersécurité concernant la chaîne d'approvisionnement définis par l'organisation avec un niveau de qualité sous contrôle (par exemple: les processus identifiés, établis, documentés, finalisés, revus, approuvés, accessibles, déployés, maintenus), qui sont applicables par les parties prenantes (par exemple: les projets, les gestionnaires d'actifs, le centre des opérations de sécurité, les fournisseurs) et qui sont compris (par exemple: la formation exécutée; les attestations de lecture/compréhension existantes; les preuves disponibles de l'application des processus, les SLA observés).
Ref: REQ_FUNC_RSK-1
