ARTEMIS,est un outil d'analyse de risques de l'information basé sur un modèle de maturité. L’approche générale de l'outil d'analyse de risques consiste à pouvoir donner rapidement un avis sur la situation de sécurité de l'information sur un périmètre donné. Par rapport à d'autres approches d'analyse de sécurité, ARTEMIS préfère se baser sur une évaluation de la maturité du système d'informations, plus systémique.
La mesure " Respect des prescriptions légales" apparaît deux fois dans le graphe "Conformité" ; une des deux doit être remplacée par la mesure " Protection de la vie privée" qui est absente.
Exemple : attaque sur périmètre externe
Si le questionnaire renseigne qu'il n'y a qu'un site informatif, sans transaction, l'impact d'une attaque doit être diminué dans l'analyse d'impact
Voir si d'autres menaces sont concernées
Voir 'également s'il ne faut pas ajouter des questions ou préciser des questions
Pour le plan de traitement, il y a une erreur dans le choix des menaces dans compute5. Au niveau des lignes :284 à 289, on fait référence à la menace "Modification ou destruction malicieuse de données" mais pour la ligne 288 et 289 on fait référence à la menace "Modification ou destruction accidentelle de données".
La question 7 : " Quel est le nombre estimé d'utilisateurs simultanés des données" sera reformulé par
"Quel est le nombre estimé d'utilisateurs connectés simultanément aux données?"
La matrice d'impact doit être simplifiée en 4 colonnes correspondant aux 4 critères d'impact du questionnaire : Fonctionnel, financier, image et conformité
Dans l'onglet "Priorité des mesures", faire intervenir le niveau de risques en additionnant le risque le + élevé, le degré de cout-complexité, le degré d'alignement stratégique
L'onglet "Tableaux de bord ISO" présente la même vue Radar que l'onglet "Radar Business"
Il doit donc porter le même nom
Supprimer l'onglet "Radar ISO", qui est redondant avec l'onglet "Tableau de bord ISO"
La question posée "L'accès aux données est-il soumis à des périodes critiques" doit être positionné au dessus de la question relative à la période admissible d'indisponibilité
La question "L'accès aux données est-il soumis à des périodes critiques? Si oui, lesquelles?" devrait être placée en position 5 du questionnaire métier, avant les questions sur la disponibilité.
Il y a un bug au niveau du choix des exigences pour le plan de traitement lorsque l'on décide de ne pas évaluer la maturité de certaine mesures (Cocher "Non applicable" dans l'analyse de maturité).
Lorsque il n'y a aucun risque à traiter, c'est-à-dire que le niveau du risque de la menace est en dessous du niveau de tolérance au risque , la macro traitement dans l'onglet "Cartographie_M" se crashe en raison de l'absence d'une condition relative à la vérification du traitement.
Pondération de la mesure "Gestin des vulnérabilités" passe de 8 à 16 pour la menace "Cyberattaque sur périmètre externe
Pondération de la mesure "Gestion des vulnérabilités" passe de 0 à 8 pour les menaces "Divulgation malicieuse de données" et "Modification ou destruction malicieuse de données"