pcanon / bced-artemis Goto Github PK

Modification ou destruction malicieuse de données - le poids de la mesure 9.4 "Contrôle d'accès" passe de 4 à 8

la correspondance de ISO 27002 pour l'exigence 13.1 relative à la gestion de la sécurité réseaux était mauvaise.

La mesure " Respect des prescriptions légales" apparaît deux fois dans le graphe "Conformité" ; une des deux doit être remplacée par la mesure " Protection de la vie privée" qui est absente.

Exemple : attaque sur périmètre externe
Si le questionnaire renseigne qu'il n'y a qu'un site informatif, sans transaction, l'impact d'une attaque doit être diminué dans l'analyse d'impact
Voir si d'autres menaces sont concernées
Voir 'également s'il ne faut pas ajouter des questions ou préciser des questions

Pour le plan de traitement, il y a une erreur dans le choix des menaces dans compute5. Au niveau des lignes :284 à 289, on fait référence à la menace "Modification ou destruction malicieuse de données" mais pour la ligne 288 et 289 on fait référence à la menace "Modification ou destruction accidentelle de données".

La question 7 : " Quel est le nombre estimé d'utilisateurs simultanés des données" sera reformulé par
"Quel est le nombre estimé d'utilisateurs connectés simultanément aux données?"

La matrice d'impact doit être simplifiée en 4 colonnes correspondant aux 4 critères d'impact du questionnaire : Fonctionnel, financier, image et conformité

Dans l'onglet "Priorité des mesures", faire intervenir le niveau de risques en additionnant le risque le + élevé, le degré de cout-complexité, le degré d'alignement stratégique

L'onglet "Tableaux de bord ISO" présente la même vue Radar que l'onglet "Radar Business"
Il doit donc porter le même nom
Supprimer l'onglet "Radar ISO", qui est redondant avec l'onglet "Tableau de bord ISO"

Tester si les colonnes "Evaluation de mise en oeuvre", "priorité stratégique" et "Traitement" sont remplies. Sinon, message d'avertissement et stop.

IL s'agit d'une refonte générale des onglets et des calculs. Il faut analyser les calculs redondants, inutiles, etc

• Correction  "Radar ISO" : le label et les résultats des aspects "Conformité" n'apparaissaient pas.

La question posée "L'accès aux données est-il soumis à des périodes critiques" doit être positionné au dessus de la question relative à la période admissible d'indisponibilité

La question "L'accès aux données est-il soumis à des périodes critiques? Si oui, lesquelles?" devrait être placée en position 5 du questionnaire métier, avant les questions sur la disponibilité.

Il y a un bug au niveau du choix des exigences pour le plan de traitement lorsque l'on décide de ne pas évaluer la maturité de certaine mesures (Cocher "Non applicable" dans l'analyse de maturité).

Lorsque il n'y a aucun risque à traiter, c'est-à-dire que le niveau du risque de la menace est en dessous du niveau de tolérance au risque , la macro traitement dans l'onglet "Cartographie_M" se crashe en raison de l'absence d'une condition relative à la vérification du traitement.

• Pondération de la mesure "Gestin des vulnérabilités" passe de 8 à 16 pour la menace "Cyberattaque sur périmètre externe
• Pondération de la mesure "Gestion des vulnérabilités" passe de 0 à 8 pour les menaces "Divulgation malicieuse de données" et "Modification ou destruction malicieuse de données"

Changer le titre actuel
"Classement des domaines d'impact"
par
"Niveau de priorité des domaines d'impact"
pour plus de clarté