Niveaux de risque
Le Cert-IST propose dans ses publications, 2 métriques pour évaluer le niveau de risque :
- La métrique définie par le projet EISPP
- La métrique CVSS (depuis 2007)
Le risque indique au lecteur l’importance de la vulnérabilité, et le degré d’urgence des mesures à mettre en œuvre pour contrer la menace.
EISPP utilise 3 critères (Moyens nécessaires, Impact et Niveau d'expertise) pour évaluer un risque sur 4 niveaux : Faible, Moyen, Elevé, Très élevé. L'illustration et le tableau ci-dessous expliquent le processus d'évaluation et les recommandations du Cert-IST sur l'attitude à tenir en fonction du risque calculé. Pour plus de détails, reportez vous à ce document synthétique ou la spécification EISPP (version 1.2).
CVSS utilise 6 critères pour évaluer le risque sous forme d'une note décimale variant de 0 (pas de risque) à 10 (risque maximum). Pour plus de détails sur CVSS, reportez vous au guide publié par le FIRST.