SPRINT
SPRINT (Simplified Process for Risk Identification[1]) est une méthode d'analyse de risque, créée en 1995 par Information Security Forum (ISF).
Cette méthodologie permet d'évaluer l'impact sur les processus métier et analyser les risques de perte d'informations dans des systèmes d'information importants mais pas critiques[2]. Elle complète la méthodologie « SARA » (également de l'ISF), qui est mieux adaptée à l'analyse des risques associés aux systèmes commerciaux critiques[2].
SPRINT permet dans un premier temps de déterminer le niveau de risque associé à un système, puis d'établir le plan d'action pour la mitigation de ces risques dans des limites acceptables. Ainsi, cette méthodologie permet d'identifier les vulnérabilités des systèmes existants et les garanties nécessaires pour se protéger contre eux, et de définir les exigences de sécurité pour les systèmes en développement et les contrôles nécessaires pour les satisfaire[2].
Notes et références
- Patrick Marois, Évaluation de l'application des activités de sécurité, proposées par les méthodes de gestion des risques de sécurité pour les systèmes d'information, dans le contexte de cycle de développement du logiciel, mémoire en ligne sur le site de l'université du Québec (déc. 2009).
- (en) « ISF methods for risk assessment and risk management », sur enisa.europa.eu (consulté le ).
Bibliographie
- (en) SPRINT: Risk analysis for information systems (User Guide), European Security Forum, 1997, 51 p.