Évaluation des vulnérabilités VUAS
Identification et classement des vulnérabilités, en termes de sécurité, dans les réseaux, systèmes et applications, et réduction ou élimination de leur impact.
Notes d’orientation
Les activités peuvent inclure, mais sans s’y limiter :
- consigner et classer les ressources technologiques et informationnelles (actifs et capacités) pour faciliter l’évaluation des vulnérabilités
- attribuer une valeur quantifiable, un ordre de classement et un niveau d’importance aux ressources informationnelles et technologiques
- identifier et analyser les vulnérabilités de chaque ressource, manuellement ou à l'aide d'outils automatisés et de sources d'information
- hiérarchiser, noter et classer les risques associés aux vulnérabilités
- évaluer l’impact commercial
- réduire ou éliminer les vulnérabilités.
Les outils d'évaluation des vulnérabilités comprennent les analyseurs d'applications Web, les analyseurs de protocole et les analyseurs de réseau.
Levels of responsibility for this skill
2 | 3 | 4 | 5 |
Évaluation des vulnérabilités: Niveau 1
Cette compétence n’est généralement pas observée ou pratiquée à ce niveau de responsabilité et de responsabilisation.
Évaluation des vulnérabilités: Niveau 2
Entreprend des évaluations routinières des vulnérabilités de faible complexité à l'aide d'outils automatisés et semi-automatisés. Fait remonter les problèmes si nécessaire. Contribue à documenter la portée et à évaluer les résultats des évaluations des vulnérabilités.
Évaluation des vulnérabilités: Niveau 3
Applique les approches normalisées pour effectuer les évaluations élémentaires des vulnérabilités pour les petits systèmes d'information. Facilite la création de catalogues d'actifs informationnels et technologiques aux fins d’évaluation des vulnérabilités.
Évaluation des vulnérabilités: Niveau 4
Rassemble et analyse des catalogues d'actifs informationnels et technologiques pour l'évaluation des vulnérabilités. Effectue l’évaluation des vulnérabilités et analyse l’impact commercial pour les systèmes d'information de moyenne complexité. Contribue à la sélection et au déploiement des outils et techniques d'évaluation des vulnérabilités.
Évaluation des vulnérabilités: Niveau 5
Planifie et gère les activités d’évaluation des vulnérabilités au sein de l'organisation. Évalue, sélectionne et examine les outils et techniques d'évaluation des vulnérabilités. Donne des conseils d'expert et des consignes pour faciliter l'adoption d'approches convenues. Obtient l’information sur les vulnérabilités et intervient en conséquence, évalue les risques pour la sécurité et effectue l’analyse de l’impact commercial et l’accréditation pour les systèmes d’information complexes.
Évaluation des vulnérabilités: Niveaux 6-7
Cette compétence n’est généralement pas observée ou pratiquée à ces niveaux de responsabilité et de responsabilisation.