Gestion des risques 

• Gouvernance (comité de direction, rôles et responsabilités, prises de décison).
• Gestion des risques (processus, évaluation).
• Gestion des biens.
• Sous-traitance.

Protection

• Politiques et procédures.
• Gestion des identités et des accès (vérification des identités, des authentifications et des autorisations, matériels, accès privilégiés).
• Sécurité des données (cartographie, données en transit et stockées, données mobiles, effacement des supports).
• Sécurité des systèmes (conception, configuration sécurisée, vulnérabilités.
• Résilience.
• Sensibilisation et formation.

Détection

• Supervision (couverture, logs, alertes, incidents, outils et compétences).
• Découverte (événements, attaques).

Réponse

• Plan de réponse (planification, exercices).
• Retours d’expérience (analyse des causes, améliorations).

Source : www.ncsc.gov.uk

Exemple

Ci-après un exemple d’évaluation pour l’identification des incidents de sécurité.

Non réalisé (au moins une des affirmations suivantes est vraie).

Votre organisation ne dispose d'aucune source de renseignements sur les menaces.

Vous n'appliquez pas les mises à jour en temps utile, après les avoir reçues (par exemple, les mises à jour des signatures AV, d'autres signatures de menaces ou des indicateurs de compromission (IoC)).

Vous ne recevez pas les mises à jour des signatures pour toutes les technologies de protection telles que les logiciels antivirus et de détection d’intrusion.

Vous n'évaluez pas l'utilité de vos renseignements sur les menaces et ne partagez pas vos commentaires avec les fournisseurs ou les autres utilisateurs.

Partiellement réalisé (au moins une des affirmations suivantes est vraie).

Votre organisation utilise certains services de renseignement sur les menaces, mais vous ne choisissez pas nécessairement des sources ou des fournisseurs en fonction des besoins de votre entreprise ou des menaces spécifiques à votre secteur.

Vous recevez des mises à jour pour toutes vos technologies de protection basées sur des signatures.

Vous appliquez certaines mises à jour, signatures et IoC en temps utile.

Vous connaissez l'efficacité de votre veille sur les menaces (par exemple, en suivant la façon dont la veille sur les menaces vous aide à identifier les problèmes de sécurité).

Réalisé (au moins une des affirmations suivantes est vraie).

Vous avez sélectionné des sources ou des services de renseignements sur les menaces en prenant des décisions fondées sur les risques et les menaces en fonction des besoins de votre entreprise et de votre secteur (p. ex.les rapports et les correctifs des fournisseurs, les fournisseurs d'antivirus fiables, les partages d'informations sectoriels et communautaires, les groupes d'intérêts spéciaux).

Vous appliquez toutes les nouvelles signatures et les nouveaux codes de référence dans un délai raisonnable (basé sur le risque) après les avoir reçus.

Vous recevez des mises à jour de signatures pour toutes vos technologies de protection (par exemple, AV, IDS).

Vous contrôlez l'efficacité de vos flux de renseignements et partagez activement les informations avec la communauté des menaces (par exemple, les partenaires sectoriels, les fournisseurs de renseignements sur les menaces, les agences gouvernementales).