SPRINT (Simplified Process for Risk Identification[1]) est une méthode d'analyse de risque, créée en 1995 par Information Security Forum (ISF).

Cette méthodologie permet d'évaluer l'impact sur les processus métier et analyser les risques de perte d'informations dans des systèmes d'information importants mais pas critiques[2]. Elle complète la méthodologie « SARA » (également de l'ISF), qui est mieux adaptée à l'analyse des risques associés aux systèmes commerciaux critiques[2].

SPRINT permet dans un premier temps de déterminer le niveau de risque associé à un système, puis d'établir le plan d'action pour la mitigation de ces risques dans des limites acceptables. Ainsi, cette méthodologie permet d'identifier les vulnérabilités des systèmes existants et les garanties nécessaires pour se protéger contre eux, et de définir les exigences de sécurité pour les systèmes en développement et les contrôles nécessaires pour les satisfaire[2].

Notes et références

modifier

Bibliographie

modifier
  • (en) SPRINT: Risk analysis for information systems (User Guide), European Security Forum, 1997, 51 p.