La CNIL définit les sources de risques comme étant : Personne, interne ou externe à l'organisme, agissant de manière accidentelle ou délibérée (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), ou source non humaine (ex : eau, matériaux dangereux, virus informatique non ciblé) qui peut être à l’origine d’un risque.
Les sources de risques peuvent être de différente nature :
Source humaine interne
Il peut s'agir :
- d'un employé, malintentionné, utilisant sa proximité du système, ses compétences, ses privilèges et un temps disponible potentiellement élevés ou commettant une négligence due à un possible manque de formation et de sensibilisation.
- d'un utilisateur ou de son entourage, négligent ou malintentionné, ayant accès au service.
Ses motivations peuvent être multiples : maladresse, erreur, négligence, vengeance, volonté d’alerter, malveillance, appât du gain, espionnage
Source humaine externe
Il peut s'agir :
- d'un tiers malintentionné ou ignorant utilisant sa proximité physique pour accéder frauduleusement au service
- d'un attaquant ciblant un utilisateur en utilisant sa connaissance de l’utilisateur et de certaines des informations le concernant
- d'un attaquant ciblant une des sociétés en charge du traitement utilisant sa connaissance des sociétés pouvant permettre d’attenter à leur image
- d'un organisme tiers autorisé utilisant ses accès privilégiés pour accéder illégitimement à des informations. Les motivations peuvent être multiples : jeu, nuisance, malveillance, vengeance, espionnage, appât du gain, acquisition de données en vue de les exploiter
Source non humaine
Il peut s'agir d'un incident ou sinistre chez un des organismes en charge du traitement (coupure de courant, incendie, inondation, etc.)