Analyse quantitative des risques : Espérance de perte annuelle

L'évaluation des risques est un composant essentiel de la gestion des risques. Elle vous permet de déterminer les dangers potentiels qui peuvent affecter négativement des projets spécifiques ou résulter de certaines décisions.

Il existe deux types d'analyse des risques — quantitative et qualitative :

• L'analyse quantitative des risques est une approche objective qui utilise des chiffres précis pour évaluer la probabilité et l'impact des risques. Le processus implique le calcul de métriques, telles que l'espérance de perte annuelle, pour vous aider à déterminer si un effort donné de mitigation des risques vaut l'investissement. L'évaluation nécessite des modèles de projet bien développés et des données de haute qualité.
• L'analyse qualitative des risques est une méthode plus rapide pour évaluer la probabilité des risques potentiels et leur impact afin de les prioriser pour une évaluation plus approfondie. Tandis que l'analyse quantitative des risques est objective, l'analyse qualitative des risques est une approche subjective qui classe les risques en termes plus larges, tels qu'une échelle de 1 à 5 ou simplement faible, moyen et

Les deux formes d'analyse des risques sont des outils précieux dans la gestion des risques. Dans cet article, nous nous concentrerons sur l'analyse quantitative des risques et expliquerons comment calculer l'espérance de perte annuelle (ALE).

Qu'est-ce que l'analyse quantitative des risques ?

L'analyse quantitative des risques utilise des données pertinentes et vérifiables pour prédire la probabilité de certains résultats de risque et leur coût monétaire estimé.

Il existe de nombreux types de risques différents que les professionnels de l'IT doivent prendre en compte, y compris les suivants :

• Erreurs humaines
• Des actions hostiles, telles que des cyberattaques, la divulgation non autorisée ou l'abus de données
• Erreurs d'application
• Dysfonctionnements du système ou du réseau
• Dommages physiques dus à des causes telles que le feu, les catastrophes naturelles ou le vandalisme

Quels résultats obtenez-vous d'une analyse quantitative des risques ?

L'analyse quantitative des risques vous aide à estimer :

• Issues possibles d'un risque donné
• La probabilité d'atteindre des objectifs spécifiques
• Coûts réalistes
• Délais d'achèvement du projet

Quand l'analyse quantitative des risques est-elle la plus utile ?

L'évaluation quantitative des risques vous aide à prendre des décisions intelligentes et informées par les données pour votre entreprise. Vous devriez réaliser une analyse quantitative des risques lorsque vous avez besoin de :

• Décidez s'il convient d'investir dans des projets ou des outils spécifiques
• Choisissez des contre-mesures pour atténuer les sources potentielles de pertes
• Fournissez des données détaillées sur les chances de mener à bien un projet dans le respect du budget et des délais
• Créez une réserve de contingence pour votre projet

Quelle est l'espérance de perte annuelle ?

L'espérance de perte annuelle est un calcul qui vous aide à déterminer la perte monétaire attendue pour un actif en raison d'un risque particulier sur une seule année. Vous pouvez calculer l'ALE dans le cadre de l'analyse coûts-avantages quantitative de votre entreprise pour tout investissement ou idée de projet donné.

Par exemple, disons que vous calculez une ALE de 10 000 $ et estimez qu'il en coûterait 15 000 $ par an pour éliminer le risque ; sur la base de ces chiffres, vous pourriez décider que le coût ne vaut pas le risque.

Bien sûr, toutes les situations ne sont pas aussi simples. Par exemple, supposons que vous compreniez qu'une HIPAA violation pourrait vous coûter 100 $ par infraction jusqu'à une amende maximale de 250 000 $. Cela peut sembler gérable, mais en examinant plus profondément des informations que vous n'avez peut-être pas prises en compte, il pourrait s'avérer que si la violation est due à une négligence délibérée, l'impact pourrait atteindre 1,5 million de dollars. Cet exemple illustre que bien que l'analyse quantitative des risques offre une méthode fiable et objective pour évaluer les risques potentiels, les résultats ne sont aussi bons que les données que vous intégrez dans le processus.

De plus, n'oubliez pas que l'ALE détermine le coût du risque. Ne confondez pas l'ALE avec le coût total de possession (TCO), qui évalue le coût d'une solution particulière.

Comment calcule-t-on l'espérance de perte annuelle ?

Voici un aperçu de la manière de calculer l'ALE. Chaque terme est expliqué plus en détail ci-dessous.

1. Inventoriez vos actifs d'information et déterminez la valeur d'actif (AV) de chacun.
2. Identifiez les menaces potentielles pour chaque actif.
3. Pour chaque menace, procédez comme suit :

#1. Déterminez le facteur d'exposition (EF) à cette menace pour chaque actif d'information.

#2. Calculé l'espérance de perte unique (SLE) en utilisant cette formule : AV x EF = SLE

#3. Calculez le taux annuel d'occurrence (ARO).

#4. Calculez l'espérance de perte annualisée (ALE) en utilisant cette formule : SLE x ARO = ALE

• Valeur de l'actif — Beaucoup de vos actifs sont des éléments tangibles, tels que des ordinateurs, des serveurs et des logiciels. D'autres actifs sont intangibles, comme l'expertise, les bases de données, les plans et les informations sensibles. La valeur de l'actif est la valeur totale de l'actif spécifique ; si votre serveur vaut 6 000 $, votre VA est de 6 000 $. Voici quelques questions à considérer pour trouver votre VA :
• Qu'avez-vous payé pour acquérir ou construire l'actif en question ?
• Quelle est votre responsabilité si l'actif est compromis ?
• Quel est le coût de production si l'actif est rendu indisponible ?
• Quelle est la valeur de l'actif pour les utilisateurs externes ?
• De quelles autres manières la perte de l'actif affecterait-elle votre entreprise ?
• Facteur d'exposition — Il s'agit du pourcentage de la valeur d'un actif donné qui est perdu à la suite d'un incident spécifique. Si vous vous attendez à perdre un quart de la valeur d'un actif lors d'un incident, alors votre FE pour cet actif est de 0,25 (25 %). N'oubliez pas que vous ne pouvez calculer le FE que par rapport à un risque spécifique, tel qu'une violation de sécurité ou une catastrophe naturelle. Gardez également à l'esprit qu'une perte peut dépasser la valeur d'un actif donné ; dans de tels cas, le FE serait supérieur à 1,0 (plus de 100 %).
• Perte unique attendue — Il s'agit du montant d'argent que vous prévoyez de perdre chaque fois qu'un actif spécifique est perdu ou compromis. Par exemple, vous pouvez vous attendre à perdre 300 $ chaque fois que votre serveur d'entreprise tombe en panne, ou vous pourriez perdre 1 500 $ chaque fois qu'un ordinateur portable est perdu ou volé. Pour calculer la perte unique attendue, multipliez la VA et le FE.
• Taux annuel d'occurrence — Il s'agit du nombre de fois où vous prévoyez qu'un incident spécifique se produira en un an. Si vous vous attendez à ce que votre serveur tombe en panne cinq fois par an, votre ARO serait de 5. Si l'ARO est inférieur à 1, vous l'exprimez en pourcentage — par exemple, si la probabilité d'un incident est une fois tous les quatre ans, l'ARO pour cet incident serait de 0,25 (25 %).

Exemple

Voici un scénario fictif pour vous aider à pratiquer le calcul d'un ALE et à l'utiliser dans une décision commerciale. Notez qu'il s'agit d'un calcul très simplifié qui ne prend en compte qu'une seule menace pour un seul actif d'information.

Supposons que votre organisation envisage d'investir dans une solution qui peut vous aider à découvrir des actions malveillantes de la part d'initiés sur vos serveurs de fichiers afin de réduire le risque de perte d'une propriété intellectuelle (PI) spécifique. Voici comment vous pourriez déterminer si l'investissement dans une solution de sécurité particulière est justifié :

1. Déterminez la valeur actuelle. Disons que l'actif IP concerné a une valeur de 75 000 $.
2. Calculez le EF. Supposons qu'il soit de 0,75 (75 %).
3. Calculez le SLE en multipliant l'AV par l'EF, ce qui donne un SLE de 56 250 $.
4. Déterminez l'ARO. Supposons qu'il soit de 0,95 (ce qui signifie qu'il y a 95 % de chances qu'une activité malveillante interne se produise au cours d'une année donnée).
5. Calculez l'ALE : 56 250 $ (SLE) X 0,95 (ARO) = 53 357,50 $ (ALE).
6. Comparez l'ALE au coût de chacune des solutions logicielles que vous envisagez. Si les frais de licence dépassent votre ALE (53 357,50 $), la solution n'est pas un investissement rentable.

Conclusion

Calculer l'ALE dans le cadre d'une évaluation quantitative des risques est essentiel pour prendre des décisions commerciales éclairées. Bien que le processus puisse être déroutant et ardu par moments, déterminer de manière fiable les risques et calculer avec précision les pertes potentielles fournira des informations précieuses pour vous aider à prendre des décisions commerciales judicieuses. Avec l'ALE comme outil d'évaluation des risques dans votre poche, vous pouvez effectuer plus efficacement une analyse coûts-avantages et déterminer si l'emploi de contre-mesures spécifiques vaut l'investissement.