8. Agrégation des risques

Les organisations peuvent utiliser l'agrégation des risques pour combiner plusieurs risques discrets ou de niveau inférieur en un risque plus général ou de niveau supérieur. Cette approche peut aider à gérer la portée et l'échelle des évaluations des risques à travers plusieurs systèmes d'information et processus métiers/de mission qui ont des relations et des dépendances définies.

L'agrégation des risques, généralement effectuée aux niveaux 1 et 2 et occasionnellement au niveau 3, évalue le risque global pour les opérations organisationnelles, les actifs et les individus, en tenant compte de l'ensemble des risques discrets. Pour les risques discrets, tels que ceux associés à un seul système d'information soutenant un processus métier/mission spécifique, l'impact du pire des cas fournit une limite supérieure pour le risque global de l'organisation.

Cependant, cette limite supérieure peut ne pas toujours s'appliquer, en particulier lorsque plusieurs risques se matérialisent simultanément ou qu'un même risque se reproduit au fil du temps. Dans de tels cas, le risque total peut dépasser la capacité de risque de l'organisation, entraînant un impact global plus important sur les opérations métier/mission que celui initialement évalué.

Lors de l'agrégation des risques, les organisations prennent en compte les relations entre divers risques. Par exemple, si un risque survient, il peut augmenter ou diminuer la probabilité d'un autre risque. De telles relations peuvent être décrites comme couplées ou corrélées, soit positivement soit négativement, ce qui peut influencer le niveau global de risque.

CSFaaS offre la possibilité d'agréger les risques en réalisant des évaluations des risques qui prennent en compte les risques connexes, permettant une compréhension plus complète du paysage des risques de l'organisation.

(Source : NIST SP 800-30)