4. Méthodes d'évaluation des risques

Le risque peut être évalué de différentes manières : quantitativement, qualitativement, ou de façon semi-quantitative. Chaque approche présente ses avantages et ses inconvénients, et les organisations choisissent en fonction de leur culture et de leurs attitudes face à l'incertitude et à la communication du risque.

Les évaluations quantitatives utilisent des valeurs numériques, soutenant les analyses coût-bénéfice, mais nécessitant une interprétation prudente. Elles sont rigoureuses et reproductibles, mais peuvent devenir moins fiables si des jugements subjectifs ou des incertitudes sont impliqués.

Les évaluations qualitatives utilisent des catégories non numériques (par exemple, faible, moyen, élevé) pour communiquer le risque de manière efficace. Cependant, elles ont une granularité limitée, et différents experts pourraient produire des résultats variés à moins que les catégories ne soient bien définies et annotées pour assurer la cohérence.

Les évaluations semi-quantitatives combinent des aspects des méthodes quantitatives et qualitatives, en utilisant des barèmes, des échelles ou des nombres représentatifs. Ces évaluations sont plus faciles pour communiquer les risques aux décideurs et permettent des comparaisons relatives, mais nécessitent une définition précise des échelles pour éviter toute ambiguïté.

CSFaaS propose actuellement une approche qualitative, tandis que les méthodes semi-quantitatives et quantitatives sont sur la feuille de route. Si vous avez des questions ou souhaitez en savoir plus, n'hésitez pas à nous contacter.

(Source : NIST SP 800-30)