Méthode qualitative ou quantitative

Classification des méthodes

On caractérise quelquefois les méthodes en les classant en 3 catégories :

La méthode quantitative : elle implique de prendre un nombre important de mesures pour calculer le coût des dommages, idéalement en termes financiers, et les effets des mesures de réduction prises. Cette analyse quantitative de risque nécessite de s'appuyer sur des faits et des chiffres avérés et constitue souvent un exercice long et délicat qui n'est pas approprié aux risques des systèmes d'information.

La méthode qualitative : elle fournit une voie plus facile pour mesurer la valeur des actifs et les probabilités de menaces. Ces valeurs peuvent être décrites en utilisant des expressions simples telles que "haut", "moyen" et "faible". Cette approche corrige les imperfections de l'approche quantitative en réduisant l'incertitude inhérente aux chiffres.

L'approche par base de connaissance : elle implique de réutiliser les bonnes pratique en matière de connaissance des risques d'organismes semblables (en taille, périmètre et/ou marché). En complément de la méthode qualitative, elle permet d'aller vite pour des risques «courants».

 

La méthode quantitative semble beaucoup sérieuse puisque elle s'appuie sur des données chiffrées en termes de probabilité (fréquence). Malheureusement, il existe très peu de données corrélées sur la sinistralité informatique.

Dans l'industrie, il existe des approches de type SIL SIS permettant, en s'appuyant sur des logiciels et des bases de données de quantifier les niveux de risques


Copyright Ysosecure © 2002 - 2018