Skip to content

Expliquez l'analyse de risque quantitative par rapport à qualitative, et définissez ALE, SLE et ARO.

Réponse courte

L'analyse quantitative attribue des valeurs monétaires concrètes pour calculer la perte attendue ; l'analyse qualitative classe le risque sur des échelles relatives (élevé/moyen/faible) par jugement d'expert. La quantitative utilise SLE = valeur de l'actif x facteur d'exposition, ARO = occurrences attendues par an, et ALE = SLE x ARO pour exprimer la perte annuelle attendue en euros.

L'analyse de risque existe pour aider la direction à prendre des décisions défendables sur l'affectation d'un budget de sécurité limité. Le CISSP présente deux méthodes complémentaires, et les recruteurs veulent savoir si vous comprenez à la fois les calculs et leurs limites.

Analyse quantitative

L'analyse quantitative associe de l'argent au risque afin que les résultats soient comparables et les budgets justifiables. La chaîne centrale est :

  • SLE (Single Loss Expectancy) = Valeur de l'actif x Facteur d'exposition. Le facteur d'exposition est le pourcentage de l'actif perdu lors d'un événement.
  • ARO (Annualized Rate of Occurrence) = combien de fois par an vous prévoyez l'événement.
  • ALE (Annualized Loss Expectancy) = SLE x ARO.

Si un magasin de données de 500 000 € présente un facteur d'exposition de 40 %, le SLE est de 200 000 €. Si vous prévoyez l'événement tous les deux ans, l'ARO est de 0,5, donc l'ALE est de 100 000 €. Un contrôle qui coûte 30 000 €/an et divise par deux l'ARO est facile à justifier.

Analyse qualitative

Lorsque des chiffres fiables n'existent pas — atteinte à la réputation, intention d'un initié, menaces inédites — vous classez le risque sur des échelles relatives (élevé/moyen/faible, ou 1-5) selon la probabilité et l'impact, généralement via des ateliers, des matrices de risque et le jugement d'expert. C'est plus rapide et cela fait émerger des risques qui résistent à la mesure, mais c'est subjectif et plus difficile à défendre devant un directeur financier.

Pourquoi les deux comptent

Les programmes matures sont hybrides : qualitatif pour trier rapidement le paysage, quantitatif sur les rares risques où la dépense est contestée. Le résultat alimente le traitement du risque, et ce qui subsiste est le risque résiduel qu'un propriétaire métier — et non l'équipe de sécurité — doit formellement accepter.

Ce que recherchent les recruteurs

Énoncer la formule de l'ALE sans hésiter, donner un exemple chiffré concret, et reconnaître que les données quantitatives sont souvent rares, raison pour laquelle le jugement qualitatif et une approche hybride restent essentiels.

Questions de suivi probables

  • Comment justifieriez-vous un contrôle dont le coût dépasse l'ALE qu'il réduit ?
  • Pourquoi la plupart des programmes de risque réels sont-ils hybrides plutôt que purement quantitatifs ?
  • Qu'est-ce que le risque résiduel et qui doit l'accepter ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.