Skip to content

Comment menez-vous une analyse de risque ?

Réponse courte

Une analyse de risque identifie les actifs et leur valeur, les menaces et vulnérabilités qui pourraient les affecter, puis estime le risque comme une fonction de la vraisemblance et de l'impact. On peut la mener qualitativement (élevé/moyen/faible, rapide et subjectif) ou quantitativement (SLE × ARO = ALE, fondé sur des données mais plus difficile). Des référentiels comme NIST RMF et ISO 27005 lui donnent une structure, et la sortie alimente le traitement du risque : atténuer, transférer, éviter ou accepter.

L'analyse de risque est le moteur d'un programme de sécurité : elle décide où va un budget fini. Les recruteurs — surtout aux niveaux senior et direction — interrogent dessus pour confirmer que vous savez raisonner sur le risque dans des termes que le métier comprend, et non seulement en gravité technique.

Le processus

  1. Établir le contexte et le périmètre. Quel système, unité métier ou processus évaluez-vous, et face à quelle tolérance au risque ?
  2. Identifier les actifs. Cataloguer ce qui compte — données, systèmes, personnes, processus — et leur valeur pour le métier.
  3. Identifier les menaces et vulnérabilités. Associer des sources de menace plausibles (criminels, internes, nature) aux faiblesses qu'elles pourraient exploiter.
  4. Analyser le risque. Estimer la vraisemblance et l'impact pour chaque paire menace/vulnérabilité afin d'en déduire un niveau de risque.
  5. Évaluer et traiter. Comparer le risque à la tolérance et choisir un traitement pour chaque élément.

Qualitatif contre quantitatif

L'analyse qualitative note le risque sur des échelles — élevé/moyen/faible ou une matrice 1–5. Elle est rapide, communique bien aux parties prenantes non techniques, mais reste subjective. L'analyse quantitative y met de l'argent : Single Loss Expectancy × Annualized Rate of Occurrence = Annualized Loss Expectancy (SLE × ARO = ALE). L'ALE permet de justifier un contrôle en le comparant à la perte qu'il évite, mais elle dépend de données souvent difficiles à sourcer. Les programmes matures mêlent les deux — le qualitatif pour le triage, le quantitatif pour les risques majeurs et les grosses décisions de dépense.

Référentiels

NIST RMF (SP 800-37) enveloppe l'analyse dans un cycle de vie complet — catégoriser, sélectionner, implémenter, évaluer, autoriser, surveiller. ISO 27005 fournit le processus de gestion du risque de sécurité de l'information au sein d'un SMSI ISO 27001. Les deux imposent reproductibilité et auditabilité.

Traitement du risque

L'analyse alimente une décision par risque : atténuer (ajouter des contrôles), transférer (assurance, externalisation), éviter (arrêter l'activité) ou accepter (valider formellement le risque résiduel). L'acceptation doit être une décision métier documentée, pas un choix par défaut.

Ce que recherchent les recruteurs

Ils veulent le raisonnement vraisemblance fois impact, la maîtrise de SLE/ARO/ALE, savoir quand le qualitatif l'emporte sur le quantitatif, un référentiel reconnu, et les quatre options de traitement avec l'acceptation du risque comme décision explicite et assumée.

Questions de suivi probables

  • Quelle est la différence entre analyse de risque qualitative et quantitative, et quand utilisez-vous chacune ?
  • Définissez SLE, ARO et ALE et leur lien entre eux.
  • Quelles sont les quatre options de traitement du risque après l'analyse ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.