Exemples de KRI pour COBIT 5 for risk

  • Appétence au risque de l’organisation: Ar(organisation)
  • Scénario de risque: Zn(A,ψ,δ)
  • Élément à risque: En
  • Probabilité de réalisation de l’aléa : Pb(A)
  • Présence de la vulnérabilité: Pb(ψ)
  • Probabilité d’exploitation de la vulnérabilité par l’aléa: Pb(ψ,A)
  • Dommage estimé: δe(ψ,A)
  • Dommage maximal: δm(ψ,A)
  • Niveau de résilience: θ(ψ,A)
  • Utilité espérée: μ(E), une valeur entre 0,01 et 0,99 (qualitatif) ou un nombre réel (approche scientifique et données probantes)
  • Mesures mitigation: MMn(Zn)
  • Réduction dommages causés par l’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: δr(ψ,A,MMn)
  • Réduction de la probabilité d’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: Pb(ψ,A,MMn)
  • Dommage estimé: δe(ψ,A)
  • Dommage maximal: δm(ψ,A)
  • Niveau de résilience: θ(ψ,A)
  • Utilité espérée: μ(E), une valeur entre 0,01 et 0,99 (qualitatif) ou un nombre réel (approche scientifique et données probantes)
  • Mesures mitigation: MMn(Zn)
  • Réduction dommages causés par l’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: δr(ψ,A,MMn)
  • Réduction de la probabilité d’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: Pb(ψ,A,MMn)

Utilisation de ces KRI

Estimation qualitative de l’indice de risque

Re(Z001) = (Pb(A) * Pb(ψ) * Pb(ψ,A) * δe(ψ,A) * μ(E) )/ θ(ψ,A)

Re(Z001) = (0,7 * 1 * 0,5 * 0,4 * 0,6 )/ 0,5

Re(Z001) = 0,084 / 0,5

Re(Z001) = 0,168

Estimation qualitative de l’indice de risque

Rm(Z001) = (Pb(A) * Pb(ψ) * Pb(ψ,A) * δm(ψ,A) * μ(E) )/ θ(ψ,A)

Rm(Z001) = (0,7 * 1 * 0,5 * 0,9 * 0,6 )/ 0,5

Rm(Z001) = 0,189 / 0,5

Re(Z001) = 0,378

Estimation qualitative de l’indice de risque toléré:

Rt(Z001) = (Pb(A) * Pb(ψ) * Pb(ψ,A) * Ar(org) * μ(E) ) )/ θ(ψ,A)

Rt(Z001) = (0,7 * 1 * 0,5 * 0,3 * 0,6 )/ 0,5

Rt(Z001) = 0,063 / 0,5

Rt(Z001) = 0,126

Estimation qualitative de l’indice de risque mitigé

mesure de mitigation de risque MM001(Z001), un système de DLP (data loss prevention) qui coûte 45 000$:

Rmm001 = Re(Z001) * δr(ψ,A,MM001) * Pb(ψ,A,MM001)

Rmm001 = 0,168 * 0,82 * 0,75

Rmm001 = 0,103