Bonjour,

Tout d’abord, pour les questions concernant le contenu de notre formation CISSP, merci d’utiliser le forum CISSP (et non pas le forum divers qui a pour objectif de gérer les problèmes techniques sur la plate-forme).

Ensuite concernant votre question, en effet, on peut définir le ROSI sous forme d’un taux en utilisant la formule que vous mentionnez à savoir : ROSI = (Benefits of Security Investment - Cost of Security Investment) / Cost of Security Investment

En fait dans le CBK, on ne parle pas vraiment de ROSI mais de valeur d’une mesure de sécurité.

Pour cela le guide d’étude officiel du CISSP, précise : [ALE pre-safeguard – ALE post-safeguard] – annual cost of safeguard (ACS) = value of the safeguard to the company

Dans le support, j’ai utilisé le terme de ROSI (Return On Security Investment) en raisonnant non pas comme un taux mais comme une valeur en écrivant : ROSI = ALE (au RDC) - ALE (au 1er étage) – ACS.

Et cela afin de pouvoir conclure que si le ROSI > 0 alors la mesure est rentable et si le ROSI < 0 la mesure n’est pas viable financièrement.

Mais je vous l’accorde le terme utilisé par l’ISC2 n’est pas « Return On Security Investment » mais bien « value of the safeguard to the company »

Pour approfondir le sujet, sachez que le guide de l’ISC2 précise :

In review, to perform the cost/benefit analysis of a safeguard, you must calculate the following three elements:

• The pre-safeguard ALE for an asset-threat pairing
• The potential post-safeguard ALE for an asset-threat pairing
• The ACS (annual cost of the safeguard)

With those elements, you can finally obtain a value for the cost/benefit formula for this specific safeguard against a specific risk against a specific asset: (pre-safeguard ALE – post-safeguard ALE) – ACS

Je vous remercie de votre célérité et des précisions apportées.