Le parcours de Markus reflète une évolution de carrière à multiples facettes, qui repose sur une base solide en matière de travail informatique pratique et de mise en place d'un programme de sécurité et de conformité des informations, dans le cadre duquel ses connaissances cumulées fournissent une approche globale de la gestion des cyberrisques axée sur les données.
C-Risk : Pouvez-vous nous parler de votre parcours de quantification des cyberrisques et de la façon dont vous avez découvert la méthodologie FAIR pour la première fois ?
Markus Kaufmann : Lorsque j'ai rejoint Funko en tant que RSSI, j'ai découvert la méthodologie FAIR pour effectuer des évaluations quantitatives des risques par l'intermédiaire de Tom Callaghan, qui occupait le poste de VRSSI à l'époque.
Venant d'une expérience où nous utilisions principalement des méthodologies d'évaluation qualitative des risques, que j'avais contribué à développer chez Wells Fargo, il était incroyablement rafraîchissant de voir les risques et les données quantifiés de cette manière.
Et au fil des ans, vous savez, c'est devenu frustrant, car les évaluations qualitatives ne permettent pas de faire grand-chose, et voir ce que C-Risk a fait pour Funko était comme une bouffée d'air frais. Cela m'a permis de parler la langue de l'entreprise. Au lieu de s'appuyer sur l'ancien modèle des « feux de signalisation » comportant des risques rouges, jaunes, verts, élevés, moyens et faibles, où presque tout finissait invariablement par un risque moyen, FAIR a fourni des données réelles et quantifiables.
Cela m'a non seulement permis d'avoir de meilleures discussions avec le conseil d'administration, mais m'a également aidé à comprendre rapidement les défis de sécurité spécifiques de Funko, car j'ai été chargé de créer son programme de sécurité de l'information à partir de zéro.
Comment avez-vous abordé la création du programme de sécurité de l'information de Funko à partir de zéro ? Quelles ont été les principales mesures que vous avez prises ?
Markus : Lorsque j'ai rejoint Funko, ma première tâche était de déterminer les mesures de sécurité mises en place et d'identifier les failles les plus critiques. Les évaluations FAIR que nous avions effectuées précédemment ont été extrêmement utiles dans ce processus. J'ai également effectué ma propre évaluation à l'aide des principaux contrôles de la CEI et du cadre ISO, en comparant les résultats avec le modèle de maturité du NIST CSF.
Au cours des deux années qui ont suivi, j'ai élaboré le programme de sécurité et le programme de conformité, en prenant en charge les contrôles généraux informatiques SOX 404.
Nous avons mis en place de nombreux contrôles de sécurité et renforcé les processus pour répondre aux exigences de la SOX. J'ai constitué une équipe qui s'est agrandie pour inclure trois employés à temps plein et trois sous-traitants, en plus du travail que C-Risk a effectué pour nous en matière de conformité et d'évaluation des risques.
Grâce à ces efforts, nous avons pu faire passer la maturité de sécurité de Funko de 1.8 à 3.3 en un peu moins de deux ans, ce que je considère comme impressionnant compte tenu de la petite taille de notre équipe.
Comment avez-vous abordé la budgétisation et la planification du développement de ce programme de sécurité ?
Markus : Quand je suis arrivé, il n'y avait pas de budget dédié à la sécurité. Tout était intégré au budget de l'infrastructure informatique sous la forme d'une somme forfaitaire. J'ai donc dû repartir de zéro en termes de budgétisation et de planification.
J'ai beaucoup travaillé pour ventiler les coûts spécifiques à la sécurité et prévoir les besoins futurs. Mon approche a consisté à créer une feuille de route stratégique. Tout d'abord, j'ai créé une feuille de route d'un an sur la base de l'analyse initiale des écarts. Ensuite, j'ai élaboré une feuille de route stratégique triennale.
Cette approche m'a permis de proposer et de justifier le budget nécessaire au conseil d'administration et aux parties prenantes. Il était essentiel de communiquer clairement nos besoins en matière de sécurité, les coûts associés et les améliorations attendues de notre posture de sécurité au fil du temps.
Vous avez évoqué l'importance de la collaboration en matière de sécurité de l'information. Pouvez-vous détailler votre approche ?
Markus : Absolument. Pour moi, la clé du succès en matière de sécurité de l'information est la collaboration dans tous les domaines, et pas seulement au sein de l'informatique. Je pense que trop de programmes de sécurité de l'information commettent l'erreur de mettre des œillères et de ne regarder que la technologie, en oubliant les personnes et les processus.
À mon avis, les trois éléments, à savoir la technologie, les personnes et les processus, sont tout aussi importants. Plus les relations sont solides et plus vous pouvez collaborer avec vos partenaires commerciaux, plus votre programme de sécurité de l'information sera efficace.
Cette approche collaborative nous a permis d'obtenir une vision plus complète de notre environnement de risques et de nous assurer que nos mesures de sécurité étaient adaptées aux besoins et aux réalités de l'ensemble de l'entreprise.
Une amélioration notable a été une conversation très instructive avec le service juridique. Cela nous a permis de comprendre les facteurs de risque secondaires, tels que les coûts potentiels des recours collectifs pour l'entreprise.
Comment les évaluations FAIR ont-elles aidé à analyser la couverture d'assurance contre les cyberrisques chez Funko ?
Markus : Les évaluations FAIR ont été très utiles pour évaluer notre couverture d'assurance contre les cyberrisques. Nous avons examiné chaque scénario de risque que nous avions élaboré et l'avons comparé à notre police d'assurance contre les cyberrisques pour voir si et dans quelle mesure chaque scénario était couvert.
Cette analyse nous a permis d'identifier les domaines dans lesquels nous avions une bonne couverture et a également révélé un ou deux éléments qui n'étaient pas couverts. Ces informations ont donné lieu à des discussions sur la possibilité de modifier notre couverture d'assurance.
L'un des principaux avantages de l'utilisation de FAIR pour l'analyse des assurances est qu'elle vous donne une idée claire de votre impact financier potentiel en cas de compromis. Cela vous permet de prendre des décisions plus éclairées concernant votre couverture d'assurance. Idéalement, vous devez vous assurer d'être couvert pour les pires scénarios afin d'optimiser le coût de vos primes.
Comment considérez-vous l'importance de l'analyse quantitative des risques dans la communication avec la haute direction et le conseil d'administration ?
Markus : Lorsque vous faites une présentation au conseil d'administration, il est important de présenter des chiffres qui ont du sens d'un point de vue commercial. Dire simplement que nous avons « 10 % de risque élevé et 60 % de risque moyen » n'a pas de sens, et ils se désintéresseront rapidement. Vous voulez plutôt communiquer en termes de dollars à risque et de probabilité d'effets indésirables.
Je présente généralement les données en premier, en utilisant des éléments visuels tels que des tableaux ou des graphiques pour étayer et attirer l'attention sur des domaines particuliers. Chez Funko, j'ai créé une roue divisée en quadrants, chacun représentant un scénario de risque différent. L'essentiel est de toujours vous appuyer sur des données, en utilisant des couleurs ou des éléments visuels pour vous concentrer sur certains domaines que vous souhaitez mettre en valeur.
Conseils et assistance basés sur les données pour répondre à vos besoins en matière de cyberrisques avec C-Risk
Collaborez avec nos experts en quantification des cyberrisques certifiés FAIR pour relever vos défis budgétaires en matière de sécurité de l'information, répondre à vos exigences de conformité réglementaire ou mettre en œuvre un outil.
C-Risk : Pouvez-vous expliquer votre concept de « retour sur risque » et en quoi il diffère du retour sur investissement traditionnel ?
Markus : Le retour sur risque est un concept que j'utilise et qui, selon moi, est plus applicable aux investissements dans la sécurité de l'information que le retour sur investissement (ROI) traditionnel. À mon avis, dans de nombreux programmes de sécurité de l'information, [les professionnels du risque] essaient à tort de se concentrer sur le retour sur investissement. Et cela peut être très difficile à établir pour les contrôles de sécurité. La plupart des contrôles de sécurité ne vont pas stimuler les ventes dans les deux sens, mais ils soutiennent les choses en coulisse.
Le retour sur risque examine plutôt la manière dont un investissement en titres réduit les pertes potentielles. Par exemple, si nous avons identifié, grâce à un scénario de risque, qu'une compromission d'un site Web pourrait potentiellement nous coûter 5 millions de dollars et que nous envisageons d'investir 500 000 dollars dans un pare-feu d'applications Web qui réduirait ce risque de 500 000 dollars par an, nous pouvons clairement évaluer la valeur de cet investissement du point de vue des risques.
Il est important de prendre en compte l'exposition aux pertes annualisées (EPA) plutôt que de simplement examiner la perte potentielle totale. Cela vous permet de comparer le coût annuel d'un contrôle par rapport à la réduction annuelle du risque. Si un placement annuel de 100 000$ réduit votre risque annualisé de 400 000$ à 200 000$, il s'agit d'un retour sur risque évident.
Cette approche permet d'éviter d'investir dans des contrôles de sécurité « cool » coûteux qui pourraient ne pas avoir d'impact significatif sur votre position globale en matière de risque. À moins qu'il ne s'agisse d'un contrôle fondamental tel que l'authentification multifactorielle qui a un impact sur plusieurs scénarios de risque, si vous ne pouvez pas démontrer un bon retour sur risque, il n'est probablement pas logique d'investir dans ce contrôle en particulier.
En conclusion, comment votre expérience diversifiée en comptabilité, en développement et en infrastructure informatique a-t-elle influencé votre approche de la sécurité de l'information ?
Markus : Mon expérience diversifiée a joué un rôle inestimable dans l'élaboration de mon approche de la sécurité de l'information. Ayant occupé divers postes, notamment dans les domaines de la comptabilité, du développement et de l'infrastructure informatique, j'ai acquis une perspective globale qui m'aide à comprendre l'impact des décisions de sécurité dans les différents domaines d'une organisation.
C-Risk : Merci, Markus.
Si vous êtes confronté à des contraintes budgétaires en matière d'infosec, à la conformité réglementaire ou si vous essayez de souscrire à la cyber-assurance la plus rentable, nous sommes là pour vous aider. Nos services de conseil fournissent des solutions sur mesure pour répondre aux besoins de votre équipe. Tirez parti de notre approche CRQ basée sur le risque pour prendre des décisions éclairées et renforcer vos capacités de gestion des risques.
Découvrez comment nos services de conseil CRQ peuvent aider votre organisation
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.