Qu'est-ce que le standard FAIR ?

Factor Analysis of Information Risk (FAIR) est le seul standard international, basé sur un modèle quantitatif, pour la cybersécurité et le risque opérationnel.

  • Fournit un modèle pour comprendre, analyser et quantifier le risque informatique en termes financiers.
  • Contrairement aux cadres d'évaluation des risques qui concentrent leurs résultats sur les tableaux de bord qualitatifs colorés (rouge, orange, vert) ou sur les échelles pondérées numériques
  • Constitue une base pour développer une approche scientifique de la gestion du risque informatique.
Christophe Forêt

Un article de

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
November 1, 2023
mis à jour le
November 1, 2023
temps
min
standard FAIR - C-Risk

1 - Un langage commun pour se comprendre

Les bénéfices de FAIR

  • Echanger sur la base d’un langage commun à propos des risques
  • Etudier constamment et appliquer des risques à tout objet ou actif
  • Voir le risque d'entreprise dans sa globalité
  • Challenger et défendre les décisions liées aux risques en utilisant un modèle de risque avancé
  • Comprendre comment le temps et l'argent auront un impact sur votre profil de sécurité
  • Ajouter une dimension financière à votre cadre de gestion des risques (ex. NIST CSF)

2 - Un modèle de gestion des risques évolutif

Les composants du modèle

  • Une taxonomie et une nomenclature type pour les risques informationnels et opérationnels
  • Un cadre pour établir des critères de collecte de données
  • Des échelles de mesure des facteurs de risque
  • S'intègre dans un moteur de calcul pour calculer le risque
  • Un concept de modélisation pour analyser de scénarios complexes de risques

Standard FAIR

Vous avez besoin de plus d'information concernant le standard FAIR ? Contactez-nous !

3 - Une norme internationale reconnue par The Open Group

The Open Group a choisi FAIR comme le modèle standard international pour la gestion des risques informatiques

  • The Open Group est un consortium mondial qui permet d'atteindre les objectifs commerciaux grâce aux normes IT
  • Plus de 450 organisations membres qui incluent des entreprises telles que HP, IBM, Oracle, Accenture, Cap Gemini et MITRE
  • La sélection de FAIR a été faite à la suite d'un examen et d'une comparaison rigoureuses avec d'autres méthodologies d’évaluation des risques.

4 - Le livre - Measuring and Managing Information Risk: A FAIR Approach

Fournit un cadre pratique et fiable pour comprendre, mesurer et analyser le risque de toute taille et complexité

  • Comment fournir des résultats financiers dérivés, adaptés à la gestion des risques de l'entreprise
  • Destiné aux organisations qui doivent définir un programme de gestion des risques ou renforcer un projet existant
  • Couvre des domaines clés tels que la théorie du risque, le calcul du risque, la modélisation des scénarios et la communication des risques au sein de l'organisation

La mesure et la gestion du risque informationnel est un outil essentiel pour aider les cadres à prendre les meilleures décisions, adaptées à l’ère numérique.

5 - La communauté FAIR

La croissante constante de la communauté FAIR aide la profession à mûrir en offrant des possibilités d'apprentissage, le partage des meilleures pratiques et l'exploration de nouvelles applications possibles de la norme FAIR.

  • Cela a conduit à la création de l'Institut FAIR, un organisme expert à but non lucratif
  • Animé et dirigé par des experts en risques informationnels et opérationnels d'organisations leaders du secteur
  • L'Institut FAIR peut vous aider à diriger la transition vers une approche de la gestion des risques opérationnels et informationnels en lien avec vos activités.
Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.