Le standard FAIR : présentation

Alors que la cyber sécurité est devenue un sujet transverse à toutes les fonctions de l'entreprise, il est essentiel de pouvoir parler de risques cyber dans les mêmes termes que tous les sujets qui ont un impact sur les revenus et les profits : en termes financiers.

Christophe Forêt

Un article de

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
November 27, 2023
mis à jour le
October 16, 2024
temps
min
standard FAIR - C-Risk

Présentation du Standard FAIR

Aujourd'hui, tous les processus de l'entreprise ou presque sont informatisés. Les données collectées, créées et transformées par ces processus sont désormais parmi les actifs qui ont le plus de valeur dans l'entreprise.

Afin de sécuriser leur informatique, les entreprises disposent de cadres et lignes directrices comme ISO 27000, les frameworks CSF du NIST ou Cobit de l'ISACA ou encore EBIOS de l'ANSSI qui les guident pour séquencer les actions de leur programme de gestion des risques et de la sécurité informatique :

- Définir les objectifs et les responsabilités de chaque fonction dans l'entreprise

- Ecrire les politiques et procédures à respecter

- Mettre en place les contrôles correspondant: par exemple les contrôles d'accès au SI, les mises à jour des systèmes d'exploitation, les antivirus, les pare-feux,  etc.

- Vérifier en continue l'efficacité de ces contrôles, de ces solutions de sécurité face aux menaces en procédant à des analyses de risques

Pour toutes ces activités, ces normes et frameworks expliquent ce qu'il faut faire, mais pas comment le faire. Un peu comme les lois, ils n'ont pas vocation à être prescriptifs et ne détaillent donc pas comment mettre en œuvre les activités qu'ils préconisent. En particulier quand il s'agit de mesurer, ils proposent le cas échéant une échelle ordinale de maturité du programme mais ne permettent pas de quantifier, d'une manière objective, cohérente et reproductible, l'efficacité d'un contrôle ou la quantité de risque à laquelle une organisation est exposée.

C’est ici que le standard FAIR est utile en les complétant car c'est est un modèle analytique pour quantifier la fréquence et l'impact financier probable d'un sinistre future.

- Que représente le risque cyber en termes financiers pour notre organisation ?

- Quelle partie de mon activité présente le risque cyber le plus importantInvestit-on suffisamment sur les bons contrôles ?

- Entre deux solutions de sécurité, laquelle réduit le plus notre exposition au risque ?

- Le montant de couverture de notre cyber assurance est-il suffisant?De quel montant nos investissements en sécurité ont-ils permis de réduire notre risque

Découvrez la plateforme d'apprentissage en ligne de C-Risk Education

Obtenez une compréhension détaillée de la taxonomie et de la méthodologie d'analyse FAIR. Découvrez comment la quantification peut améliorer vos décisions budgétaires en matière de sécurité de l'information et la communication avec les principales parties prenantes.

Contactez nous

Le standard FAIR est composé :

- D'une taxonomie précise des variables qui composent le risque et des interactions entre ces variables.

- D'une méthode d'analyse mettant en œuvre statistique et probabilité afin d'associer à chacune des variables d'un scénario de risque, des plages de valeurs numériques.

On est ainsi capable d'estimer la fréquence probable et l'impact probable d'un sinistre redouté dans le futur et des montants financiers qui en résulteraient.

Les approches qualitatives laissent se confronter les avis et opinions et n'aident pas vraiment à prioriser les risques rouges, oranges et verts.

Le standard FAIR, lui, permet de quantifier financièrement, de manière objective et reproductible, les risques cyber auxquels une organisation est confrontée.

C-Risk Education peut vous aider à vous préparer

La certification FAIR valide la compréhension et la connaissance par un professionnel du cadre et de la méthodologie FAIR.

C-Risk Education est un organisme de formation accrédité Open FAIR. Nous apportons un soutien précieux aux professionnels du risque qui souhaitent réussir l'examen de certification FAIR™.

Nos cours dispensés par un formateur offrent une base solide sur les concepts FAIR™, garantissant une solide compréhension de la taxonomie et de la méthodologie d'analyse essentielles à la réussite.

Le cours de formation de deux jours de C-Risk pour les praticiens, dirigé par des experts en cybersécurité et en gestion des risques, fournit aux professionnels des risques des compétences pratiques leur permettant d'appliquer des techniques de gestion des risques quantitatives et basées sur les données, sur la base du corpus de connaissances FAIR™. Ce cours comprend également du temps consacré à travailler sur des études de cas, ce qui vous aidera à affiner et à approfondir votre expertise.

En outre, C-Risk propose un cours d'apprentissage en ligne interactif et adapté à votre rythme, "Gestion des cyber risques axée sur les données pour les praticiens" qui constitue une autre excellente ressource pour se préparer à l'examen de certification Open FAIR™ 2 Foundation. Planifier un appel pour en savoir plus !

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

En savoir plus

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.

Voir tous les articles
conformité RGPD et cybersécurité - C-Risk

Pas de conformité RGPD sans stratégie de cybersécurité

Être conforme au RGPD et avoir une protection des données efficace est un défi pour toute entreprise. Relevons-le grâce à la quantification des risques.

Christophe Forêt

7/4/2023
ISO 27001 - C-Risk

ISO 27001 : un levier pour votre stratégie de cybersécurité ?

Découvrez à travers notre guide comment améliorer la sécurité de vos informations sensibles avec la norme ISO 27001. Définition, fonctionnement et avantages.

Melissa Parsons

29/6/2023
modele var - C-Risk

Modele de Valeur à Risque (VaR) | Explications par C-Risk

Comprenez en quoi FAIR est un modèle de valeur à risque (VaR).

Christophe Forêt

28/5/2023

C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nous proposons des solutions de CRQ, des services de conseil et des formations à la quantification des risques.

Nos services
CRQ as a ServiceCRQ Enablement ServicesCRQ Consulting & Advisory Services
Nos solutions
Plateforme CRQ SAFE OnePlateforme SAFE One Third party
Formations
Formation CRQFormation E-learning
Cas d'usage
Communiquez avec le conseil d’administration et la directionGestion des risques cyber liés aux tiersFusion & AcquitionOptimisez votre assurance cyber risquesDimensionnez, catégorisez et justifiez votre budget infosecFacilitez la conformité réglementaireRSSI - Risques Majeurs et Priorisation des Contrôles
Ressources
BlogActualitésVidéos
À propos
A propos de C-riskCarrièrePartenairesC-Risk dans la presse
Votre rôle
ComexCadres dirigeantsProfessionnels du risque
Contact
Contactez-nous
Langue
Site réalisé par Sales Odyssey
Mentions LégalesPolitique de confidientialités