Comment obtenir l’adhésion des équipes dirigeantes concernant la mesure des risques cyber

La mise en œuvre des contrôles de sécurité au sein d’une entreprise peut être guidée par plusieurs référentiels et normes. Pourtant, malgré leur utilité indéniable, les référentiels comme NIST CSF, ISO 27001 ou HITRUST posent une grande difficulté pour les gestionnaires du risque : ils n’ont pas été conçus pour faire l’objet de mesures quantitatives. Il est alors plus compliqué de justifier les investissements dans des outils de contrôle, même s’il a été prouvé qu’ils réduisent le risque.

Christophe Forêt

Un article de

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
April 14, 2023
mis à jour le
October 17, 2023
temps
min
mesures risques cyber - C-Risk

Évaluations quantifiées des risques cyber

Ce thème est le point de focalisation de notre série de webinaires en trois parties, organisée par C-Risk avec notre partenaire RiskLens (faisant désormais parti de Safe Security). Axé sur la quantification de l’efficacité des contrôles, le troisième webinaire cherche à comprendre l’influence de cette démarche sur l’amélioration de la prise de décisions relatives au risque.

Un sondage lancé pendant le webinaire auprès des participants a montré que leurs entreprises étaient divisées sur le sujet de la quantification du risque en termes financiers : la moitié d’entre elles a déjà adopté la démarche ou a commencé à la pratiquer. Dans l’autre moitié, on retrouve à nouveau une répartition à 50/50 entre celles qui ne pratiquent pas du tout la quantification, et celles que le sujet intéresse, mais qui ne s’en sont pas encore emparées.

Recueillir l’adhésion des équipes dirigeantes pour la quantification des risques cyber

Obtenir le soutien des dirigeants pour quantifier les risques cyber

Par ailleurs, un autre sondage a révélé que beaucoup d’entreprises manquaient de soutien, notamment de la part des équipes dirigeantes, pour mesurer le risque cyber en termes financiers, ou CRQ (quantification des risques cyber).

Pour surmonter cet obstacle, une option se dégage : travailler main dans la main avec les équipes métier pour identifier une décision stratégique importante et l’utiliser pour introduire l’évaluation quantitative des risques.

« Appliquer la CRQ à des cas d’usage liés à des décisions stratégiques facilite l’implication et le soutien des supérieurs », souligne Tom Callaghan, cofondateur de C-Risk et coprésident du FAIR Institute Paris.

« En travaillant sur cette approche avec les équipes métier, on se familiarise avec les procédures décisionnelles de l’entreprise, on apprend à connaître son fonctionnement, ce qui permet de bénéficier d’un soutien plus fort pour la gouvernance de la sécurité des informations ».

Regarder le webinaire en replay

Vous pouvez revoir ce webinaire, de même que le premier et le deuxième de la série. Pour plus d’informations sur la CRQ, n’hésitez pas à contacter C-Risk.

Contactez nous

Le webinaire mentionne d’autres bonnes pratiques :

  • Toujours réfléchir au but d’une évaluation des risques : quelles sont les décisions concernées ?
  • Obtenir autant d’informations que possible sur l’environnement global et les actifs numériques.
  • Définir le champ d’action des scénarios de risque sur lesquels s’appuieront les décisions.

Jacqueline Lebo, consultante risque senior chez RiskLens LLC, conseille d’avoir recours à des techniques d’évaluation rapide des risques pour identifier les informations dont l’entreprise doit se préoccuper le plus, et cartographier les risques à partir de ces données.

« Si l’on parle des ressources stratégiques, on doit privilégier la disponibilité et la sécurité : on n’a pas le droit de risquer une fuite d’informations confidentielles », insiste-t-elle.

Choisir ses mécanismes de contrôle pour réduire le risque efficacement.

Choisir les contrôles pour réduire efficacement les risques

Jacqueline a montré comment, en comprenant le risque en termes financiers, ce groupe a été en mesure de démontrer qu’en choisissant un mécanisme de contrôle plutôt qu’un autre, le risque serait diminué de 2 $ pour chaque dollar investi.

Pour mieux identifier les contrôles les plus efficaces, Zack Sumney, consultant senior risque chez RiskLens, conseille aux entreprises de développer un portefeuille de menaces courantes auxquelles les actifs sont exposés :

« Nous avons besoin d’un point de départ qui nous permette de définir les mécanismes de réduction des risques afin de déterminer l’efficacité des contrôles sur différents sites ».

Les gestionnaires du risque peuvent alors s’appuyer sur ces informations pour élaborer un scénario de retour sur investissement basé sur le coût ou l’efficacité afin de choisir les outils qui permettent de réduire le risque au maximum.

Opérationnaliser les évaluations de contrôle

De nombreuses organisations n'ont toujours pas opérationnalisé leurs évaluations de contrôle, laissant les RSSI et les gestionnaires de risques dépendre de processus manuels qui prennent beaucoup de temps. Cette approche ad hoc limite l'efficacité et ne permet pas d'avoir une vision continue de la performance des contrôles. Sans évaluations régulières et automatisées, il est pratiquement impossible de mesurer l'efficacité des contrôles dans le temps ou de déterminer où ils sont les plus efficaces.


Pour relever ces défis, C-Risk travaille avec les RSSI pour mettre en œuvre la plateforme SAFE One CRQ et faire en sorte que les équipes soient rapidement intégrées. Avec SAFE One, les organisations sont en mesure d'automatiser les évaluations quantifiées des risques, ce qui permet une surveillance continue et fournit des informations exploitables pour améliorer l'efficacité des contrôles et réduire les risques dans tous les domaines.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

En savoir plus

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.

Voir tous les articles
fusions et acquisitions - C-Risk

Quantifier l'efficacité des contrôles de cybersécurité dans les fusions et acquisitions

Comment quantifier l'efficacité des contrôles de cybersécurité dans les contextes de fusions et acquisitions ? Regardez les experts de C-Risk et RiskLens échanger.

Christophe Forêt

4/10/2023
investissement cybersécurité - C-Risk

Ce webinaire révèle comment cibler plus efficacement les dépenses de cybersécurité

Comment prendre en compte les contrôles de sécurité informatique dans le contexte de la quantification du cyber risque ? Regardez la discussion des experts de C-Risk et RiskLens.

Christophe Forêt

13/2/2022
gouvernance cybersécurité - C-Risk

Gouvernance de la cybersécurité : petit guide pratique

Découvrez ce qu'est la gouvernance de la cybersécurité et comment et pourquoi vous devriez la mettre en œuvre

Christophe Forêt

22/4/2022

C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nous proposons des solutions de CRQ, des services de conseil et des formations à la quantification des risques.

Nos services
CRQ as a ServiceCRQ Enablement ServicesCRQ Consulting & Advisory Services
Nos solutions
Plateforme CRQ SAFE OnePlateforme SAFE One Third party
Formations
Formation CRQFormation E-learning
Cas d'usage
Communiquez avec le conseil d’administration et la directionGestion des risques cyber liés aux tiersFusion & AcquitionOptimisez votre assurance cyber risquesDimensionnez, catégorisez et justifiez votre budget infosecFacilitez la conformité réglementaireRSSI - Risques Majeurs et Priorisation des Contrôles
Ressources
BlogActualitésVidéos
À propos
A propos de C-riskCarrièrePartenairesC-Risk dans la presse
Votre rôle
ComexCadres dirigeantsProfessionnels du risque
Contact
Contactez-nous
Langue
Site réalisé par Sales Odyssey
Mentions LégalesPolitique de confidientialités