Aujourd’hui, le risque cyber et technologique fait partie du quotidien des entreprises. À l’heure où l’innovation numérique détermine l’orientation des opérations métier, les cybermenaces ont gagné en complexité et se sont multipliées.
La quantification des risques cyber, basée sur la méthodologie FAIR (Factor Analysis of Information Risk, analyse factorielle des risques informatiques), est une approche basée sur le risque permettant de quantifier les risques cyber en termes financiers. Elle fournit aux entreprises des perspectives quantitatives qui informent la prise de décisions.
Connaissez-vous bien les tactiques employées par les cybercriminels pour extraire des données et savez-vous combien une telle fuite de données coûterait à votre entreprise si elle devait se produire demain ?
Les instances dirigeantes prennent des décisions en s’appuyant sur des prévisions financières et en comparant leurs performances historiques avec différentes mesures financières. Pourtant, on ne s’intéresse que rarement à la cybersécurité d’un point de vue financier. On gère traditionnellement le risque cyber à l’aide de méthodes qualitatives, qui restent subjectives et utilisent des termes comme élevé, moyen ou faible pour décrire le niveau de risque. À l’évocation des méthodes quantitatives, vous imaginez peut-être que vous allez obtenir un chiffre précis, mais les résultats s’expriment plutôt sous forme de distribution statistique ou de plage de valeurs.
Dans le cadre de la quantification des risques cyber, basée sur le modèle FAIR, nous cadrons vos risques cyber et nous quantifions la fréquence des événements de perte ainsi que la magnitude probable des pertes. Ainsi, nous mesurons la fréquence à laquelle un sinistre de type fuite de données pourrait se produire, ainsi que son impact financier probable si la menace venait à se concrétiser.
Risque (en €) = Fréquence de l’événement de perte (en %) + Magnitude de la perte (en €)
L’efficacité d’une méthode basée sur le risque comme la CRQ FAIR est démultipliée lorsqu’on l’utilise en complément d’autres référentiels et contrôles de cybersécurité, comme NIST CSF, CIS V8, Cyber Kill Chain ou MITRE ATT&CK.
L’évaluation des dispositifs de contrôle n’est pas qu’un simple exercice de mise en conformité. Lorsque vous cartographiez vos scénarios de risque en les rapportant au référentiel MITRE ATT&CK, vous catégorisez également les menaces en fonction des techniques et des tactiques utilisées par les attaquants. Grâce à cette vision granulaire, vous êtes en mesure d’évaluer l’efficacité et la rentabilité des différents contrôles responsables d’atténuer la fréquence de l’événement de perte et de réduire la magnitude probable de la perte.
Étude de cas : une agence publicitaire internationale a fait appel aux services de conseil et de consulting de C-Risk
En préparation du lancement d’un vaste programme de gestion des identités et des accès (IAM), et après de nombreux échanges avec la première ligne de défense du service IT, le RSSI avait besoin d’identifier les familles d’outils de contrôle les plus efficaces pour atténuer les effets des attaques par ransomware afin de justifier les coûts d’achat et de déploiement.
Dans un premier temps, C-Risk a mené une macroanalyse CRQ des principaux scénarios de risque liés à la décision du RSSI. À partir de cette étude, nous avons quantifié la fréquence des événements de perte et la magnitude des pertes (l’impact financier) de chaque scénario de risque. Nous avons également mappé les scénarios de ransomware sur les chaînes d’attaque les plus courantes en nous appuyant sur le référentiel MITRE ATT&CK. Ensemble, ces opérations nous ont aidés à identifier les carences en matière de contrôles et à déterminer les dispositifs les plus efficaces pour atténuer le risque. Enfin, en intégrant le coût d’implémentation, nous avons quantifié le niveau de réduction du risque par dollar investi. Résultat : le RSSI a pu prendre une décision informée pour établir ses priorités et justifier le budget nécessaire à la mise en place de nouveaux dispositifs de contrôle.
La présentation d’un POC (Proof of Concept, démonstration de faisabilité) est souvent une étape critique pour obtenir l’adhésion totale du conseil d’administration en vue d’un nouvel investissement de sécurité. Avec la quantification des risques cyber, vous disposerez rapidement des indicateurs financiers nécessaires pour soutenir votre proposition.
La quantification des risques cyber fournit des perspectives quantifiées sur la plupart des vulnérabilités critiques. Elle aide ainsi les entreprises à prioriser efficacement leurs ressources et leurs dispositifs de contrôle afin de gérer les risques les plus coûteux en priorité.
Les cadres seniors ne sont pas forcément experts en informatique, mais ils ont de plus en plus conscience de l’importance des risques cyber. En quantifiant le risque en termes financiers, la CRQ informe les décisions relatives à l’allocation des ressources et à la supervision des risques cyber.
Nos experts certifiés FAIR vous aideront à prioriser vos investissements de sécurité IT, à améliorer votre gouvernance et à renforcer la cyberrésilience de votre entreprise.
Identifiez l’influence des dispositifs de contrôle sur la fréquence et l’impact d’un scénario donné à chaque étape de la chaîne d’attaque.
Allouez vos ressources efficacement à l’aide d’une approche orientée données, dans l’objectif de gérer les risques les plus coûteux avec des contrôles appropriés.
Les recommandations quantifiées facilitent la communication entre la première ligne de défense (opérations) et la seconde (gestion des risques et/ou audit).
Le respect des exigences réglementaires en matière de contrôles basés sur le risque permet de garantir la confidentialité, l’intégrité et la disponibilité de vos informations.
La CRQ basée sur le modèle FAIR propose une approche flexible, capable d’informer vos décisions de façon précise, tout en apportant de la valeur pour évaluer vos stratégies de sécurité globales à long terme.
Le cadrage des risques à l’aide du référentiel MITRE ATT&CK permet de définir une séquence d’événements claire. Cette vision logique vous permet de mettre en œuvre des contrôles efficaces en vue d’atténuer l’impact des cyber incidents.
C-Risk accompagne les cadres seniors, directeurs de la sécurité, RSSI et responsables du risque dans leurs activités. Nous vous aidons à affiner vos stratégies d’investissement en fournissant des analyses orientées données très précises afin de communiquer le risque cyber en termes financiers.
Nous serons ravis de vous répondre.
La quantification des risques cyber (CRQ) évalue la fréquence et l’impact financier potentiel d’une cybermenace donnée. Au lieu d’avoir recours à des termes descriptifs ou à un jargon technique, la CRQ traduit les cybermenaces en valeurs financières à la portée de tous, ce qui aide les décisionnaires à comprendre l’impact potentiel de ces risques.
Une bonne stratégie de cybersécurité doit être exhaustive, flexible et en évolution permanente afin d’atténuer les risques en s’adaptant à la nature dynamique des cybermenaces. La quantification des risques cyber basée sur le standard et la méthodologie FAIR identifie la fréquence et le coût du risque cyber et technologique. Cette approche basée sur le risque vous offre l’assurance que vos investissements de sécurité présentent un maximum de valeur en améliorant votre cyber résilience.
Les familles de contrôles de sécurité catégorisent les contrôles de sécurité selon leur fonctionnalité ou selon le domaine qu’ils permettent de gérer, par exemple : accès physiques, réponse aux incidents, protection contre le déni de service, etc. Le référentiel NIST SP 800-53, par exemple, distingue 20 familles de contrôles de sécurité, chaque famille regroupant plusieurs contrôles.