Le risque se situe sur un spectre, et votre outil le plus puissant est votre capacité à mesurer et à communiquer l'impact du risque de manière efficace. En vous appuyant sur des méthodes basées sur les données, vous pouvez élaborer une histoire convaincante qui illustre clairement les principaux risques cyber et technologiques de votre organisation et le retour sur investissement de la réduction des risques. En vous appuyant sur des cadres de référence tels que MITRE ATT&CK et FAIR-CAM, vous pouvez élaborer une stratégie qui vous permettra de prendre des décisions éclairées.
Les directions d'entreprise prennent des décisions sur la base de prévisions financières et mesurent les performances passées à l'aide d'indicateurs financiers. C'est pourquoi la cybersécurité et la gestion des risques cyber ont toujours été considérées d'un point de vue opérationnel. Les méthodologies de gestion des risques cyber quantitatives et basées sur les données font de la gestion des risques cyber et technologiques un rôle stratégique.
Grâce à l'analyse de quantification des risques cyber à l'aide de FAIR, nous déterminons vos principaux risques cyber et quantifions la fréquence des sinistres et l'ampleur probable des pertes, en mesurant la fréquence à laquelle une menace telle qu'une violation de données pourrait se produire et l'impact financier probable d'une tentative de violation réussie.
Risque (en €) = Fréquence des sinistres (en %) + Ampleur des pertes (en €)
L'efficacité des méthodes fondées sur les données, telles que la CRQ, qui utilisent le cadre FAIR, est encore renforcée lorsqu'elles sont utilisées conjointement avec d'autres cadres de cybersécurité et de contrôle, tels que NIST CSF, CIS V8, Cyber Kill Chain et MITRE ATT&CK.
Les évaluations des contrôles ne sont pas simplement un exercice de conformité. Lorsque vous associez vos scénarios de risque au framework MITRE ATT&CK, vous pouvez classer les menaces en fonction des techniques et des tactiques utilisées par les attaquants. Grâce à cette vue granulaire, vous êtes en mesure d'évaluer les contrôles qui atténueront la Fréquence des sinistres et la probable Ampleur des pertes tout en offrant le meilleur retour sur investissement.
Étude de cas : une agence publicitaire internationale a fait appel aux services de conseil et de consulting de C-Risk
En préparation du lancement d’un vaste programme de gestion des identités et des accès (IAM), et après de nombreux échanges avec la première ligne de défense du service IT, le RSSI avait besoin d’identifier les familles d’outils de contrôle les plus efficaces pour atténuer les effets des attaques par ransomware afin de justifier les coûts d’achat et de déploiement.
Dans un premier temps, C-Risk a mené une macroanalyse CRQ des principaux scénarios de risque liés à la décision du RSSI. À partir de cette étude, nous avons quantifié la fréquence des événements de perte et la magnitude des pertes (l’impact financier) de chaque scénario de risque. Nous avons également mappé les scénarios de ransomware sur les chaînes d’attaque les plus courantes en nous appuyant sur le référentiel MITRE ATT&CK. Ensemble, ces opérations nous ont aidés à identifier les carences en matière de contrôles et à déterminer les dispositifs les plus efficaces pour atténuer le risque. Enfin, en intégrant le coût d’implémentation, nous avons quantifié le niveau de réduction du risque par dollar investi. Résultat : le RSSI a pu prendre une décision informée pour établir ses priorités et justifier le budget nécessaire à la mise en place de nouveaux dispositifs de contrôle.
La présentation d’un POC (Proof of Concept, démonstration de faisabilité) est souvent une étape critique pour obtenir l’adhésion totale du conseil d’administration en vue d’un nouvel investissement de sécurité. Avec la quantification des risques cyber, vous disposerez rapidement des indicateurs financiers nécessaires pour soutenir votre proposition.
La quantification des risques cyber fournit des perspectives quantifiées sur la plupart des vulnérabilités critiques. Elle aide ainsi les entreprises à prioriser efficacement leurs ressources et leurs dispositifs de contrôle afin de gérer les risques les plus coûteux en priorité.
Les cadres seniors ne sont pas forcément experts en informatique, mais ils ont de plus en plus conscience de l’importance des risques cyber. En quantifiant le risque en termes financiers, la CRQ informe les décisions relatives à l’allocation des ressources et à la supervision des risques cyber.
Nos experts certifiés FAIR vous aideront à prioriser vos investissements de sécurité IT, à améliorer votre gouvernance et à renforcer la cyberrésilience de votre entreprise.
Les scénarios de risque ayant le plus grand impact financier sur vos actifs critiques sont identifiés et quantifiés à l'aide du framework FAIR
Identifier l'impact des contrôles de sécurité sur la fréquence et l'impact d'un scénario spécifique à chaque étape d'un chaîne de cyberattaques
Allouez les ressources de manière efficace grâce à un approche axée sur les données, en utilisant des frameworks tels que MITRE ATT&CK et FAIR-CAM
Les recommandations basées sur les données facilitent la communication entre la 1ère ligne de défense et la 2ème ligne de défense
La plateforme CRQ SAFE One permet aux RSSI de suivre la performance des contrôles et de prendre des décisions défendables sur les dépenses de contrôle.
La CRQ utilisant FAIR est un modèle flexible qui peut éclairer des décisions ciblées tout en étant utiles pour évaluer des stratégies de sécurité plus larges sur le long terme
C-Risk accompagne les cadres seniors, directeurs de la sécurité, RSSI et responsables du risque dans leurs activités. Nous vous aidons à affiner vos stratégies d’investissement en fournissant des analyses orientées données très précises afin de communiquer le risque cyber en termes financiers.
Nous serons ravis de vous répondre.
La quantification des risques cyber (CRQ) évalue la fréquence et l’impact financier potentiel d’une cybermenace donnée. Au lieu d’avoir recours à des termes descriptifs ou à un jargon technique, la CRQ traduit les cybermenaces en valeurs financières à la portée de tous, ce qui aide les décisionnaires à comprendre l’impact potentiel de ces risques.
Une bonne stratégie de cybersécurité doit être exhaustive, flexible et en évolution permanente afin d’atténuer les risques en s’adaptant à la nature dynamique des cybermenaces. La quantification des risques cyber basée sur le standard et la méthodologie FAIR identifie la fréquence et le coût du risque cyber et technologique. Cette approche basée sur le risque vous offre l’assurance que vos investissements de sécurité présentent un maximum de valeur en améliorant votre cyber résilience.
Les familles de contrôles de sécurité catégorisent les contrôles de sécurité selon leur fonctionnalité ou selon le domaine qu’ils permettent de gérer, par exemple : accès physiques, réponse aux incidents, protection contre le déni de service, etc. Le référentiel NIST SP 800-53, par exemple, distingue 20 familles de contrôles de sécurité, chaque famille regroupant plusieurs contrôles.