Aperçu et faits marquants du FAIR Institute Europe Summit 2024

Par

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
March 25, 2024
Mis à jour
FAIR Institute Summit Europe 2024

Le FAIR Institute Europe Summit 2024 a été une journée riche en événements qui a rassemblé des experts cyber, des régulateurs, des praticiens et des décideurs de toute l'Europe et des États-Unis. Le thème de cette année, "La gestion des risques cyber à l'ère des nouvelles règles de divulgation des incidents", était présent dans toutes les présentations et tous les groupes de discussion. Des présentations ont également été faites sur les nouveaux groupes de travail et outils FAIR : FAIR-MAM, FAIR-CAM, FAIR-AIR et FAIR-TAM.

 

Dans son discours de bienvenue, Nick Sanna, fondateur du FAIR Institute, a donné le ton du sommet. Il a brossé un tableau saisissant du paysage actuel des cyber-risques, dans lequel les adversaires voient leur situation économique s'améliorer, tandis que la charge financière des mesures de sécurité et le coût des violations augmentent. "Vous ne pouvez pas gagner la bataille de la conformité sans vous attaquer aux aspects économiques". Nick a affirmé que les modèles de conformité traditionnels et lents sont inefficaces, soulignant l'urgence d'un changement de paradigme vers une gestion des cyber-risques basée sur le risque qui suit le rythme de la prise de décision rapide des entreprises. Sa vision est celle d'une science des affaires rigoureuse - un modèle quantitatif axé sur les affaires qui démontre la conformité aux régulateurs, réduit le gaspillage et accroît l'avantage concurrentiel.

 

Le premier panel de la journée, modéré par Anne Leslie d'IBM, a discuté de l'importance de la directive NIS2 et de la loi européenne sur la résilience opérationnelle numérique (DORA). Les intervenantes ont abordé les similitudes et les ambiguïtés des deux actes législatifs, en se concentrant sur la gestion des risques, les tiers, la notification des incidents et les flux de données transfrontaliers. Pour que les nouvelles réglementations apportent des changements positifs, tout le monde doit posséder un siège autour de la table. Les fonctions informatiques, juridiques et commerciales doivent toutes définir un glossaire commun afin d'améliorer la compréhension et la hiérarchisation des priorités.

 

Iva Tasheva - Anne Leslie - Cathie-Rosalie Joly - Martina Drvar

L’IA Générative (Gen AI) est un nouveau type de risque auquel sont confrontés les professionnels du cyber-risque. Gérôme Billois, associé chez Wavestone, Sabine Marcellin, juriste informatique chez Oxygen+, et Jacqueline Lebo, Risk Advisory Manager dans les services de sécurité chez Safe Security, ont partagé des histoires sur les défis et les échecs de l’IA Générative, tels que la vidéosurveillance augmentée prévue pour les Jeux Olympiques de Paris, le procès du chatbot d'Air Canada et les échecs de la reconnaissance faciale chez Rite Aid. L’IA Générative est un nouveau type de technologie qui comporte de nouveaux risques pour une organisation. Le consensus est que les politiques d'IA doivent être développées en interne avec toutes les parties prenantes, et de préférence avant le lancement de tout outil d’IA Générative.

 

Les leaders de la quantification des cyber-risques de Richemont et d'Econocom ont partagé leurs idées sur la création et le développement d'un programme interne de gestion quantifiée des cyber-risques et sur la manière d'obtenir le soutien du conseil d'administration et l'intérêt d'autres entreprises au sein du groupe.

 

Meena Martin, vice-présidente chargée du risque cyber et de l'assurance chez GSK, a expliqué comment GSK développe un modèle de gestion du risque pour les tiers qui est axé sur les données, fondé sur le risque, agile et continu. Ce programme sera soutenu par FAIR-TAM au fur et à mesure de son avancement.

 

La conférence de l'après-midi a été présentée par Jack Jones, président émérite du FAIR Institute. Jack a insisté sur le fait que la sophistication technique n'est pas synonyme de maturité du domaine. Si vous ne pouvez pas identifier et prioriser ce qui est important, vous ne pourrez pas passer d'une gestion réactive des risques à une gestion réellement proactive des cyber-risques.

 

Le panel CXSO modéré par Thiébaut Meyer, Directeur, Office of CISO chez Google Cloud a discuté des défis de la gestion des cyber-risques avec les nouvelles divulgations réglementaires. Benoit Fuzeau, RSSI chez CASDEN et président du CLUSIF a souligné que la formation est un élément majeur de la conformité. La conclusion des panélistes est que la conformité n'est pas synonyme de sécurité.

 

Rob Moore de Mastercard et David Steng de Fresinus ont fait part de leur expérience de la mise en œuvre de FAIR. Rob a déclaré que "FAIR est comme un super pouvoir". David a abondé dans ce sens, affirmant que les mesures monétaires facilitent l'avancement d'un budget de sécurité et la communication avec les dirigeants.

 

Rob Moore - David Steng - Greg Spicer

Pour clore la journée, Tom Callaghan, cofondateur de C-Risk, a animé une table ronde avec Frédéric Bouveresse et Francesco Chiarini sur MITRE et FAIR-CAM. Une question a été posée par le panel : "Comment un cadre réglementaire change-t-il la résilience ?". Ils ont souligné qu'un cadre n'est qu'un point de départ et qu'il faut s'adapter pour être efficace. Francesco a donné matière à réflexion pour clore la discussion : "La résilience est la science de l'anticipation".

Les intervenants du FAIR Institute Europe Summit ont partagé de nouvelles idées sur la façon dont la gestion des cyber-risques peut être effectuée avec succès en utilisant des méthodes basées sur le risque et en évoluant vers une approche proactive qui dépasse les exigences réglementaires en constante évolution dans le cadre idéal que sont les magnifiques Salons Hoche à Paris.

 

Les présentations et les tables rondes ont abordé différents points de vue sur la manière dont la gestion quantitative des cyber-risques à l'aide de FAIR peut aider à atteindre les objectifs de conformité et à améliorer la résilience opérationnelle. Avec FAIR, les professionnels du risque cyber peuvent parler le même langage que les chefs d'entreprise et les décideurs, et exploiter les données pour informer leurs stratégies de risque.

 

Il est passionnant de voir comment la gestion quantitative du risque cyber continue à se développer en Europe.

Renforcer la cyber-résilience grâce à une surveillance fondée sur les risques

La quantification des cyber-risques améliore la prise de décision, aligne l'informatique sur les objectifs de l'entreprise et démontre aux régulateurs votre engagement à renforcer la résilience.