Cybersécurité : guide sur l’avenir de la gestion du risque

La transformation numérique et la gestion du risque cyber

À l’heure de la transformation numérique, les entreprises et organisations du monde entier, tous secteurs confondus, adoptent les nouvelles technologies pour gagner en efficacité, renforcer leur valeur et développer l’innovation. Pendant la crise du COVID-19, les organisations ont su faire preuve de créativité pour mettre leurs services numériques à la disposition de leurs clients, de leurs concitoyens ou de leurs collaborateurs.

Malheureusement, cette transformation accélérée a augmenté la probabilité de cyber incident et a relevé le niveau de risque auquel étaient exposés les entreprises et les individus. Elle a également entraîné des changements au niveau du cadre réglementaire. Face à la vitesse de la transformation numérique, de nombreuses organisations ont pris du retard dans la protection de leurs actifs stratégiques.

Quelle que soit leur taille ou la complexité de leur environnement, elles doivent désormais gérer les nouvelles menaces qui pèsent sur ces données sensibles. Les incidents de cybersécurité peuvent entraîner diverses conséquences :

• Fuites de données
• Indisponibilité des systèmes
• Compromission de l’intégrité des informations

En cas de fraude ou de vol, un incident de cybersécurité peut se solder par de lourdes pertes financières, une interruption de service prolongée ou pire encore. Aux États-Unis, la Securities and Exchange Commission a calculé que 60 % des petites entreprises faisaient faillite dans les six mois qui suivaient une cyber attaque ou une fuite de données.

Poser les bonnes questions pour mieux gérer la cybersécurité

Les entreprises s’appuient de plus en plus sur les technologies de l’information pour leurs opérations métier : c’est pourquoi la protection des actifs numériques et des données associées est plus importante que jamais. Pourtant, même avec l’aide d’une multitude de normes et de référentiels internationaux, la plupart des organisations ont encore du mal à gérer leur cyber risque efficacement. Pourquoi ?

• La définition du cyber risque est variable, mal comprise et repose bien souvent sur des mesures qualitatives vagues
• La gestion du risque est compartimentée et n’est pas forcément accessible aux acteurs en charge de ce processus de gouvernance
• Les organisations perdent de vue la raison pour laquelle elles cherchent à gérer le cyber risque en premier lieu

Pour protéger leurs actifs numériques les plus stratégiques, les entreprises, les organisations et les institutions doivent commencer par identifier ces actifs, comprendre en quoi ils soutiennent les activités métier, et déterminer la meilleure façon de les protéger en identifiant les menaces et les conséquences d’un potentiel incident cyber. Si la théorie est facile à comprendre, le passage à la pratique reste délicat : beaucoup d’entreprises ont du mal à circonscrire ce qu’elles veulent protéger et à expliquer en quoi cette protection est nécessaire.

Pour compliquer la chose, la transformation numérique a bouleversé le panorama des risques. Dans une économie globale et interconnectée, la supply chain intègre désormais des fournisseurs de logiciels et de services tiers. Nous estimons que pour réussir, un programme de gestion du cyber risque doit tenir compte de ces problématiques de différentes façons :

• Adopter une approche scientifique pour mesurer le risque qui pèse sur les technologies de l’information et l’expliquer en des termes faciles à comprendre par les décisionnaires
• Prioriser les mesures de protection ou de contrôle qui améliorent la résilience, la récupération et l’endiguement des pertes financières causées par les cyber incidents et ne pas se contenter de mettre l’accent sur les contrôles techniques visant à éviter les incidents
• Devenir une activité de gouvernance d’entreprise continue, qui exige la participation des équipes dirigeantes de toutes les fonctions.

L’impératif du leadership en matière de cybersécurité

Même si la transformation numérique s’est imposée en très peu de temps, les modèles de gouvernance ont mis du temps à réagir. Pour nous, le fait de ne pas mettre en œuvre une bonne gouvernance du risque cyber constitue une négligence de la part du conseil d’administration et des équipes dirigeantes. Dans le monde entier, les régulateurs commencent à tirer des conclusions similaires. Il ne faudra plus attendre longtemps avant que les organisations ne soient obligées de mettre en œuvre une gouvernance de la gestion du risque cyber efficace et démontrable.

Pour résoudre un problème d’entreprise de cette envergure, l’appui des instances dirigeantes est impératif. Qu’il s’agisse du conseil d’administration ou d’autres leaders du marché, le ton doit être donné au plus haut niveau. Le cyber risque ne peut pas être entièrement laissé à la charge du RSSI (Responsable de la sécurité des systèmes d’informations) et du DSI (Directeur des Systèmes d’Informations), qui le gèreront chacun de leur côté. Le sujet doit être abordé à l’échelle de toute l’entreprise et chaque fonction doit avoir conscience des risques cyber et technologiques associés à ses activités, ainsi que des options disponibles pour protéger ses actifs numériques.

Dans ce contexte, la gestion du risque cyber a besoin d’un langage universel, qui permette à tout le monde de bien saisir tous les enjeux. Ce langage universel, c’est celui des mesures financières : la quantification du risque en termes financiers va révolutionner la gouvernance de la sécurité des informations. Néanmoins, les acteurs impliqués doivent pouvoir se fier aux données financières qui leur sont présentées, ce qui signifie que la quantification du risque cyber en termes financiers doit s’articuler autour d’une méthodologie transparente et basée sur des normes. Nous évoquerons les normes ouvertes et la quantification du risque plus loin dans ce document.

Choisir son style de gestion du risque de cybersécurité

Au quotidien, les entreprises sont confrontées à divers facteurs internes et externes susceptibles de les freiner dans la poursuite de leurs objectifs métier. À l’heure où elles transitionnent vers un environnement majoritairement numérique, les entreprises sont nombreuses à citer la protection de leurs actifs numériques comme leur principale préoccupation de sécurité.

On retrouve dans chaque programme de sécurité des informations trois principes fondamentaux : la confidentialité, l’intégrité et la disponibilité (ou triade CIA, pour Confidentiality, Integrity, Availability). La confidentialité consiste à restreindre l’accès aux informations uniquement aux utilisateurs autorisés, et couvre désormais les obligations de confidentialité en constante évolution. L’intégrité désigne la certitude que les informations sont correctes et fiables. Enfin, par disponibilité, on entend la capacité des systèmes et des applications à fonctionner lorsqu’on en a besoin. Pour les équipes chargées de la sécurité des informations et de la cybersécurité, l’objectif principal consiste à protéger la triade CIA tout en préservant la productivité de l’organisation.

Les incidents de cybersécurité, qu’ils soient intentionnels ou non, posent des problèmes aux entreprises de toutes tailles, dans tous les secteurs d’activité. Même les systèmes professionnels bien protégés et bien financés subissent régulièrement des incidents cyber d’envergure.

Même si préserver la stabilité des opérations métier a un coût non négligeable, les résultats valent bien l’investissement. Aujourd’hui, les clients et les partenaires commerciaux des entreprises s’attendent à bénéficier de leurs services sans interruption, quelles que soient les conditions. Pour gagner en résilience, les organisations doivent agir de façon proactive pour protéger leurs informations.

Malgré tout, les ressources ne sont pas infinies, et les décisionnaires doivent pouvoir comparer les différentes stratégies de défense afin d’identifier les projets dans lesquels ils vont investir. Pour cela, ils ont besoin d’informations précises sur les risques les plus importants qui pèsent sur leur entreprise. Ce qui est plus facile à dire qu’à faire. La plus grande difficulté consiste à obtenir les bonnes mesures qui permettront d’informer les décisions de sécurité en tenant compte du business model unique de l’entreprise, du degré de maturité de ses contrôles et des menaces auxquelles elle est exposée.

Le paradoxe du choix en cybersécurité

Face à la myriade de solutions, outils de contrôle, référentiels et normes de cybersécurité à leur disposition, beaucoup d’organisations sont confrontées au paradoxe du choix et ont du mal à prendre une décision. Les entreprises et leurs équipes dirigeantes sont sensibles aux questions de cybersécurité, et elles y consacrent davantage de ressources. Une gestion efficace du risque fournit aux décisionnaires les données dont ils ont besoin pour choisir les projets qui présentent les meilleurs résultats et le meilleur retour sur investissement.

Pour prendre de bonnes décisions vis-à-vis du risque, nous sommes convaincus que les organisations doivent :

• recueillir des informations fiables et transparentes au sujet des risques auxquelles elles sont exposées ;
• utiliser une méthode cohérente pour mesurer et comparer ces risques ;
• prioriser les risques par ordre d’importance ;
• présenter les résultats de sorte à permettre aux décisionnaires de bien les comprendre et d’agir (c’est-à-dire : en termes financiers).

Les entreprises doivent en outre avoir la certitude que leur méthode de gouvernance du risque est efficace et fiable, et qu’elles peuvent le prouver auprès de leurs partenaires extérieurs. La meilleure approche consiste à adopter des normes ouvertes, qui sont par essence transparentes.

Identification des cyber risques : ressources, menaces et vulnérabilités

Les entreprises ont de plus en plus de difficultés à identifier clairement les cyber risques auxquelles elles sont exposées, et donc à gérer l’impact financier d’un incident majeur. Entre les tensions géopolitiques actuelles, la recrudescence de la criminalité en ligne et l’accroissement de l’empreinte numérique des entreprises, la liste des scénarios de risque ne cesse de s’allonger : ransomwares, vulnérabilités zero-day, législation sur la protection des données et la confidentialité, fuite ou perte de données, vol d’identité, fraude, phishing, ingénierie sociale, guerre cybernétique, exploits, cyber espionnage, défaillance de fournisseurs tiers, attaques de groupes à la solde d’États, ou encore compromission de systèmes IoT.

Qui plus est, l’engouement de certains médias et fournisseurs autour de la cybersécurité produit un sentiment pesant d’incertitude ; dans ce contexte, les entreprises se demandent quelles mesures elles pourraient ou devraient prendre pour réduire le risque.

Pour s’y retrouver dans tout ce bruit, le cadrage efficace des scénarios de risque est un atout précieux.

Utiliser la taxonomie FAIR pour développer un scénario de risque cyber

Pour déconstruire la liste sans fin des risques, menaces et vulnérabilités, nous avons besoin d’un modèle qui définit et mesure clairement les scénarios de risques cyber tout en éliminant le superflu, pour nous permettre d’allouer les bonnes ressources là où elles seront le plus utiles.

Le manque de clarté dans le vocabulaire de la cybersécurité entrave ce processus d’identification des risques. Les experts de la cybersécurité eux-mêmes utilisent indifféremment les termes « menace », « vulnérabilité » et « risque » pour décrire un scénario de risque. Et même si les normes et les référentiels ont pour but d’éviter ce type de malentendus, les définitions varient bien souvent entre les directives et les glossaires correspondants. Ces termes sont également très techniques, et les nuances ne sont compréhensibles que par les experts du cyber risque. La solution à ce problème consiste à adopter une norme méthodologique et une taxonomie ouverte. Le mot taxonomie désigne un système de classification. Dans le cas de la gestion du risque, une taxonomie du risque permet d’établir une hiérarchie des termes, avec un vocabulaire contrôlé conçu spécifiquement pour parler de cette activité.

Le modèle de quantification du risque FAIR est la seule norme ouverte à fournir un langage commun pour parler du risque (menace, vulnérabilité, etc.) et à utiliser des méthodes quantitatives. La taxonomie FAIR définit les relations entre les différents termes et variables. FAIR propose également un processus simple pour définir les scénarios de risques de manière quantifiable et objective. Ce modèle de cadrage des scénarios est un atout précieux pour définir clairement le risque auquel est exposée l’entreprise.

Le cadrage des scénarios à l’aide du modèle FAIR est très simple. Il vise à présenter le risque aux différentes parties prenantes de manière quantifiée, en utilisant un vocabulaire contrôlé qui dissipe les malentendus et facilite la communication.

Intéressons-nous maintenant aux modèles de mesure pour comprendre en quoi la mesure d’un scénario donné permet de justifier les décisions qui sont prises dans le cadre du processus de gestion du risque.

Mesurer le cyber risque

Prise de décisions et biais cognitif

Les êtres humains ont du mal à réfléchir de manière statistique ; c’est pourquoi le calcul du niveau de risque doit s’appuyer sur des méthodes formelles.

De nombreuses études menées par d’éminentes figures telles que Daniel Kahneman, Philip Tetlock ou George Box ont fait la lumière sur l’influence des biais cognitifs sur la prise de décision. « How to Measure Anything: Finding the Value of Intangibles in Business », de Douglas Hubbard, fait partie des meilleurs ouvrages de recherche universitaire dans le domaine de l’analyse de la décision. On y trouve notamment cette conclusion essentielle : en l’absence d’une méthodologie robuste pour guider la mesure du risque et l’évaluation des points de données incertains, il est très probable que l’analyse finale ne sera pas fiable et que les décisions qui en découleront seront mauvaises.

Méthodes qualitatives et quantitatives

Les entreprises et organisations ont recours à différentes méthodologies de gestion du risque (voir la section suivante pour plus d’informations). Même si chaque approche est différente, toutes partagent les mêmes fondamentaux. Toutefois, la mesure du risque s’accompagne de certaines complications spécifiques.

La plupart des normes et référentiels optent pour une évaluation qualitative du risque, qui associe chaque variable à un mot ou une expression qualitative, qui décrit son état ou sa posture de risque (par ex. élevé/moyen/faible, très probable/probable/peu probable). Certaines normes et certains référentiels, comme ISO 31000 ou NIST CSF, proposent de mesurer le risque en s’appuyant sur l’équation suivante :

Risque = probabilité x impact

En théorie, cette équation est simple et directe, et peut être utilisée pour exprimer le risque cyber en termes qualitatifs. Mais dès qu’il s’agit d’utiliser cette approche pour générer des informations utiles sur les cyber risques, la logique perd rapidement de son sens. Sans entrer dans le détail des défauts intrinsèques aux modèles purement qualitatifs (que nous explorerons dans un prochain article), disons qu’à plus haut niveau, les problèmes sont liés à l’utilisation d’échelles nominales et ordinales, qui se servent de mots ou d’étiquettes comme unités de mesure. Les termes employés peuvent avoir des sens différents selon les personnes (et parfois même pour une même personne) et selon le moment. Pire encore, si nous tentons ensuite d’appliquer les mathématiques à des échelles nominales ou ordinales, les résultats deviennent insensés.

Des études approfondies, associées à de nombreuses années d’expérience sur le terrain, ont permis d’identifier des solutions pour atténuer les problèmes liés à une approche purement qualitative de la gestion du risque. On regroupe ces techniques sous l’appellation Quantification des risques cyber (CRQ), ou parfois Économie du cyber-risque.

La CRQ exprime fondamentalement le risque cyber en termes financiers, mais ce n’est pas là le seul aspect important de cette démarche. La CRQ fournit également des techniques visant à circonscrire les scénarios, gérer le biais d’autorité, utiliser des plages de valeurs afin de modéliser l’incertitude, et mesurer les variables à l’aide de nombres et de techniques statistiques en vue de calculer le risque en tant que distribution des probabilités de pertes financières.

Le cyber risque en termes financiers

Il n’est pas facile de se représenter les unités de mesure normalisées applicables à la gestion du risque cyber, peut-être du fait de leur nature abstraite. En conséquence, beaucoup d’organisations choisissent les approches qualitatives, plus répandues, pour mesurer leur cyber risque. Néanmoins, les choses évoluent, et l’on constate aujourd’hui qu’une meilleure approche est nécessaire.

L’approche de la gestion du risque développée par la CRQ permet de résoudre bon nombre des problèmes évoqués ci-dessus. En effet, elle fournit une méthodologie cohérente permettant de circonscrire (c.-à-d. définir et identifier) et mesurer les risques en s’appuyant sur des données quantifiables dérivées de modèles mathématiques.

La méthode FAIR pour définir et mesurer le risque

Le modèle FAIR (Factor Analysis of Information Risk) est le premier modèle de CRQ conçu pour servir de norme internationale. Par sa taxonomie, ses définitions et ses méthodes d’analyse, le modèle FAIR peut être utilisé pour calculer des probabilités relatives à la fréquence et à la magnitude des pertes potentielles. Avec FAIR, les organisations peuvent :

• définir efficacement et précisément leurs scénarios de risque ;
• quantifier ces scénarios objectivement dans le contexte du business model spécifique de l’organisation ;
• prioriser les ressources limitées de l’entreprise pour traiter les risques présentant le plus fort impact en employant les contrôles les plus efficaces.

Dans la taxonomie FAIR, la définition du risque se concentre sur les pertes plutôt que sur d’autres aspects spéculatifs qui pourraient avoir une issue positive ou négative. La méthode FAIR décompose les scénarios de risque en facteurs qui permettent de calculer la fréquence probable (Fréquence d’événement de perte) et la perte probable (Magnitude de la perte) en termes quantifiables. Avec FAIR, un analyste peut saisir une plage de valeurs probables pour chaque variable et représenter l’exposition au risque en tant que distribution des résultats probables. La CRQ et le modèle FAIR sont parfois critiqués pour être trop difficiles à utiliser, parce que les données requises pour chaque variable ne sont pas disponibles. Pourtant, le modèle FAIR n’est pas plus difficile à mettre en œuvre que d’autres méthodes qualitatives. Il suffit d’une formation initiale et éventuellement d’un peu d’aide extérieure pour bien démarrer.

Comme toutes les approches de la gestion du risque, FAIR a pour objectif de fournir aux organisations des outils et des techniques pour les aider à optimiser leur gestion. La proposition FAIR est unique dans le sens où elle fournit un modèle de quantification du risque précis, ouvert et transparent.

Quelle que soit la méthode de gestion du risque choisie par votre organisation, vous devez au moins l’évaluer sur les points suivants : sa facilité de mise en œuvre, sa précision, sa transparence, et sa capacité à faciliter la prise de décisions pratiques. Le modèle FAIR vise à réduire l’incertitude de façon justifiable : les décisionnaires peuvent ainsi comparer les solutions disponibles en s’appuyant sur les meilleures données disponibles.

Référentiels et normes de contrôle en cybersécurité

Les référentiels et normes de contrôle incluent généralement des recommandations fondamentales sur les contrôles en vue d’éviter les pertes financières ou d’informations. Les instances compétentes y spécifient les structures et les bonnes pratiques que les organisations doivent utiliser lors de la mise en œuvre de leurs processus et opérations, quels que soient leur taille ou leur secteur d’activité.

Ces recommandations sont utiles pour implémenter, tester et tenir à jour les outils de contrôle internes. Toutefois, chaque recommandation emploie une terminologie propriétaire pour établir les listes, les descriptions et les objectifs des outils de contrôle. Les organisations peuvent donc éprouver des difficultés pour identifier la solution la mieux adaptée à leur activité. Citons quatre exemples parmi les référentiels et normes de contrôle les plus répandus :

• La suite de normes ISO 27001 sur les systèmes de management de la sécurité de l’information aide les organisations à « gérer leurs actifs de sécurité comme les informations financières, les données de propriété intellectuelle, les informations personnelles des collaborateurs ou d’autres informations confiées par des parties tierces. » La norme ISO/IEC 27001 est considérée comme l’une des plus importantes normes de cybersécurité au monde.
• Le catalogue National Institute of Standards and Technology (NIST) SP 800-53 est un référentiel de contrôle comptant parmi les plus robustes au monde. Ce document de plus de 450 pages établit des règles de sécurité couvrant 18 domaines distincts et 20 familles d’outils de contrôle. Il inclut ainsi plus de 1 000 outils de contrôle individuels.
• Le référentiel Internal Control — Integrated Framework de COSO aide les organisations à sauvegarder la fiabilité de leurs rapports financiers, à protéger leurs actifs et leurs partenaires de la fraude, tout en préservant l’efficacité et l’efficience de leurs opérations. La conformité à ce cadre est une démarche volontaire, mais elle peut vous aider à accélérer votre mise en conformité avec d’autres textes réglementaires comme SOX et FCPA.
• Les contrôles CIS (Center for Internet Security) recensent des actions recommandées en matière de cyberdéfense, qui constituent autant de moyens spécifiques et exploitables pour stopper les attaques les plus répandues et les plus dangereuses du moment. Les prescriptions du CIS couvrent la sécurité des données, des logiciels et des matériels, et surtout, celle des personnes et des processus.

De manière générale, les organisations ont recours à ces contrôles pour leur efficacité, et notamment parce qu’ils présentent les avantages suivants :

• Meilleur alignement des initiatives IT avec les politiques de gouvernance
• Optimisation de la transparence et de l’efficacité
• Meilleure compréhension des risques matériels et des possibilités d’atténuation du risque

Cependant, face à tous les référentiels de contrôle disponibles et à la myriade de contrôles pouvant être mis en œuvre, la tâche peut vite sembler insurmontable.

En outre, la plupart des référentiels de contrôle mettent l’accent sur les contrôles techniques. Même si ces derniers sont utiles, ils renforcent l’idée fausse selon laquelle la cybersécurité est uniquement une question de technologie. Les contrôles techniques représentent effectivement une part importante de la cybersécurité, mais ils ne suffisent pas à protéger une organisation des cyber risques. Même si une organisation a mis en place des contrôles techniques, elle s’expose inévitablement au risque si elle ne dispose pas des bonnes personnes et des bons processus pour soutenir ces outils.

Pour déterminer l’impact des différents contrôles sur le cyber risque, les entreprises doivent comprendre les interactions qui existent entre les contrôles et apprendre à mesurer ou évaluer leur efficacité. Et même dans le cas où un contrôle fonctionne comme prévu, dans quelle mesure est-il fiable ? De la même façon, la réduction d’un risque spécifique vous apporte-t-elle suffisamment de valeur pour justifier son coût ? En parallèle, les organisations doivent aligner ces projets avec leurs objectifs métiers et se concentrer sur les domaines qui auront l’impact le plus tangible.

Protéger les systèmes grâce à une communication adaptée

Au bout du compte, pour prendre des décisions efficaces, il est nécessaire de comprendre les liens qui existent entre les contrôles et les risques sur lesquels ils agissent dans le contexte de votre organisation. Les entreprises font souvent appel à des intervenants externes pour apporter des modifications aux contrôles qu’elles utilisent. Malheureusement, les informations sur les contrôles internes à l’entreprise sont trop souvent rares. Dans ce cas, il n’est pas possible de comprendre les scénarios de risque ni de déterminer les contrôles capables d’agir sur la fréquence ou la magnitude des pertes.

Les organisations doivent être en mesure de fournir aux décisionnaires des mesures faciles à assimiler sur leur système de contrôles internes. Et si des partenaires extérieurs doivent intervenir, il est d’autant plus essentiel de communiquer ces informations en termes financiers. Bonne nouvelle : les normes et les référentiels ont commencé à investir cet espace. À ce jour, le modèle FAIR constitue le modèle normalisé international le plus complet pour l’analyse quantitative du risque.

Tandis que l’approche FAIR continue de gagner en popularité et en légitimité en tant que méthode de mesure du risque, les cas d’usage ont poussé les instances réglementaires à promouvoir l’adoption de la CRQ pour la gouvernance d’entreprise. Aujourd’hui, plusieurs organismes de normalisation, dont NIST, PCI DSS et NACD, soutiennent et recommandent la CRQ basée sur la méthode Open FAIR.

Pour les organisations déjà en conformité avec l’une ou plusieurs de ces normes, l’ajout de la CRQ aux pratiques de gestion du risque représente un grand pas en avant dans la gestion moderne du cyber risque. Selon Gartner, la CRQ constitue un pilier de la gestion intégrée des risques (IRM), nouvelle frontière en matière de gouvernance, gestion des risques et conformité (GRC).

La CRQ face aux régimes réglementaires

Même si son apparition sur la scène de la cybersécurité est relativement récente, la CRQ a déjà évolué. Ce qui n’était qu’une simple recommandation pourrait bientôt se transformer en exigence réglementaire, voire en loi. Quelques organismes prennent déjà des mesures en ce sens :

National Association of Corporate Directors (NACD)

Le manuel du directeur 2023 pour la supervision du cyber risque (Director’s Handbook on Cyber-Risk Oversight) énonce des principes stratégiques et des conseils pratiques à destination des conseils d’administration, et cite FAIR parmi les modèles à suivre. Cette publication, ainsi que d’autres documents similaires, met en lumière l’importance de la quantification du cyber risque pour les gestionnaires d’entreprise. La CRQ basée sur le modèle FAIR trouve un écho de plus en plus favorable auprès des partenaires commerciaux, des conseils d’administration, des équipes dirigeantes et des équipes de sécurité à plus grande échelle.

US Securities and Exchange Commission (SEC)

En mars 2022, la SEC a proposé de nouveaux règlements imposant aux entreprises cotées en bourse de rendre public tout « incident de cybersécurité matériel », de publier en détail leurs programmes d’évaluation et de gestion du cyber risque, de continuité de l’activité, de reprise sur incident et plus encore.

Cette proposition a pour but de donner aux actionnaires davantage de visibilité sur l’impact potentiel des événements de cybersécurité sur leurs investissements. Si elle venait à être votée, les entreprises devront trouver une méthode rationnelle et fiable pour exprimer leur stratégie de sécurité en termes financiers. Si la proposition ne mentionne pas explicitement la CRQ, les entreprises auront bien du mal à satisfaire aux nouvelles exigences sans cette dernière.

Institut der Wirtschaftsprüfer (IDW)

La norme PS 340 de l’IDW est aujourd’hui une norme indispensable, qui régit les processus obligatoires d’identification et de gestion des risques pour les auditeurs individuels et les cabinets d’audit du secteur public en Allemagne. Cette norme a été actualisée en 2021 pour inclure des exigences imposant aux organisations de décrire et de mesurer leurs risques en termes quantitatifs, tout en étant capables de communiquer ces résultats en termes financiers aux instances décisionnaires, aux partenaires extérieurs et au conseil d’administration.

⦁⦁⦁

À l’heure où les instances réglementaires sont de plus en plus nombreuses à ajouter la CRQ à leurs exigences de conformité, les organisations doivent se préparer aux perturbations qui pourraient découler de ces évolutions. Même si la CRQ ne devient pas obligatoire pour tous les secteurs d’activité, elle permet de prouver aux régulateurs des autres secteurs qu’une entreprise prend la gestion du risque très au sérieux.

Gouvernance de la cybersécurité

La façon dont les entreprises approchent la gestion du risque évolue. Comme dans toute transformation, il faut du temps pour que des résultats concrets apparaissent. Il vous faudra peut-être avoir recours à plusieurs itérations pour rationaliser tout ce processus. Toutefois, ce qui ne fait aucun doute, c’est qu’un programme de gestion du risque efficace ne se gère pas tout seul.

Pour comprendre les risques dans le contexte d’une entreprise donnée, pour les quantifier par rapport aux contrôles choisis et les intégrer à une activité répétable et normalisée, les entreprises ont besoin d’une bonne gouvernance du risque, ou supervision organisationnelle. La gestion des cyber risques et la gouvernance sont des disciplines liées à la prise de décision.

ISO 73:2009 définit le management du risque comme « [faisant] partie intégrante des politiques stratégiques et opérationnelles de l’organisme. Il s’agit de processus par lequel les organisations gèrent de façon méthodique le risque associé à leurs activités. »

Il se concentre sur l’évaluation des risques pertinents et sur la mise en œuvre de réponses adaptées. Avant de se lancer dans des activités de mesure, il convient de se poser les bonnes questions :

• Pourquoi menons-nous cette activité en premier lieu ?
• Quelles activités cette démarche influencera-t-elle ?
• Quelles décisions permettra-t-elle d’informer et de soutenir ?

Des questions complémentaires peuvent également se poser :

• Qui fait quoi, en pratique ?
• Qui est le propriétaire de l’activité ?
• Est-il judicieux pour l’organisation d’externaliser cette activité pour ne pas perdre de vue des affaires plus importantes ?

Face à toutes ces questions, la CRQ est irremplaçable : parmi les principes stratégiques de la norme FAIR, on trouve la notion de pile de gestion des risques. Lorsqu’elle est optimisée, la gestion des risques limite les pertes futures de l’organisation en analysant son rapport appétit/tolérance. Elle requiert de prendre des décisions bien informées, qui s’appuient sur des comparaisons efficaces et ne peuvent être complètes que si les mesures effectuées sont pertinentes et basées sur des modèles précis.

Pour citer une nouvelle fois Douglas Hubbard : « La préciosité d’une mesure réside dans l’association d’un degré élevé d’incertitude à un coût élevé en cas d’erreur. »

En matière de cyber risque, l’objectif est de mesurer le risque aussi précisément que possible, car cette opération informe des décisions stratégiques quant au traitement de ce risque. Le recours à un modèle de mesure formalisé est essentiel pour soutenir l’objectif global de l’entreprise : limiter les pertes futures dans les limites de son appétit et de sa tolérance au risque, de la façon la plus économique qui soit.

‍