Méthode d’analyse FAIR™️

La méthode d’analyse FAIR™️ : une révolution pour l'analyse du risque cyber ?

Comment la Méthode d’analyse FAIR™️ se différencie-t-elle des autres méthodes d'analyse du risque cyber ? Sur quels préceptes reposent-elles ? Avec quels bénéfices ?

C-RiskC-Risk
Publié le 10 février 2022 (Mise à jour le 14 février 2022)

En 2021, les enjeux de la cybersécurité se sont accrus pour les entreprises. Les cyberattaques se multiplient, portées par des cybercriminels aux moyens toujours plus conséquents. Le risque cyber, qui était au départ un risque technologique, se mue donc en risque opérationnel. Il concerne dorénavant toutes les strates de l'entreprise, DG comprise. Cette situation, relativement nouvelle, pousse les organisations à s’intéresser aux méthodes d’analyse et de gestion du risque cyber. Entre ISO 27005, CIS RAM, COSO Risk Framework, NIST CSF ou EBIOS, difficile de choisir la démarche la plus adaptée à sa structure. Un choix d’autant plus complexe que ces approches s’appuient souvent sur une analyse qualitative du risque. Celle-ci laisse peu de place à la recherche de probabilités d'occurrence du cyberrisque fiables. C’est pour parer à ce manque théorique qu’a été conceptualisée la méthode d’analyse FAIR™ (Factor Analysis of Information Risk™). Explications.

La méthode d’analyse FAIR™ ou comment analyser le risque cyber de façon probabiliste


La méthode d’analyse FAIR™ vient combler un double manque. Le panel des méthodes d’analyse du risque cyber est bien garni. Le NIST cybersecurity framework (CSF), par exemple, est une norme internationale particulièrement utilisée. C’est aussi le cas de la méthode ISO27005.

Ces approches se destinent cependant surtout aux experts de la cybersécurité. Elles ont par ailleurs souvent un caractère non-prescriptif laissant les praticiens décider de la manière de mesurer le risque : le plus souvent sur la base d’une approche qualitative, et donc par nature subjective (cf ISO27005, section 8.3).

Le standard FAIR™ vient compléter ces méthodes en répondant à leurs limites sur la mesure des risques.

Pourquoi une nouvelle méthode d’analyse du risque cyber ?

ISO 27005, NIST CSF, COSO, OCTAVE, … L’ensemble des méthodes d’analyse du risque qui existent sur le marché depuis ces trente dernières années sont qualitatives. Elles se basent donc sur les expériences et « dires d’experts » informatiques pour classifier les risques selon des échelles subjectives. Le risque est ainsi “bas” ou “élevé” et les résultats des analyses le plus souvent présentés selon une cartographie des risques colorielle (heatmaps), qui va du vert au rouge.

Certes, ces méthodes fournissent des bonnes pratiques et des gestes d’hygiène cyber nécessaires. En reposant sur des analyses de risque subjectives, elles ne fournissent cependant pas un socle de discussion commun à toutes les fonctions métiers.

Pour bien choisir sa stratégie de traitement du risque cyber, il faut que tous les services de l'entreprise s'appuient sur un même langage et une compréhension partagée du risque. L’analyse des risques est le pilier de la stratégie de cybersécurité d’une organisation, elle ne peut donc pas être complètement utile si elle reste qualitative.

La méthode d’analyse FAIR vient ainsi proposer un modèle d’analyse du risque objective et quantifiable, qui permet d’estimer le risque de façon mathématique. Ces mesures aboutissent à l’élaboration de scénarios comparables entre eux. C’est cette base qui permet à l’analyste et aux experts de la sécurité de l’information d’envisager des moyens de prévention du risque cyber performants.

Définition et utilité du standard FAIR™

Le standard FAIR™ propose une taxonomie et une méthode d’analyse des risques cyber pour les fonctions métiers. En permettant de quantifier financièrement des scénarios de risques, le framework FAIR permet ainsi de faire le lien entre les experts de la cybersécurité, les responsables métiers et la direction générale. Il est porté par le FAIR ™ Institute, une organisation professionnelle à but non lucratif qui fait la promotion du standard.

Cette approche de l’analyse du risque cyber propose, dans un premier temps, une taxonomie des facteurs distincts qui constituent le risque. Il s’agit d’un recueil de définitions, qui permet d’utiliser certaines notions sans les confondre : risque, menace, danger, actif, contrôle, audit… La Méthode d’analyse FAIR explique comment ces facteurs sont liées entre eux, pour aboutir à des pistes de réflexions utiles pour l'entreprise.

Le standard FAIR™ propose en outre une méthodologie pour décomposer le risque en facteurs distincts qui peuvent être mesurés puis pour utiliser les statistiques et les probabilités afin d’estimer quantitativement le risque. Objectif : permettre d’analyser des risques complexes, identifier les données nécessaires à la quantification et comprendre les interdépendances entre facteurs constitutifs du risque.

On peut ainsi présenter aux décideurs des prévisions de pertes futures en euros, livres, dollars, etc. sur la base de scénarios logiques, simples à expliquer, répétables et défendables.

À quelles questions répond cette méthode d’analyse du risque cyber ?

La Méthode d’analyse FAIR est déjà utilisée par 45% des entreprises du Fortune 1000. Elle fait l’objet de cours universitaires dans plus de 20 établissements. Toutes ces organisations font confiance à cette approche, qui permet au management de prendre des décisions de cybersécurité éclairées. Le standard FAIR aide ainsi à répondre aux questions suivantes :

  • Combien de fois un sinistre pourrait se produire sur un intervalle de temps donné ?
  • Combien coûtera ce sinistre ?
  • Quels sont les cyberrisques principaux ?
  • Sur quels actifs portent-ils ?
  • Quels investissements permettraient de réduire ces risques ? De combien ?
  • Entre deux solutions de mise en œuvre d’un contrôle, laquelle serait la plus efficace pour réduire le risque ?
  • Quels risques nécessitent le recours à une assurance et pour quel montant de couverture?
  • Quelle police d’assurance est optimale en fonction des risques identifiés ?

Par extension, la Méthode d’analyse FAIR permet de penser efficacement son budget cybersécurité. Elle aide aussi à choisir la solution de réduction des risques qui apportera le meilleur retour sur investissement. C’est en outre une approche qui aide à la conformité réglementaire.

Bénéfices de la quantification du risque cyber avec le standard FAIR™

Comment fonctionne le framework FAIR ?


La Méthode d’analyse FAIR suit la méthode précisée dans le schéma ci-dessous. Elle s’appuie notamment sur un modèle “fréquence x magnitude”, utilisable dans toutes les situations et exportable à tous les métiers.

Ce modèle donne des résultats en dollars, euros, livres, …. Ces résultats sont utilisables par les différents départements de l’organisation, ainsi que par le conseil d'administration et la direction générale.

Si, par exemple, une entreprise estime qu’un sinistre pourrait survenir une fois tous les 10 ans, et qu’il implique une perte de 20 millions de dollars, alors le calcul est le suivant :

Une fréquence de 1/10 ans x 20 millions de dollars de perte = 2 millions de dollars par an.

Ce modèle permet d’envisager deux modes de réduction du risque :

  • réduire la fréquence, c’est-à-dire le nombre de fois où des événements néfastes se produisent ;
  • réduire le montant des pertes financières qui en résulteraient.

La taxonomie sur laquelle repose le standard FAIR est la suivante.

Taxonomie du risque selon la FAIR Analysis

Le risque selon la Méthode d’analyse FAIR

FAIR pose le risque comme un événement incertain dont il faut mesurer la probabilité et les conséquences. Le standard FAIR™ n’est pas une méthode prédictive, mais probabiliste. Le risque se définit dès lors comme la probabilité d’une perte liée à un actif. C’est “la fréquence probable et la magnitude probable d’une perte future”.

Le risque se décompose ensuite en facteurs constitutifs de la fréquence probable et de la perte probable :

  • fréquence des événements qui représentent une menace ;
  • fréquence des contacts avec la menace ;
  • probabilité d’action de l’agent de menace;
  • vulnérabilité ;
  • capacité de la menace ;
  • fréquence des événements de perte ;
  • magnitude - ou “ampleur” - de la perte primaire ;
  • fréquence des événements de pertes secondaires
  • magnitude - ou “ampleur” - des pertes secondaires ;

Les facteurs impactant les pertes

Ce sont les attributs ou propriétés d’un actif, d’une menace, d’une organisation ou encore de l’environnement externe, qui vont affecter l’ampleur de la perte pour la partie prenante d’un sinistre. Ces facteurs peuvent impacter les pertes primaires ou secondaire dans l’une et ou l’autre de ses quatre catégories ; l’actif et la menace étant considérés comme des facteurs de pertes primaires et les facteurs organisationnels et externes étant considérés comme des facteurs de pertes secondaires.

Les facteurs de pertes de l’actif dans le standard FAIR™

Les variables des pertes d’un actif incluent la valeur et/ou les obligations (“liability”) qui y sont attachées (informations personnelles qui doivent être protégées dans le cadre des lois sur la protection des données personnelles par exemples)

La valeur et/ou les obligations qui caractérisent un actif jouent un rôle très important dans la nature et l’ampleur des pertes. On peut apprécier la valeur d’un actif selon les caractéristiques suivantes :

  • Criticité – caractéristiques liées à la perte de productivité pour l’organisation avec l’incapacité de produire ses biens et ses services;
  • Coûts : la valeur intrinsèque de l’actif (coût de son remplacement ou de sa réparation);
  • Sensibilité : dommages qui résulteraient de la publication non intentionnelle

Les facteurs de perte des menaces dans le standard FAIR™

Les facteurs de pertes induit par les menaces sont son action, sa compétence, le fait qu’elle soit interne ou externe et l’usage qui est fait de la compromission par l’agent de menace.

Ainsi les agents de menace peuvent prendre les actions suivantes sur un actif :

Impact sur la confidentialité

  • Accès : accès non autorisé à des données mais sans autre action sur les données ;
  • Abus : utilisation non autorisé de l’actif tel que usurpation d’identité, utilisation détournée de serveurs et autres ressources informatiques, etc.
  • Divulgation : partage illicite de données sensibles

Impact sur l’intégrité

  • Modification : des informations ou d’un processus de traitement des informations qui les rendent inexactes, pas fiable ou pas dignes de confiance.

Impact sur la disponibilité

  • L’agent de menace empêche ou refuse l’accès pourtant légitime et autorisé à un actif (par exemple suppression d’information, déconnection de systèmes, rancongiciels, …)

L’effet de ces menaces varie selon les caractéristiques des actifs. Si l’actif “données sensibles” est divulgué, par exemple, cela n’aura pas nécessairement d’effet sur la productivité. C’est la responsabilité de l’entreprise en termes de conformité légale qui sera en revanche affectée. C’est donc la combinaison entre les caractéristiques de l’actif et le type de menace qui détermine la nature et le degré de la perte financière : primaire ou secondaire.

Schéma de définition du risque selon la Méthode d’analyse FAIR™️

Intérêts et limites de la Méthode d’analyse FAIR


Si C-Risk mobilise une démarche comme le standard FAIR™, c’est que la quantification des cyberrisques en termes financiers optimise réellement la gouvernance de la sécurité des systèmes d’information. Les organisations ou associations professionnelles tels que le NIST, le SANS Institute, la méthode OCTAVE de Carnegie Mellon SEI, ISACA, ou encore COSO, référencent désormais cette approche en complément de leurs bases afin de quantifier les risques.

Le couple fréquence/magnitude permet d’obtenir un résultat logique alors que les échelles nominales utilisées pour classer les risques ne permettent pas de les comparer, ni d’estimer une perte future.

Comme déjà indiqué, la méthode d’analyse FAIR est une démarche probabiliste, elle ne permet pas de faire des prédictions, pas plus qu’aucune autre méthode. Elle ne permet pas non plus d’être exhaustive mais permet de se focaliser sur les actifs les plus critiques au fonctionnement de l’organisation et d’envisager les scénarios les plus probables plutôt que de tenter d’imaginer tous les possibles comme certaines méthodes pousseraient à le faire.

FAQ

Dans le standard FAIR™, le risque se définit comme la « fréquence probable et l'ampleur probable des pertes futures ».

Une analyse FAIR™ se découpe en 4 étapes : - identifier les composants des scénarios ; - évaluer la fréquence des événements de perte ; - évaluer l'amplitude de la perte probable ; - calculer le risque.

La Méthode d’analyse FAIR™️ ne prétend pas faire de prédiction, mais offre la meilleure estimation possible des pertes potentielles dues au risque cyber selon les données disponibles.