À l’occasion d’un nouveau webinaire, des spécialistes de C-Risk et de RiskLens ont cherché à apporter un double éclairage : comment éviter les pièges courants ? Comment évaluer plus efficacement les contrôles et leurs effets sur le risque cyber ? Cette discussion est la deuxième d’une série de trois webinaires sur la quantification du risque cyber en termes financiers.
Selon Jacqueline Lebo, consultante senior risque chez RiskLens LLC et spécialiste de la cybersécurité et de la confidentialité pour le secteur de la santé, l’évaluation des contrôles de sécurité peut s’avérer une « entreprise titanesque ». Elle n’est en effet pas compatible avec les délais spécifiques imposés, par exemple, dans le cadre d’un audit d’acquisition. Il est donc essentiel de se focaliser sur le principal.
« Soit on vise l’exhaustivité et on cherche à comprendre tous les risques individuellement, soit on établit des priorités. Il est important de s’appuyer sur un référentiel pour comprendre la sécurité d’une entreprise. Certains grands établissements de santé utilisent déjà la Quantification des risques cyber (CRQ) pour informer leur activité de M&A », constate Jacqueline Lebo.
La CRQ mesure le risque en termes financiers. Elle aide ainsi les entreprises à définir et à modéliser des contrôles en les reliant à des scénarios de risque cyber.
« Dans l’exercice de comparaison du potentiel de perte, par rapport à l’indication d’un risque critique élevé/moyen/faible, la composante CRQ vient véritablement éclairer la prise de décision », explique Zack Sumney, consultant senior risque chez RiskLens, spécialiste de la quantification des risques d’entreprise.
Pour Tom Callaghan, cofondateur de C-Risk et coprésident du FAIR Institute Paris, la vue quantifiée des contrôles facilite l’évaluation et la gestion du risque cyber dans le cadre des fusions-acquisitions. Cette vue est précieuse en situation de M&A, en amont de l’acquisition comme en aval. En effet, elle évite de devoir mener un examen inutilement extensif de tout l’environnement des contrôles en se concentrant sur les actifs clés et les scénarios de risque.
Regardez le webinaire
Listen to experts from C-Risk and RiskLens for a panel discussion to discuss how to avoid common pitfalls and more effectively assess controls and their effect on cyber risk without “boiling the ocean.”
Retrouvez gratuitement ce webinaire complet de 51 minutes. Vous y découvrirez conseils et bonnes pratiques sur l’évaluation des contrôles de sécurité dans le cadre de la fusion-acquisition :
- Identifier les actifs qui seront les plus précieux dans un modèle d’exploitation post-acquisition.
- Élaborer des scénarios de risque à partir de ces actifs clés et se concentrer sur l’impact financier.
- Cadrer correctement le périmètre des scénarios pour mieux envisager les pertes potentielles.
- Appréhender la stratégie d’acquisition pour bien comprendre les décisions informées par l’évaluation des risques.
Le webinaire inclut des exemples de scénarios réels issus des secteurs de la santé et du commerce de luxe. Il fournit des conseils précieux sur l’évaluation du risque cyber lors d’une acquisition, notamment :
- Pendant l’audit d’acquisition, évaluez la part de technologie existante et déterminez comment elle s’inscrit dans le tableau général des contrôles de sécurité.
- Pouvez-vous quantifier le risque acquis avec ces technologies existantes ?
- Faut-il le prendre en compte et renégocier les conditions ?
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.
