Explications
Les discussions sur les risques sont toujours difficiles dans un monde où les risques sont souvent mal calculés. C'est encore plus vrai dans l'entreprise alors que, comme l'illustre la définition du mot entrepreneur, le risque est inhérent à la nature de l'entreprise.
En effet, lorsqu'elles proposent leurs services ou leurs produits sur le marché, toutes les organisations chiffrent de manière plus ou moins fiable leur rapport risque / rendement (cf.: Hans Peter Ring, directeur financier d'Airbus, sur la quantification du risque) afin d’évaluer leurs chances de succès. Ne pas prendre de risque signifie peu ou pas de rendement. D’ailleurs, les experts du risque d'entreprise tels que James Lam et d'autres préconisent depuis longtemps l'utilisation d'un ratio ajusté au risque pour mesurer la rentabilité (c'est-à-dire la performance) d'une organisation plutôt que le ROA standard (return on assets / rendement des actifs).
Aujourd’hui, les entreprises sont confrontées à un nouvel ensemble de risques que sont les cyber-risques. Comme Ginny Rometty l'expliquait en 2015, si les données sont la nouvelle ressource naturelle de «l'économie des données », alors « la cybercriminalité, par définition, constitue la plus grande menace pour toutes les professions, tous les secteurs et toutes les entreprises du monde ». En conséquence, les investissements dans la cyber sécurité ne cessent de croître, alimentés par le battage publicitaire des fournisseurs et par une exposition toujours plus importante aux médias. Si certains prétendent qu'avec la maturité grandissante en matière de sécurité, la croissance des investissements finira par ralentir, Gartner et d'autres analystes continuent de faire état d'une croissance rapide des investissements dans les solutions de sécurité en 2018-19 (+ 8,7% sur un an).
Malgré l’augmentation des budgets, les entreprises font constamment face à des cyberattaques (y compris un nombre croissant de succès) et luttent pour trouver et utiliser correctement leurs ressources humaines et financières.
Ces dernières années, les entreprises ont amélioré leur gestion des risques en utilisant des cadres tels que NIST, ISO 27005, EBIOS, etc. Cependant, bien qu’utiles pour guider la mise en place d’un programme de gestion des risques, ces normes demeurent non prescriptives pour la quantification des risques. En conséquence, de nombreuses entreprises cherchent d’abord à se conformer aux meilleures pratiques plutôt qu’à mesurer (c’est-à-dire quantifier) les contrôles informatiques qui correspondent le mieux à leur situation.
Pourtant, selon Gartner, la situation évolue et les analystes conseillent de mettre de nouveau l'accent sur le risque afin de passer de la gestion de la Gouvernance, des Risques et de la Conformité (GRC, qui met l'accent sur la conformité) à la Gestion Intégrée du Risque (IRM, qui replace le risque sous le feu des projecteurs). Parallèlement, de nouvelles réglementations telles que RGPD et CCPA augmentent la pression sur les Responsables de la Sécurité et des Risques pour expliquer, en termes financiers, aux dirigeants de leur entreprise à quelle quantité de risques ils sont exposés et quelle baisse d'exposition aux risques pourra résulter d’investissements supplémentaires dans la cyber sécurité.
Transform how you model, measure, and manage cyber risk.
Don't wait for the inevitable cyber incident. Build a resilient, risk-based cybersecurity program with CRQ.
Que faut-il utiliser pour bien évaluer le risque cyber d'une entreprise ?
C’est précisément ce en quoi consiste la quantification des cyber-risques et la norme désormais bien établie FAIR (Factor Analysis of Information Risk) : aider à prendre des décisions en matière de cyber sécurité en présentant des informations plus objectives et plus défendables permettant de lier les objectifs et plan de gestion des risques. Il s'agit "d'informer les parties prenantes et les partenaires des intentions de l'organisation en matière de prise de risque".
Douglas Hubbard dans son livre «How to Measure anything» et Jack Jones dans son livre «Measuring and Managing Information Risk» nous rappellent qu'une véritable décision est caractérisée par plusieurs propriétés: une alternative entre deux choix minimum; un degré d'incertitude entre ces options et enfin une conséquence négative si la mauvaise option est retenue. Ainsi, pour les décisions les plus importantes dans l'entreprise, les mesures et la quantification existent pour réduire le niveau d'incertitude à un point tel que le décideur se sent capable de faire un choix éclairé. Dans le contexte de la cyber sécurité, il est essentiel qu'une organisation puisse décider, sur la base de la quantification financières des risques cyber, si elle investit suffisamment et sur les bons contrôles en matière de cyber sécurité.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.
