Comment obtenir l’adhésion des équipes dirigeantes concernant la mesure des risques cyber

La mise en œuvre des contrôles de sécurité au sein d’une entreprise peut être guidée par plusieurs référentiels et normes. Pourtant, malgré leur utilité indéniable, les référentiels comme NIST CSF, ISO 27001 ou HITRUST posent une grande difficulté pour les gestionnaires du risque : ils n’ont pas été conçus pour faire l’objet de mesures quantitatives. Il est alors plus compliqué de justifier les investissements dans des outils de contrôle, même s’il a été prouvé qu’ils réduisent le risque.

Christophe Forêt

Un article de

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
April 14, 2023
mis à jour le
October 17, 2023
temps
min
executive support cyber risk

Ce thème est le point de focalisation de notre série de webinaires en trois parties, organisée par C-Risk avec notre partenaire RiskLens. Axé sur la quantification de l’efficacité des contrôles, le troisième webinaire cherche à comprendre l’influence de cette démarche sur l’amélioration de la prise de décisions relatives au risque.

Un sondage lancé pendant le webinaire auprès des participants a montré que leurs entreprises étaient divisées sur le sujet de la quantification du risque en termes financiers : la moitié d’entre elles a déjà adopté la démarche ou a commencé à la pratiquer. Dans l’autre moitié, on retrouve à nouveau une répartition à 50/50 entre celles qui ne pratiquent pas du tout la quantification, et celles que le sujet intéresse, mais qui ne s’en sont pas encore emparées.

Recueillir l’adhésion des équipes dirigeantes pour la quantification des risques cyber

Par ailleurs, un autre sondage a révélé que beaucoup d’entreprises manquaient de soutien, notamment de la part des équipes dirigeantes, pour mesurer le risque cyber en termes financiers, ou CRQ (quantification des risques cyber).

Pour surmonter cet obstacle, une option se dégage : travailler main dans la main avec les équipes métier pour identifier une décision stratégique importante et l’utiliser pour introduire l’évaluation quantitative des risques.

« Appliquer la CRQ à des cas d’usage liés à des décisions stratégiques facilite l’implication et le soutien des supérieurs », souligne Tom Callaghan, cofondateur de C-Risk et coprésident du FAIR Institute Paris.

« En travaillant sur cette approche avec les équipes métier, on se familiarise avec les procédures décisionnelles de l’entreprise, on apprend à connaître son fonctionnement, ce qui permet de bénéficier d’un soutien plus fort pour la gouvernance de la sécurité des informations ».

Voir le webinaire

Vous pouvez revoir ce webinaire, de même que le premier et le deuxième de la série. Pour plus d’informations sur la CRQ, n’hésitez pas à contacter C-Risk.

Le webinaire mentionne d’autres bonnes pratiques :

  • Toujours réfléchir au but d’une évaluation des risques : quelles sont les décisions concernées ?
  • Obtenir autant d’informations que possible sur l’environnement global et les actifs numériques.
  • Définir le champ d’action des scénarios de risque sur lesquels s’appuieront les décisions.

Jacqueline Lebo, consultante risque senior chez RiskLens LLC, conseille d’avoir recours à des techniques d’évaluation rapide des risques pour identifier les informations dont l’entreprise doit se préoccuper le plus, et cartographier les risques à partir de ces données.

« Si l’on parle des ressources stratégiques, on doit privilégier la disponibilité et la sécurité : on n’a pas le droit de risquer une fuite d’informations confidentielles », insiste-t-elle.

Choisir ses mécanismes de contrôle pour réduire le risque efficacement.

Jacqueline a montré comment, en comprenant le risque en termes financiers, ce groupe a été en mesure de démontrer qu’en choisissant un mécanisme de contrôle plutôt qu’un autre, le risque serait diminué de 2 $ pour chaque dollar investi.

Pour mieux identifier les contrôles les plus efficaces, Zack Sumney, consultant senior risque chez RiskLens, conseille aux entreprises de développer un portefeuille de menaces courantes auxquelles les actifs sont exposés :

« Nous avons besoin d’un point de départ qui nous permette de définir les mécanismes de réduction des risques afin de déterminer l’efficacité des contrôles sur différents sites ».

Les gestionnaires du risque peuvent alors s’appuyer sur ces informations pour élaborer un scénario de retour sur investissement basé sur le coût ou l’efficacité afin de choisir les outils qui permettent de réduire le risque au maximum.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.