La mise en œuvre des contrôles de sécurité au sein d’une entreprise peut être guidée par plusieurs référentiels et normes. Pourtant, malgré leur utilité indéniable, les référentiels comme NIST CSF, ISO 27001 ou HITRUST posent une grande difficulté pour les gestionnaires du risque : ils n’ont pas été conçus pour faire l’objet de mesures quantitatives. Il est alors plus compliqué de justifier les investissements dans des outils de contrôle, même s’il a été prouvé qu’ils réduisent le risque.
Ce thème est le point de focalisation de notre série de webinaires en trois parties, organisée par C-Risk avec notre partenaire RiskLens. Axé sur la quantification de l’efficacité des contrôles, le troisième webinaire cherche à comprendre l’influence de cette démarche sur l’amélioration de la prise de décisions relatives au risque.
Un sondage lancé pendant le webinaire auprès des participants a montré que leurs entreprises étaient divisées sur le sujet de la quantification du risque en termes financiers : la moitié d’entre elles a déjà adopté la démarche ou a commencé à la pratiquer. Dans l’autre moitié, on retrouve à nouveau une répartition à 50/50 entre celles qui ne pratiquent pas du tout la quantification, et celles que le sujet intéresse, mais qui ne s’en sont pas encore emparées.
Recueillir l’adhésion des équipes dirigeantes pour la quantification des risques cyber
Par ailleurs, un autre sondage a révélé que beaucoup d’entreprises manquaient de soutien, notamment de la part des équipes dirigeantes, pour mesurer le risque cyber en termes financiers, ou CRQ (quantification des risques cyber).
Pour surmonter cet obstacle, une option se dégage : travailler main dans la main avec les équipes métier pour identifier une décision stratégique importante et l’utiliser pour introduire l’évaluation quantitative des risques.
« Appliquer la CRQ à des cas d’usage liés à des décisions stratégiques facilite l’implication et le soutien des supérieurs », souligne Tom Callaghan, cofondateur de C-Risk et coprésident du FAIR Institute Paris.
« En travaillant sur cette approche avec les équipes métier, on se familiarise avec les procédures décisionnelles de l’entreprise, on apprend à connaître son fonctionnement, ce qui permet de bénéficier d’un soutien plus fort pour la gouvernance de la sécurité des informations ».
Le webinaire mentionne d’autres bonnes pratiques :
Jacqueline Lebo, consultante risque senior chez RiskLens LLC, conseille d’avoir recours à des techniques d’évaluation rapide des risques pour identifier les informations dont l’entreprise doit se préoccuper le plus, et cartographier les risques à partir de ces données.
« Si l’on parle des ressources stratégiques, on doit privilégier la disponibilité et la sécurité : on n’a pas le droit de risquer une fuite d’informations confidentielles », insiste-t-elle.
Choisir ses mécanismes de contrôle pour réduire le risque efficacement.
Jacqueline a montré comment, en comprenant le risque en termes financiers, ce groupe a été en mesure de démontrer qu’en choisissant un mécanisme de contrôle plutôt qu’un autre, le risque serait diminué de 2 $ pour chaque dollar investi.
Pour mieux identifier les contrôles les plus efficaces, Zack Sumney, consultant senior risque chez RiskLens, conseille aux entreprises de développer un portefeuille de menaces courantes auxquelles les actifs sont exposés :
« Nous avons besoin d’un point de départ qui nous permette de définir les mécanismes de réduction des risques afin de déterminer l’efficacité des contrôles sur différents sites ».
Les gestionnaires du risque peuvent alors s’appuyer sur ces informations pour élaborer un scénario de retour sur investissement basé sur le coût ou l’efficacité afin de choisir les outils qui permettent de réduire le risque au maximum.
Vous pouvez revoir ce webinaire, de même que le premier et le deuxième de la série. Pour plus d’informations sur la CRQ, n’hésitez pas à contacter C-Risk.
liés à la cybersécurité et à la quantification du risque cybernétique (CRQ)
