Bien aligner ses investissements de cybersécurité avec les risques métier

Nombreux sont les RSSI qui se retrouvent dans la formule : « la moitié de l’argent que je dépense en publicité est gaspillée, mais je ne sais pas quelle moitié ». Lorsque leurs investissements dans les outils de cybersécurité ne s’appuient pas sur des données quantifiées, ils ne savent souvent pas où concentrer leurs dépenses pour en tirer le meilleur bénéfice possible.

Pour répondre à ce problème, C-Risk a lancé une série de trois séminaires. Leur objectif ? Partager les meilleures pratiques pour intégrer les performances des outils de sécurité IT à l’évaluation des risques cyber en termes financiers.

Quand les entreprises savent quels sont les outils qui offrent le plus de valeur, elles sont à même de prendre des décisions mieux informées pour réduire leurs risques et minimiser les interruptions ou les pertes de données. Ainsi, elles sont en capacité d’aligner plus étroitement leurs investissements de sécurité avec les actifs métier les plus à risque.

Christophe Forêt

Un article de

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
February 13, 2022
mis à jour le
October 15, 2023
temps
min
investissement cybersécurité - C-Risk

Identification des investissements

Premier invité de cette série de webinaires : Jack Jones. Référence en matière de gestion du risque cyber, Jack Jones a créé le standard FAIR, et occupe actuellement le poste de Chief Risk Scientist chez Risk Lens. « Les entreprises doivent apprendre à mieux identifier les éléments qui méritent qu’on leur consacre du temps et des efforts », souligne-t-il. « Si une entreprise estime qu’elle doit investir dans un outil de chiffrement, d’authentification multifacteur, une solution SIEM ou quoi que ce soit d’autre, il lui incombe de comprendre s’il s’agit d’un bon investissement ou non. »

Les participants au webinaire se sont intéressés au rôle de FAIR (Factor Analysis of Information Risk), standard indépendant pour la quantification et la gestion des risques informatiques. Cette approche suscite l’enthousiasme et a fait germer de nombreuses idées au sein de la communauté de la gestion du risque, selon Tom Callaghan, cofondateur de C-Risk et coprésident du FAIR Institute Paris.

Regardez le webinaire

Rejoignez Tom Callaghan, cofondateur de C-Risk, et Jack Jones, créateur du modèle FAIR et Chief Data Scientist pour RiskLens, pour une discussion sur la manière de prendre en compte les contrôles dans le contexte de la quantification des cyber-risques.

Évaluation des outils de sécurité

Le standard FAIR et son modèle d’analyse des mesures de contrôle, FAIR-CAM, fournissent aux RSSI un référentiel permettant de déterminer la portée des scénarios de risque tout en évaluant les performances des mesures de contrôle utilisées pour atténuer ces risques. Ainsi, les équipes comprennent quels sont les outils qui fonctionnent le mieux pour certains scénarios spécifiques.

Le webinaire propose de suivre une entreprise fictive dans le cadre d’un scénario de risque. L’entreprise possède une application Web qui génère des revenus (et donc de la valeur), mais qui présente de plus en plus de vulnérabilités susceptibles d’être exploitées.

« L’objectif ici consiste à réduire la probabilité d’une interruption de service prolongée et l’impact financier qui en découlerait... FAIR-CAM facilite l’identification des mesures qui auront un effet direct ou indirect sur les pertes engendrées dans le cadre d’un scénario bien défini », explique Tom Callaghan.

Autres sujets abordés dans le webinaire :

  • Réduire le niveau de vulnérabilité des entreprises et améliorer leur capacité de résistance
  • Utiliser les cadres FAIR et FAIR-CAM pour gérer le risque au niveau opérationnel
  • Réduire le « bruit » généré par les alertes constantes et distinguer les vulnérabilités de leur exploitation
  • Prioriser les initiatives de remédiation pour éviter la congestion des systèmes
  • Souligner l’importance de préparer des scénarios de risque très précis afin de mieux informer la prise de décision

Pour en savoir plus sur le modèle, vous pouvez revoir le webinaire de 49 minutes gratuitement en replay. Pour regarder le dernier épisode et pour vous inscrire aux deux prochains webinaires, cliquez sur le bouton ci-dessous

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.