Qu'est-ce que le standard FAIR ?

Factor Analysis of Information Risk (FAIR) est le seul standard international, basé sur un modèle quantitatif, pour la cybersécurité et le risque opérationnel.

  • Fournit un modèle pour comprendre, analyser et quantifier le risque informatique en termes financiers.
  • Contrairement aux cadres d'évaluation des risques qui concentrent leurs résultats sur les tableaux de bord qualitatifs colorés (rouge, orange, vert) ou sur les échelles pondérées numériques
  • Constitue une base pour développer une approche scientifique de la gestion du risque informatique.
Christophe Forêt
Président et co-fondateur de C-Risk
standard FAIR - C-Risk

1 - Un langage commun pour se comprendre

Les bénéfices de FAIR

  • Echanger sur la base d’un langage commun à propos des risques
  • Etudier constamment et appliquer des risques à tout objet ou actif
  • Voir le risque d'entreprise dans sa globalité
  • Challenger et défendre les décisions liées aux risques en utilisant un modèle de risque avancé
  • Comprendre comment le temps et l'argent auront un impact sur votre profil de sécurité
  • Ajouter une dimension financière à votre cadre de gestion des risques (ex. NIST CSF)

2 - Un modèle de gestion des risques évolutif

Les composants du modèle

  • Une taxonomie et une nomenclature type pour les risques informationnels et opérationnels
  • Un cadre pour établir des critères de collecte de données
  • Des échelles de mesure des facteurs de risque
  • S'intègre dans un moteur de calcul pour calculer le risque
  • Un concept de modélisation pour analyser de scénarios complexes de risques