Si vous le voulez bien, réservons les questions fermées à votre prochaine partie de « Qui est-ce ». Lorsqu’il s’agit d’analyser précisément les risques du cloud computing pour votre entreprise, la clé est de poser les bonnes questions ouvertes, en tenant compte de l’ensemble de vos ressources numériques et des menaces qui pèsent sur vos ressources, sans oublier les vulnérabilités et leur impact sur votre activité. La CRQ basée sur le standard FAIR est un outil précieux pour analyser les scénarios visant à imaginer ce qui pourrait mal se passer dans le domaine du cloud computing. Cette méthode quantitative parle en termes financiers aux décisionnaires des comités exécutifs, et les scénarios de risque qu’elle permet de développer fournissent des informations traduisibles en actions.
Dans cet article, nous verrons comment analyser les scénarios de risque dans le domaine du cloud computing en s’appuyant sur les méthodes de quantification des risques cyber (Cyber Risk Quantification ou CRQ), comment identifier vos ressources numériques et comment justifier les décisions relatives au cloud computing sur la base de points de données exploitables.
D’après les conclusions du rapport Thales 2023 sur les menaces informatiques, les ransomwares et l’erreur humaine sont les principales causes de fuites de données provenant du cloud. Les professionnels de l’informatique et de la sécurité désignent les ressources numériques dans le cloud comme les cibles privilégiées des cyber attaquants. Les applications SaaS et les systèmes de stockage cloud sont les premières cibles citées dans le rapport, suivies de l’infrastructure cloud (IaaS). Les entreprises dépendent aujourd’hui de plus en plus des outils PaaS et SaaS : la conception traditionnelle des risques doit elle aussi évoluer.
Commençons par définir ce qu’est le cloud computing, avec une définition simple, mais utile : il s’agit de « toute méthode permettant de distribuer des services IT par Internet ». Avant d’analyser les scénarios de risques associés à la distribution des services IT cloud, vous devez commencer par définir les ressources numériques à protéger.
En matière de risque de l’information, la méthode Open FAIR définit une ressource comme une donnée, un appareil ou tout autre composant soutenant les activités associées à l’information, auxquels on accède et que l’on peut utiliser, divulguer, modifier, détruire et/ou voler de façon illicite, entraînant par là même une perte. Les données stockées au format numérique appartiennent aussi à cette catégorie. Elles peuvent être structurées ou non : parmi les données non structurées, on retrouve les fichiers multimédia ou contenant beaucoup de texte, comme les supports marketing ou les communications internes. Les données structurées, elles, correspondent aux informations de facturation, aux bases de données, aux listes de produits et aux numéros de série généralement traités par les applications.
Les données non structurées sont des ressources vitales pour les entreprises de toute taille, qui utilisent des plateformes SaaS de partage de fichiers comme SharePoint ou Dropbox pour gérer leurs ressources numériques. Ces bibliothèques de documents renferment souvent des informations sensibles, comme des données de propriété intellectuelle (IP) ou des informations à caractère personnel. Et lorsque ces informations sensibles ne sont pas sécurisées, elles peuvent être compromises.
Ces dernières années, le télétravail s’est démocratisé et les collaborateurs utilisent souvent plusieurs appareils pour se connecter, accéder aux fichiers et communiquer avec leurs collègues et les partenaires extérieurs. Le partage de documents ou l’envoi de liens par e-mail sont des pratiques courantes, tout comme l’utilisation de plusieurs appareils pour accéder aux données de l’entreprise sur des plateformes de type SharePoint. Sur ces plateformes transitent d’importants volumes de données de propriété intellectuelle ou à caractère personnel. Quel rôle jouent ces ressources numériques dans le contexte des opérations, des investissements et des décisions métier de votre organisation ?
Parmi les autres types de ressources numériques, on compte les applications (et leurs composants), qui sont utilisées pour générer directement des revenus, indirectement pour permettre aux collaborateurs de faire leur travail, ou encore dans un environnement de production à fabriquer le produit.
Nous avons parlé des ressources numériques en fournissant quelques exemples ; voyons maintenant comment définir un scénario de risque à partir de vos ressources. Ces scénarios serviront à mesurer et à communiquer le risque. La méthodologie Open FAIR définit le « risque » comme « la fréquence probable et la magnitude probable des pertes futures ». Elle s’appuie sur une vue d’ensemble des ressources numériques incluses dans le périmètre pour esquisser un univers des scénarios de risque probables.
Les questions suivantes vous aideront à appréhender l’univers des risques pour vos services cloud :
Votre entreprise exprime-t-elle des inquiétudes vis-à-vis de vos services de cloud computing existants ? Ou votre entreprise se prépare-t-elle à migrer des services vers le cloud pour la première fois ?
Parmi vos ressources numériques, quelles sont celles qui se trouvent déjà dans le cloud ? Quelles ressources numériques envisagez-vous de migrer vers le cloud ou de construire à l’aide de services cloud ?
Exemples de ressources cloud prises en compte :
Maintenant que nous avons dressé la liste des ressources incluses dans le périmètre, nous pouvons définir les acteurs malveillants et l’impact (ou la perte) probable. En parallèle, il convient de réfléchir aux vecteurs d’attaque et aux contrôles déjà en place. Une fois tous ces éléments définis, nous pourrons délimiter l’univers des risques afin de mesurer et de communiquer sur la gestion de ces ressources numériques dans le cloud. Une façon simple de comprendre un scénario de risque est l’équation suivante :
Voici quelques exemples de scénarios de risque concernant ces ressources :
Une fois les scénarios définis, vous pouvez prendre la bonne décision en vous appuyant sur les résultats mesurables de l’analyse de risque.
Le point de départ ou la première décision à prendre consiste souvent à sensibiliser un groupe de partenaires aux scénarios de risque à haut niveau en utilisant des méthodes qualitatives. On présente généralement les résultats sous forme de carte de chaleur ou à l’aide d’une échelle ordinale, en classant les variables dans des catégories allant de « faible » à « élevé ». Ces méthodes ont toute leur place dans la gestion du risque. Néanmoins, si vous disposez également de données quantitatives de type financières pour les pertes ou d’une estimation du rapport coût/bénéfice associé aux mêmes scénarios de risque, vos données seront plus faciles à défendre.
Avec des données quantitatives, vous pouvez :
- Classer et prioriser les scénarios de risque afin de mieux les atténuer.
- Analyser le rapport coût/bénéfice de la migration vers un système de distribution cloud
- Présenter les améliorations que vous envisagez d’apporter à vos contrôles des services cloud, en tenant compte du retour sur investissement (ROI)
Dans un environnement particulièrement concurrentiel, l’adoption des services cloud est souvent gage d’une plus grande agilité et d’une accélération de la mise sur le marché. Cependant, on a souvent du mal à savoir si le passage au cloud augmente ou réduit l’exposition au cyber risque.
Avec l’approche CRQ, les équipes décisionnaires peuvent mesurer l’impact du passage au cloud en termes financiers, en tenant compte à la fois des bénéfices potentiels et des risques.
Autres cas pratiques possibles : analyser un contrôle spécifique récemment mis en place afin de déterminer s’il permet effectivement de réduire ou de contenir un scénario de risque donné. Le conseil d’administration souhaite peut-être savoir si une police de cyber assurance permet de réduire l’exposition au risque d’un scénario cloud. Le PDG et le directeur financier se demandent peut-être si l’adoption d’une nouvelle politique visant à réduire l’utilisation d’un SaaS de partage de fichiers est une bonne décision pour l’entreprise. Dans ce cas, la CRQ permet d’évaluer le coût d’une fuite de données.
Publié(e) le 31 mai 2023Définissez les ressources à intégrer dans le périmètre. Décrivez ensuite une menace pesant sur cette ressource. Enfin, évaluez l’impact ou la perte qui résulterait de la concrétisation de cette menace.
Par « ressource numérique », on entend toutes les données structurées ou non qui sont stockées au format numérique. Par exemple, les fichiers Word, les fichiers de bases de données, les fichiers multimédia, etc.
Les méthodes de quantification des risques cyber (CRQ) analysent plusieurs facteurs mesurables et s’appuient sur des statistiques et des probabilités pour évaluer le risque en termes quantitatifs (financiers), de sorte à permettre aux décisionnaires de comprendre l’impact financier des événements liés aux risques du cloud.
related to cybersecurity and Cyber Risk Quantification (CRQ)
