Le standard FAIR

Alors que la cyber sécurité est devenue un sujet transverse à toutes les fonctions de l'entreprise, il est essentiel de pouvoir parler de cyber risques dans les mêmes termes que tous les sujets qui ont un impact sur les revenus et les profits: en termes financiers.

Christophe Forêt

Un article de

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
November 27, 2023
mis à jour le
November 27, 2023
temps
min
standard fair

Présentation du Standard FAIR

Aujourd'hui, tous les processus de l'entreprise ou presque sont informatisés. Les données collectées, créées et transformées par ces processus sont désormais parmi les actifs qui ont le plus de valeur dans l'entreprise.

Afin de sécuriser leur informatique, les entreprises disposent de cadres et lignes directrices comme ISO 27000, les frameworks CSF du NIST ou Cobit de l'ISACA ou encore EBIOS de l'ANSSI qui les guident pour séquencer les actions de leur programme de gestion des risques et de la sécurité informatique :

- Définir les objectifs et les responsabilités de chaque fonction dans l'entreprise

- Ecrire les politiques et procédures à respecter

- Mettre en place les contrôles correspondant: par exemple les contrôles d'accès au SI, les mises à jour des systèmes d'exploitation, les antivirus, les pare-feux,  etc.

- Vérifier en continue l'efficacité de ces contrôles, de ces solutions de sécurité face aux menaces en procédant à des analyses de risques

Pour toutes ces activités, ces normes et frameworks expliquent ce qu'il faut faire, mais pas comment le faire. Un peu comme les lois, ils n'ont pas vocation à être prescriptifs et ne détaillent donc pas comment mettre en œuvre les activités qu'ils préconisent. En particulier quand il s'agit de mesurer, ils proposent le cas échéant une échelle ordinale de maturité du programme mais ne permettent pas de quantifier, d'une manière objective, cohérente et reproductible, l'efficacité d'un contrôle ou la quantité de risque à laquelle une organisation est exposée.

C’est ici que le standard FAIR est utile en les complétant car c'est est un modèle analytique pour quantifier la fréquence et l'impact financier probable d'un sinistre future.

- Que représente le risque cyber en termes financiers pour notre organisation ?

- Quelle partie de mon activité présente le risque cyber le plus importantInvestit-on suffisamment sur les bons contrôles ?

- Entre deux solutions de sécurité, laquelle réduit le plus notre exposition au risque ?

- Le montant de couverture de notre cyber assurance est-il suffisant?De quel montant nos investissements en sécurité ont-ils permis de réduire notre risque

Standard FAIR

Vous souhaitez davantage d'informations sur le strandard FAIR et sa certification ? Contactez-nous !

Contactez nous

Le standard FAIR est composé de :

- D'une taxonomie précise des variables qui composent le risque et des interactions entre ces variables.

- D'une méthode d'analyse mettant en œuvre statistique et probabilité afin d'associer à chacune des variables d'un scénario de risque, des plages de valeurs numériques.

On est ainsi capable d'estimer la fréquence probable et l'impact probable d'un sinistre redouté dans le futur et des montants financiers qui en résulteraient.

Les approches qualitatives laissent se confronter les avis et opinions et n'aident pas vraiment à prioriser les risques rouges, oranges et verts.

Le standard FAIR, lui, permet de quantifier financièrement, de manière objective et reproductible, les risques cyber auxquels une organisation est confrontée.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

En savoir plus

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.

Voir tous les articles
conformité RGPD et cybersécurité

Pas de conformité RGPD sans stratégie de cybersécurité

Être conforme au RGPD et avoir une protection des données efficace est un défi pour toute entreprise. Relevons-le grâce à la quantification des risques.

Christophe Forêt

7/4/2023
iso 27001 crisk

ISO 27001 : un levier pour votre stratégie de cybersécurité ?

Découvrez à travers notre guide comment améliorer la sécurité de vos informations sensibles avec la norme ISO 27001. Définition, fonctionnement et avantages.

Melissa Parsons

17/10/2023
modele var crisk

Modele de Valeur à Risque (VaR) | Explications par C-Risk

Il arrive que les plus mathématiciens des responsables des risques que nous rencontrons se posent la question suivante: Est-ce que FAIR est un modèle de valeur à risque (VaR)?

Christophe Forêt

28/5/2023

C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nos services incluent CRQaaS, des services de conseil et la formation en CRQ.

Nos services
CRQ as a ServiceCRQ Enablement ServicesCRQ Consulting & Advisory Services
Votre rôle
ComexCadres dirigeantsProfessionnels du risque
Cas d'usage
Communiquez avec le conseil d’administration et la directionComprenez l'exposition aux risques tiersFusion & AcquitionOptimisez votre assurance cyber risquesDimensionnez, catégorisez et justifiez votre budget infosecFacilitez la conformité réglementaireChoisissez une stratégie efficace de réduction des risques
Ressources
BlogActualitésVidéos
À propos
A propos de C-riskCarrièrePartenairesC-Risk dans la presse
Formation
Formation CRQ
Contact
Contactez-nous
Langue
Site réalisé par Sales Odyssey
Mentions LégalesPolitique de confidientialités