Comment obtenir l’adhésion des équipes dirigeantes concernant la mesure des risques cyber

La mise en œuvre des contrôles de sécurité au sein d’une entreprise peut être guidée par plusieurs référentiels et normes. Pourtant, malgré leur utilité indéniable, les référentiels comme NIST CSF, ISO 27001 ou HITRUST posent une grande difficulté pour les gestionnaires du risque : ils n’ont pas été conçus pour faire l’objet de mesures quantitatives. Il est alors plus compliqué de justifier les investissements dans des outils de contrôle, même s’il a été prouvé qu’ils réduisent le risque.

Christophe Forêt
Président et co-fondateur de C-Risk
mesures risques cyber - C-Risk

Évaluations quantifiées des risques cyber

Ce thème est le point de focalisation de notre série de webinaires en trois parties, organisée par C-Risk avec notre partenaire RiskLens (faisant désormais parti de Safe Security). Axé sur la quantification de l’efficacité des contrôles, le troisième webinaire cherche à comprendre l’influence de cette démarche sur l’amélioration de la prise de décisions relatives au risque.

Un sondage lancé pendant le webinaire auprès des participants a montré que leurs entreprises étaient divisées sur le sujet de la quantification du risque en termes financiers : la moitié d’entre elles a déjà adopté la démarche ou a commencé à la pratiquer. Dans l’autre moitié, on retrouve à nouveau une répartition à 50/50 entre celles qui ne pratiquent pas du tout la quantification, et celles que le sujet intéresse, mais qui ne s’en sont pas encore emparées.

Recueillir l’adhésion des équipes dirigeantes pour la quantification des risques cyber

Obtenir le soutien des dirigeants pour quantifier les risques cyber

Par ailleurs, un autre sondage a révélé que beaucoup d’entreprises manquaient de soutien, notamment de la part des équipes dirigeantes, pour mesurer le risque cyber en termes financiers, ou CRQ (quantification des risques cyber).

Pour surmonter cet obstacle, une option se dégage : travailler main dans la main avec les équipes métier pour identifier une décision stratégique importante et l’utiliser pour introduire l’évaluation quantitative des risques.

« Appliquer la CRQ à des cas d’usage liés à des décisions stratégiques facilite l’implication et le soutien des supérieurs », souligne Tom Callaghan, cofondateur de C-Risk et coprésident du FAIR Institute Paris.

« En travaillant sur cette approche avec les équipes métier, on se familiarise avec les procédures décisionnelles de l’entreprise, on apprend à connaître son fonctionnement, ce qui permet de bénéficier d’un soutien plus fort pour la gouvernance de la sécurité des informations ».