Les RSSI et les professionnels du risque ont souvent du mal à expliciter les besoins liés à leur budget infosec auprès du conseil d’administration. La quantification des risques cyber fournit des mesures orientées données qui permettent de remporter l’adhésion du conseil d’administration vis-à-vis de la stratégie de cybersécurité et d’affecter les ressources efficacement.
Ces dernières années, la sensibilisation aux risques cyber a gagné du terrain au sein des conseils d’administration. Dans une enquête publiée en 2023 dans le Manuel du directeur pour la supervision du cyber risque du NACD, 83 % des membres de conseils d’administration ont indiqué mieux comprendre le cyber risque que trois ans auparavant. Voilà une bonne nouvelle pour les RSSI et les responsables du risque. La quantification des risques cyber soutient les décisions métiers en présentant des données objectives et mesurables, qui peuvent être utilisées pour justifier un budget infosec résilient.
Étude de cas : le RSSI d’une grande entreprise de produits de grande consommation devait justifier un budget de sécurité de l’information auprès du conseil d’administration et optimiser les contrôles de sécurité.
Il a fait appel à C-Risk pour développer et gérer un programme de quantification des risques cyber (CRQ) capable de fournir des recommandations régulières basées sur des données. defend the infosec budget to the board and track the performance of controls.
Il a fait appel à C-Risk pour développer et gérer un programme de quantification des risques cyber (CRQ) capable de fournir des recommandations régulières basées sur des données. L’objectif ?
Justifier le budget infosec auprès du conseil d’administration et suivre de plus près les performances des contrôles. Nos analystes ont commencé par identifier les ressources numériques critiques de l’entreprise, notamment ses actifs de propriété intellectuelle et les données sensibles des consommateurs issues des activités d’e-commerce. Ils ont ensuite procédé au cadrage, à la quantification et à l’analyse des principaux risques cyber. Les scénarios liés à ces risques s’appuient sur des données sectorielles et internes disponibles à ce moment, ainsi que sur la bibliothèque C-Risk de scénarios de risque quantifiables.
L’analyse CRQ a joué un rôle clé dans l’évaluation des contrôles qui a suivi. Nous avons évalué plusieurs familles de contrôles afin d’identifier les dispositifs les plus à même de réduire l’impact financier des cyberincidents les plus fréquents et les plus coûteux. Nous avons également identifié les contrôles stratégiques, comme la gestion des accès privilégiés, les pratiques de chiffrement des données et les projets de sensibilisation aux risques.
Les résultats de cette analyse initiale approfondie ont fourni au RSSI les mesures requises pour présenter un dossier convaincant au conseil d’administration afin de relever le budget infosec. Des évaluations CRQ complémentaires ont contribué à harmoniser certains projets de cybersécurité comme l’assurance cyber risques avec les objectifs de l’entreprise.
La CRQ définit le panorama des risques de votre entreprise en identifiant et en quantifiant les risques les plus fréquents et les plus coûteux qui pèsent sur vos ressources numériques critiques. Ainsi, vous pouvez diriger vos dépenses vers les contrôles et les outils qui réduiront le plus efficacement l’impact financier des cyberincidents dans votre situation.
Les résultats quantifiés d’une analyse CRQ peuvent être utilisés pour mener une évaluation des fonctions de contrôle. Obtenez des informations sur les contrôles les plus efficaces pour réduire le risque global, améliorer la conformité et développer votre résilience.
Réalisez une analyse coûts/bénéfices des différentes possibilités de déploiements de contrôles identifiées au moment de la phase d’évaluation des fonctions. Vous pourrez ainsi déterminer les contrôles à développer en priorité en fonction de l’impact financier d’un événement de perte et du coût d’implémentation du dispositif de contrôle.
La CRQ vous donne toutes les cartes pour comparer, mesurer et justifier vos recommandations de budget infosec à l’aide d’informations quantifiées.
Un rapport exécutif de CRQ vous fournit toutes les mesures financières dont vous avez besoin pour justifier votre infosec budget avec le conseil d'administration.
Appuyez-vous sur les évaluations régulières de la CRQ pour suivre les tendances des performances de sécurité et comparez les résultats de vos différentes unités opérationnelles (BU).
Gagnez en visibilité sur les contrôles les moins efficaces, pour une détection précoce des dangers. Suivez et mesurez les principaux risques ayant le plus fort impact sur votre activité.
Identifiez les vecteurs d’attaque les plus probables à l’aide de la CRQ et du référentiel MITRE ATT&CK afin de déployer les meilleurs contrôles au bon endroit.
Démontrez votre gouvernance basée sur le risque et divulguez les cyber incidents importants en temps opportun.
Choisissez une police d’assurance cyber risques alignés sur votre appétence au risque et vos principaux scénarios de risque.
La quantification des risques cyber est une approche du risque cyber et technologique basée sur le risque. La CRQ permet aux équipes responsables de la sécurité de l’information et des systèmes IT d’harmoniser leurs efforts grâce à des analyses approfondies des contrôles. Elle fournit aux RSSI et cadres seniors les mesures financières requises pour produire des rapports exécutifs orientés données destinés au conseil d’administration et prioriser leurs investissements.
Nous vous répondrons avec plaisir.
Le modèle Monte Carlo est une technique mathématique qui vise à analyser les données et à prédire une distribution ou une fourchette de résultats probables. On utilise les simulations Monte Carlo dans le cadre des analyses CRQ basées sur la méthodologie FAIR afin de calculer l’exposition aux pertes et de l’exprimer sous forme de fourchette de valeurs financières.
Le référentiel NIST SP 800- 53 distingue 20 familles de contrôles différents. Chaque catégorie regroupe plusieurs contrôles de sécurité similaires. Citons notamment les contrôles d’accès physiques, la réponse aux incidents, les questions d’audit et de responsabilité, ou encore l’évaluation des risques. Chaque famille regroupe plusieurs contrôles individuels. Au total, le référentiel compte 1 189 contrôles distincts.
L’assurance cyber risques n’est pas la seule solution pour atténuer l’impact financier d’un cyber incident majeur.
Cette question peut faire l’objet d’une analyse spécifique dans le cadre d’une approche CRQ, en l’associant à une évaluation de votre assurance cyber risques. L’évaluation de votre assurance tient compte des résultats de l’analyse de vos principaux risques selon la CRQ, du montant de la rétention et de la franchise de votre police, de la couverture par type de perte et de la couverture totale.
C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nos services incluent CRQaaS, des services de conseil et la formation en CRQ.
