CAS d'USAGE

Dimensionnez, catégorisez et justifiez votre budget InfoSec

Les RSSI et les professionnels du risque ont souvent du mal à expliciter les besoins liés à leur budget infosec auprès du conseil d’administration. La quantification des risques cyber fournit des mesures orientées données qui permettent de remporter l’adhésion du conseil d’administration vis-à-vis de la stratégie de cybersécurité et d’affecter les ressources efficacement.

dimension justfication budget infosec
resultats CRQ cyber risques
DIMENSIONNEZ, CATÉGORISEZ ET JUSTIFIEZ VOTRE BUDGET INFOSEC

Produisez des résultats exploitables grâce à la quantification des risques cyber

Ces dernières années, la sensibilisation aux risques cyber a gagné du terrain au sein des conseils d’administration. Dans une enquête publiée en 2023 dans le Manuel du directeur pour la supervision du cyber risque du NACD, 83 % des membres de conseils d’administration ont indiqué mieux comprendre le cyber risque que trois ans auparavant. Voilà une bonne nouvelle pour les RSSI et les responsables du risque. La quantification des risques cyber soutient les décisions métiers en présentant des données objectives et mesurables, qui peuvent être utilisées pour justifier un budget infosec résilient.  

budget infosec CRQ
PERSPECTIVES C-RISK

Remportez l’adhésion du conseil d’administration en proposant un budget infosec orienté données grâce à la quantification des risques cyber

Le CISO a engagé C-Risk pour développer et gérer un programme de quantification des risques cyber (CRQ) qui fournirait des informations régulières basées sur des données nécessaires pour articuler et défendre le budget infosec auprès du conseil d'administration et pour suivre la performance des contrôles.

Étude de cas : Le CISO d'une grande entreprise de produits de consommation a été chargé de justifier un budget de sécurité de l'information auprès du conseil d'administration et d'optimiser les contrôles de sécurité.

Il a fait appel à C-Risk pour développer et gérer un programme de quantification des risques cyber (CRQ) capable de fournir des recommandations régulières basées sur des données. L’objectif ?

Justifier le budget infosec
auprès du conseil d’administration et suivre de plus près les performances des contrôles. Nos analystes ont commencé par identifier les ressources numériques critiques de l’entreprise, notamment ses actifs de propriété intellectuelle et les données sensibles des consommateurs issues des activités d’e-commerce. Ils ont ensuite procédé au cadrage, à la quantification et à l’analyse des principaux risques cyber. Les scénarios liés à ces risques s’appuient sur des données sectorielles et internes disponibles à ce moment, ainsi que sur la bibliothèque C-Risk de scénarios de risque quantifiables.

L’analyse CRQ a joué un rôle clé dans l’évaluation des contrôles qui a suivi. Nous avons évalué plusieurs familles de contrôles afin d’identifier les dispositifs les plus à même de réduire l’impact financier des cyberincidents les plus fréquents et les plus coûteux. Nous avons également identifié les contrôles stratégiques, comme la gestion des accès privilégiés, les pratiques de chiffrement des données et les projets de sensibilisation aux risques.

Les résultats de cette analyse initiale approfondie ont fourni au RSSI les mesures requises pour présenter un dossier convaincant au conseil d’administration afin de relever le budget infosec. Des évaluations CRQ complémentaires ont contribué à harmoniser certains projets de cybersécurité comme l’assurance cyber risques avec les objectifs de l’entreprise.  

infosec budget crq analyse
Prioriser les investissements selon le panorama du risque

La CRQ définit le panorama des risques de votre entreprise en identifiant et en quantifiant les risques les plus fréquents et les plus coûteux qui pèsent sur vos ressources numériques critiques. Ainsi, vous pouvez diriger vos dépenses vers les contrôles et les outils qui réduiront le plus efficacement l’impact financier des cyberincidents dans votre situation.

Évaluation des fonctions de contrôle

Les résultats quantifiés d’une analyse CRQ peuvent être utilisés pour mener une évaluation des fonctions de contrôle. Obtenez des informations sur les contrôles les plus efficaces pour réduire le risque global, améliorer la conformité et développer votre résilience.

Analyse coûts/bénéfices

Réalisez une analyse coûts/bénéfices des différentes possibilités de déploiements de contrôles identifiées au moment de la phase d’évaluation des fonctions. Vous pourrez ainsi déterminer les contrôles à développer en priorité en fonction de l’impact financier d’un événement de perte et du coût d’implémentation du dispositif de contrôle.

Vous cherchez à dimensionner et à justifier votre budget infosec ?
Parlez à un expert C-Risk.

La CRQ vous donne toutes les cartes pour comparer, mesurer et justifier vos recommandations de budget infosec à l’aide d’informations quantifiées.

budget infosec expert
Zoom sur

En quoi la quantification des risques cyber est-elle un facteur de résilience pour votre stratégie infosec ?

Communiquer avec le conseil d’administration

Un rapport exécutif de CRQ vous fournit toutes les mesures financières dont vous avez besoin pour justifier votre infosec budget avec le conseil d'administration.

Tendances et comparatifs entre BU

Appuyez-vous sur les évaluations régulières de la CRQ pour suivre les tendances des performances de sécurité et comparez les résultats de vos différentes unités opérationnelles (BU).

Indicateurs de risque clés

Gagnez en visibilité sur les contrôles les moins efficaces, pour une détection précoce des dangers. Suivez et mesurez les principaux risques ayant le plus fort impact sur votre activité.

Vecteurs d’attaque les plus probables

Identifiez les vecteurs d’attaque les plus probables à l’aide de la CRQ et du référentiel MITRE ATT&CK afin de déployer les meilleurs contrôles au bon endroit.

Conformité réglementaire

Démontrez votre gouvernance basée sur le risque et divulguez les cyber incidents importants en temps opportun.

Optimisation de l’assurance cyber risques

Choisissez une police d’assurance cyber risques alignés sur votre appétence au risque et vos principaux scénarios de risque.

C-Risk

C-Risk donne aux entreprises les moyens de dimensionner et de justifier leur budget infosec grâce à des perspectives orientées données

La quantification des risques cyber est une approche du risque cyber et technologique basée sur le risque. La CRQ permet aux équipes responsables de la sécurité de l’information et des systèmes IT d’harmoniser leurs efforts grâce à des analyses approfondies des contrôles. Elle fournit aux RSSI et cadres seniors les mesures financières requises pour produire des rapports exécutifs orientés données destinés au conseil d’administration et prioriser leurs investissements.

Souhaitez-vous plus d'informations ? 
Contactez-nous.

Nous vous répondrons avec plaisir.

Thank you for taking the time to contact us via our form. Your message has been passed on to our teams, and we'll get back to you as soon as possible.
oops, an error has occurred!
FAQ - DIMENSIONNEZ, CATÉGORISEZ ET JUSTIFIEZ VOTRE BUDGET INFOSEC

Les questions qui nous sont fréquemment posées.

Pouvez-vous donner un exemple d’une technique de modélisation utilisée lors d’une analyse CRQ ?

Le modèle Monte Carlo est une technique mathématique qui vise à analyser les données et à prédire une distribution ou une fourchette de résultats probables. On utilise les simulations Monte Carlo dans le cadre des analyses CRQ basées sur la méthodologie FAIR afin de calculer l’exposition aux pertes et de l’exprimer sous forme de fourchette de valeurs financières.

Que sont les familles de contrôles NIST ?

Le référentiel NIST SP 800- 53 distingue 20 familles de contrôles différents. Chaque catégorie regroupe plusieurs contrôles de sécurité similaires. Citons notamment les contrôles d’accès physiques, la réponse aux incidents, les questions d’audit et de responsabilité, ou encore l’évaluation des risques. Chaque famille regroupe plusieurs contrôles individuels. Au total, le référentiel compte 1 189 contrôles distincts.

L’assurance cyber risques est-elle un moyen efficace de réduire le risque cyber ?

L’assurance cyber risques n’est pas la seule solution pour atténuer l’impact financier d’un cyber incident majeur.

Cette question peut faire l’objet d’une analyse spécifique dans le cadre d’une approche CRQ, en l’associant à une évaluation de votre assurance cyber risques. L’évaluation de votre assurance tient compte des résultats de l’analyse de vos principaux risques selon la CRQ, du montant de la rétention et de la franchise de votre police, de la couverture par type de perte et de la couverture totale.