FAIR™ en pratique : La norme pour quantifier le risque cyber

Les principes fondamentaux de FAIR™

Origines de la méthode

Chaque dirigeant en cybersécurité a fait face à la question en salle de conseil d'administration :

« Alors, à combien de risques sommes-nous réellement exposés ? »

Jack Jones, alors Directeur de la Sécurité des Systèmes d'Information (RSSI) chez Nationwide Insurance, a fait face à ce défi exact au début des années 2000. Frustré par les cartes de chaleur (heat maps) imprécises et les évaluations subjectives, il a commencé à rechercher un meilleur moyen de communiquer le risque cyber et de justifier le budget sécurité.

Le résultat de ses recherches fut la taxonomie et la méthode FAIR (Factor Analysis of Information Risk) en 2001. Plutôt que de s'appuyer sur des suppositions ou des échelles qualitatives, FAIR a été développé pour être un modèle structuré et basé sur les données pour quantifier le risque. En utilisant un langage standardisé pour le risque et des données objectives, FAIR permet de communiquer le risque de cybersécurité en termes commerciaux clairs.

Devenir une norme ouverte

Face au besoin d'une taxonomie de norme ouverte et d'un modèle d'analyse quantitative du risque, The Open Group a formalisé FAIR en 2013 dans le cadre du Open FAIR™ Body of Knowledge. Deux normes clés ont été établies pour fonder l'analyse quantitative du risque : le Risk Taxonomy Standard (O-RT), qui établit des

définitions cohérentes et des relations entre les facteurs de risque clés, et le Risk Analysis Standard (O-RA), qui décrit le processus pour effectuer des évaluations quantitatives du risque en utilisant FAIR.

La philosophie fondamentale de FAIR

Un objectif principal d'une analyse FAIR est d'aider à la prise de décision en réduisant l'incertitude concernant le risque.

La taxonomie FAIR définit le risque comme « la fréquence probable et la magnitude probable de la perte future ». En d'autres termes, FAIR vous aide à comprendre à quelle fréquence un incident surviendra-t-il et quel sera son coût ?

Cette approche diffère des méthodes qualitatives traditionnelles qui s'appuient sur des évaluations subjectives telles que haut, moyen ou faible. Au lieu de cela, le modèle FAIR utilise les données internes et sectorielles pour quantifier le risque financièrement et statistiquement

FAIR permet ainsi aux RSSI de parler le langage du conseil d'administration.

La taxonomie FAIR démystifiée

Le Risk Taxonomy Standard (O-RT) fournit un langage commun pour l'évaluation des risques et illustre les relations entre chacun des facteurs. Ce langage standardisé pour le risque assure la cohérence entre différentes analyses et entre entreprises.

‍

Au cœur de FAIR se trouve un concept simple : diviser le risque en facteurs mesurables.

Disons que votre entreprise s'inquiète des attaques de phishing, FAIR vous aide à modéliser ce risque ainsi :

• Fréquence des événements de menace : À quelle fréquence des emails de phishing sont-ils envoyés à vos employés ?

• Vulnérabilité : Quelle est la probabilité que quelqu'un tombe dans le piège, basée sur la formation et les défenses ?

• Fréquence des événements de perte : À quelle fréquence le phishing réussit-il réellement ?

• Ampleur de la perte : Si c'est le cas, quels sont les dégâts ? Identifiants volés, amendes réglementaires, perte de clients ? Quel est le coût de remédiation ?

Cette approche vous donne quelque chose d'incroyablement puissant : une estimation monétaire du risque tout en réduisant l'incertitude. Elle dépasse les simples classifications "élevé/moyen/faible" inexploitables.
En effet, si tout relève du risque moyen, comment établir des priorités dans ses investissements en sécurité ?

Le processus d'analyse des risques FAIR

La méthodologie FAIR suit un processus structuré en cinq étapes qui est défini dans le Open FAIR™ Risk Analysis Standard (O-RA), assurant des résultats cohérents et reproductibles :

Étape 1 : Identifier le scénario de perte (Délimiter l'analyse)

Étape 2 : Évaluer la fréquence des événements de perte

Étape 3 : Évaluer la magnitude de la perte

Étape 4 : Dériver et articuler le risque

Étape 5 : Modéliser l'effet des contrôles

L'étape initiale mobilise l'essentiel du temps : structurer l'analyse et cerner tous les paramètres du scénario.

Scénarios de risque cyber avec FAIR

Avec FAIR, votre analyse n'est pas plus forte que votre scénario. Donc il est important d'être spécifique dans la description de votre scénario. Un scénario mal formulé comme :

« Les rançongiciels sont une préoccupation majeure pour les réseaux hospitaliers. »

...n'est pas exploitable. Il ne fournit pas assez de spécificité pour identifier les facteurs FAIR qui contribuent au risque.

Pour rendre le risque mesurable, vous devez peindre une image claire et détaillée. Voici une meilleure version :

« Un groupe cybercriminel chiffre les systèmes de paie et de facturation d'un hôpital via un rançongiciel, provoquant un arrêt des systèmes, des retards de versement des salaires, et exige une rançon.»

La seconde version vous donne les facteurs spécifiques à mesurer :

Fréquence des événements de perte : À quelle fréquence les hôpitaux subissent-ils des arrêts suite à une attaque de rançongiciel via un malware de chiffrement ?

Ampleur de la perte : Combien coûte chaque heure d'arrêt ? Quelles sanctions financières risque-t-on en cas de retard de paiement des salaires ?

Traiter l'incertitude et la quantification

En quantifiant l'incertitude en utilisant la méthode FAIR, les professionnels du risque sont capables d'améliorer la précision et la fiabilité de leurs évaluations de risque, améliorant finalement leur capacité à identifier les risques les plus critiques et à prioriser les actions.

« Peu importe à quel point la 'mesure' est floue, c'est encore une mesure si elle vous en dit plus que ce que vous saviez avant. »

How to Measure Anything par Douglas Hubbard

L'incertitude est traitée par FAIR à travers diverses techniques et approches. Elles incluent :

• L'analyse de scénarios

• Les discussions avec des experts du domaine

• La calibration

• L'utilisation de fourchettes (Min, ML, Max) dans un intervalle de confiance à 90%

• La simulation de Monte Carlo
  

Implémenter FAIR dans votre organisation

Commencer avec FAIR

FAIR ne nécessite pas de changement de politique ou une nouvelle stratégie de gestion des risques.

Partez des données existantes dans votre organisation. L'avantage de FAIR est que vous disposez déjà de la plupart des informations nécessaires. L'enjeu consiste à les mettre en perspective.

Beaucoup de RSSI et d'équipes de sécurité tirent parti d'une analyse FAIR unique pour appuyer une décision de sécurité ciblée.
‍

Cas d'usage pour FAIR

Dans l'enquête Gartner Cyber Risk Quantification (CRQ): Adoption and Impacts, 53% des dirigeants IT et Infosec ont listé l'assurance cyber et les rapports de conformité parmi les principaux cas d'usage pour la quantification du risque cyber.

Les cas d'usage supplémentaires sont :

• Améliorer la communication avec le conseil d'administration

• Définir l'enveloppe sécurité optimale

• Évaluations des risques IA

• Gestion des risques tiers

• Fusion et acquisition
  ‍

Technologie et outils

Bien qu'une analyse FAIR puisse être faite avec un stylo et du papier, les organisations peuvent également bénéficier de l'automatisation et de la scalabilité qu'offre une plateforme basée sur FAIR. Les plateformes de gestion quantitative des risques peuvent s'intégrer avec les processus et outils de sécurité existants pour automatiser la collecte de données et réduire l'effort manuel requis pour les évaluations de risque.

Le choix d'une plateforme CRQ devrait toujours s'aligner avec les besoins et ressources de l'entreprise.
‍

Compléter les cadres de gestion des risques cyber

FAIR complète les cadres de gestion des risques existants en fournissant des capacités d'analyse quantitative. Les entreprises maintiennent les processus établis (ISO 27005, NIST CSF, EBIOS RM) pour l'identification des risques et la sélection des contrôles, puis appliquent la méthodologie FAIR pour quantifier le risque en exploitant une grande partie des données collectées lors du processus de gestion des risques.
‍

Avantages clés de FAIR

En utilisant FAIR, les professionnels du risque utilisent des méthodes transparentes, défendables et reproductibles pour quantifier les risques cyber et technologiques. Cela s'aligne étroitement avec les exigences réglementaires évolutives, telles que celles pour NIS2 et DORA.

• Évaluations quantitatives basées sur le risque
  FAIR traduit les risques cyber et opérationnels en termes financiers, soutenant la prise de décision basée sur les données que les autorités de regulation attendent de plus en plus.

• Alignement avec les cadres réglementaires
  Les cadres réglementaires comme NIS2 et DORA appellent à des approches basées sur le risque, l'analyse de scénarios, et le renforcement de la résilience. La méthodologie FAIR offre le cadre structuré et la traçabilité nécessaires pour répondre à ces exigences.

• Amélioration de la collaboration entre les lignes de défense
  FAIR établit un langage commun entre la première ligne de défense et la seconde ligne, facilitant une gouvernance des risques et une priorisation plus efficaces.

• Support de décision
  FAIR permet également une analyse globale du portefeuille de risques, aidant les organisations à comprendre comment les risques individuels se cumulent et interagissent. Cette perspective est cruciale pour la planification stratégique et aide à éviter les sur-investissements dans les risques à faible impact.

• Transparence et auditabilité
  La taxonomie et méthodologie FAIR est une norme ouverte. Elle permet aux organisations de démontrer comment les risques sont identifiés, mesurés et atténués.

En intégrant FAIR dans un processus de gestion des risques, les entreprises renforcent leur posture de risque et construisent la résilience cyber.