Définir et communiquer l'appétence au risque cyber

Définir l'appétence au risque cyber

L'appétence au risque représente la quantité et le type de risque cyber qu'une organisation est prête à poursuivre ou à conserver pour atteindre ses objectifs. Elle n'est pas définie par le RSSI ou la fonction sécurité seule, mais par la direction comme une décision d'entreprise.

Fondamentalement, l'appétence répond à une question de gouvernance simple :

« Quel niveau de pertes sommes-nous prêts à tolérer en échange de croissance, d'innovation ou de continuité opérationnelle ? »

Il est important de noter que l'appétence n'est pas figée. Elle peut différer selon les catégories de risque :

• Une organisation peut être réfractaire aux infractions réglementaires.

• Prudente face au risque de réputation.

• Ouverte à certaines expositions financières où le potentiel de gain l'emporte sur le risque de perte.

• Avide de risque d'innovation lorsque l'expérimentation procure un avantage concurrentiel.

Ces distinctions doivent être clairement établies afin que les conseils d'administration sachent où l'entreprise peut se permettre d'innover et de repousser les limites, et où elle doit adopter une approche plus prudente.

Exprimer l'appétence en termes financiers

La façon la plus efficace de définir l'appétence au risque est de l'exprimer en termes financiers. Plutôt que de s'appuyer sur des évaluations qualitatives comme élevé, moyen ou faible, les organisations devraient traduire les incidents cyber en impact monétaire potentiel. Cela permet une comparaison directe avec d'autres initiatives d'entreprise.

Exemple : Un distributeur lançant un nouveau canal de commerce électronique anticipe 10 millions de dollars de nouveaux revenus sur trois ans. À côté de ce potentiel positif se trouve un risque crédible : une violation de données clients pourrait coûter 1 million de dollars en amendes, remédiation et atteinte à la réputation. Accepter cette exposition au risque n'est pas irresponsable ; c'est une décision d'entreprise délibérée pour équilibrer risque et bénéfice.

Les étapes pratiques comprennent :

• Quantifier des scénarios de risque cyber plausibles tels que les ransomware, les violations de données ou les pannes

• Exprimer les pertes potentielles par rapport au chiffre d'affaires ou aux revenus, garantissant la comparabilité avec les seuils de matérialité

• Fixer l'appétence à des niveaux qui soutiennent la stratégie tout en évitant les expositions qui menacent la stabilité financière

Relier l'appétence aux leviers opérationnels

Le cadrage financier doit s'appuyer sur des leviers opérationnels qui rendent l'appétence au risque mesurable et exploitable. Les conseils d'administration et les comités d'audit doivent comprendre quels facteurs augmentent ou diminuent l'exposition, et comment les équipes de sécurité les gèrent.

Exemples de leviers opérationnels :

• Exposition des données : volume de dossiers clients détenus et s'ils sont chiffrés

• Gestion des accès : nombre d'administrateurs ou de tiers disposant d'accès privilégiés

• Mesures de résilience : redondance des systèmes, préparation à la récupération et capacité de réponse aux incidents

En surveillant ces leviers, les organisations peuvent démontrer comment l'appétence est respectée dans la pratique. Les indicateurs clés de risque (KRI) deviennent le pont entre la stratégie au sommet et les opérations sur le terrain.

Mesurer l'appétence par des scenarios

La façon la plus pratique d'intégrer l'appétence au risque cyber dans la gouvernance est de passer par des scénarios. Un scénario prend une initiative réelle et présente à la fois son potentiel positif et négatif, en posant la question : « Ce niveau de perte est-il acceptable compte tenu des bénéfices attendus ? »

• Une entreprise de commerce électronique accepte le risque de perdre jusqu'à 1 million de données personnelles en échange du lancement d'un nouveau site avec 10 millions de dollars de revenus projetés sur un week-end de fêtes.

• Un service d'urgence national, en revanche, peut avoir une tolérance zéro pour les temps d'arrêt. Des pannes de quelques secondes seulement sont inacceptables. Ici, les niveaux de personnel, la redondance technique et la résilience des centres d'appels sont des KRI critiques.

Les scénarios garantissent que l'appétence n'est pas une déclaration vague mais un outil de prise de décision. Ils permettent également à l'appétence de varier selon les unités d'affaires, les initiatives ou les catégories de risque. C'est exactement le défi que souligne le NCSC : l'appétence au risque doit guider des décisions d'entreprise éclairées.

Rendre l'appétence au risque exploitable : la perspective FAIR

Jack Jones, président du FAIR Institute et créateur du modèle FAIR (Factor Analysis of Information Risk), propose une méthode claire pour affiner les déclarations d'appétence au risque et les rendre plus utiles. Dans sa présentation à la RSA Conference sur l'appétence au risque, il a souligné la nécessité de créer une appétence au risque « opérationnelle », qui se traduit directement en scénarios de pertes, seuils et décisions de gouvernance.

Il présente cinq caractéristiques pour des déclarations pertinentes d’appétence au risque, afin qu'elles puissent soutenir les décisions :

• Être réalistes et exploitables

• Apporter de la clarté dans les attentes

• Mieux cibler les efforts de gestion des risques 

• Améliorer la communication avec les parties prenantes

• Réduire les pertes potentielles inacceptables

Selon FAIR, le risque est défini comme la fréquence probable et l'ampleur probable des pertes futures. Sur cette base, un cadre d'appétence utile doit être spécifique, mesurable et lié aux actifs les plus critiques de l'organisation

Des déclarations vagues aux limites exploitables

Selon Jones, de nombreuses déclarations d'appétence au risque échouent parce qu'elles ne sont pas exploitables ou claires sur les seuils. Voici quelques exemples de déclarations d’appétence au risque qui, malgré leur valeur, ne permettent ni de soutenir la prise de décision ni de définir des limites claires. Par exemple :

• « Nous avons une faible appétence pour la perte de données clients. » — signale une intention mais reste ambigu

• « Nous ne voulons pas dépasser 10 millions de dollars de pertes. » — plus clair, mais toujours incomplet sans connaître le type de perte, les actifs en jeu ou la période

Ce qu'il faut, c'est une déclaration d'appétence qui fournit des limites de décision. Par exemple :

« Nous n'accepterons pas plus de 5 % de probabilité de pertes dépassant 5 millions de dollars dues à la divulgation de données personnelles de clients sur toute période de 12 mois. »

Cela établit un seuil mesurable que les dirigeants et les responsables de la sécurité peuvent utiliser pour guider l'allocation des ressources et le traitement des risques.

Appétence basée sur des scénarios

En termes FAIR, l'appétence doit toujours être liée à des scénarios spécifiques de pertes. Cela garantit la clarté et l'alignement entre l'appétence et les risques réels auxquels l'organisation fait face.

Les scénarios pourraient inclure :

• Divulgation de données personnelles de clients

• Panne d'un processus métier critique

• Non-respect des obligations réglementaires

En ancrant l'appétence aux scénarios, les organisations peuvent exprimer différentes appétences pour différents contextes. Par exemple, une entreprise peut accepter une appétence plus élevée pour le risque d'innovation mais une appétence nulle pour l'arrêt prolongé d'un système de traitement des paiements.

Se concentrer sur les actifs les plus précieux

Tous les risques ne se valent pas. L'appétence doit être définie de manière plus rigoureuse pour vos actifs les plus stratégiques. Ce sont les ressources et processus les plus critiques pour la mission, les opérations ou la stabilité financière de votre organisation.

Tout ce qui menace ces actifs essentiels au-delà du seuil défini doit être traité en priorité pour la remédiation. La façon dont une organisation définit et protège ses actifs stratégiques reflète à la fois son appétence au risque et signale sa maturité en matière de risque.

Renforcer l'appétence par la gouvernance

Enfin, l'appétence doit être maintenue par des processus de gouvernance qui garantissent l'alignement dans le temps. Cela comprend :

• Politiques et normes — par exemple, maintenir des inventaires d'actifs, exiger une formation de sensibilisation pour les utilisateurs privilégiés

• Processus et contrôles — évaluer la performance des contrôles et gérer les scénarios dans le seuil de risque

• KRI et KPI — indicateurs mesurables pour détecter quand les conditions dérivent hors de l'appétence et déclencher des actions correctives et montrer des ameliorations

Grâce à ces mécanismes, l'appétence au risque cyber devient plus qu'une déclaration écrite. Elle évolue vers un cadre opérationnel qui définit les limites de prise de décision, guide les investissements et réduit la probabilité de pertes inacceptables.

Appétence, tolérance et capacité

Il est essentiel de faire la distinction entre appétence, tolérance et capacité. L'appétence au risque reflète le niveau de perte que l'entreprise choisit d'accepter. Une appétence au risque est également appelée tolérance au risque. C’est le seuil à partir duquel une organisation accepte le risque. La capacité de risque correspond au maximum absolu qu’une entreprise peut supporter sans mettre en péril sa viabilité.

Une manière parlante d’illustrer la différence entre l’appétence au risque et la capacité consiste à imaginer une personne au bord d’une falaise. Le bord de la falaise symbolise la tolérance maximale : la limite absolue à ne pas franchir sous peine de chute.
L’appétence au risque ne revient pas à vivre constamment au bord, mais à décider de la distance que l’on choisit de garder. Une personne prudente restera à plusieurs pas du bord pour assurer sa sécurité, tandis qu’une autre, équipée d’une corde et d’un harnais solidement fixés, pourra s’en approcher davantage. Dans cette analogie, la corde et le harnais représentent les contrôles, redondances et garde-fous qui offrent la confiance nécessaire pour évoluer plus près de la limite sans la dépasser.

La tolérance fixe la limite ultime de survie, tandis que l’appétence traduit un choix délibéré : celui de la distance que l’entreprise souhaite conserver et des contrôles qu’elle met en place pour saisir les opportunités sans s’exposer au risque de basculer.

Réviser et communiquer l'appétence au risque

L’appétence au risque doit faire l’objet d’une révision régulière. Une réévaluation annuelle constitue le minimum requis. Elle doit également être réexaminée chaque fois que:

• Les objectifs stratégiques changent (par exemple, expansion vers de nouveaux marchés)

• Des initiatives majeures sont lancées (par exemple, fusions, acquisitions, transformation numérique)

• Les conditions financières évoluent (par exemple, les réserves de trésorerie baissent ou augmentent)

• Le paysage des menaces change significativement

Une communication claire est essentielle. Les déclarations d'appétence au risque doivent être définies par la direction et clairement communiquées aux responsables métiers ainsi qu'aux équipes de sécurité et de risque. Ils peuvent ensuite construire des scénarios et surveiller les KRI pour créer des rapports exploitables.

Lorsqu’elle est correctement définie, l’appétence au risque dépasse le cadre théorique pour devenir un véritable mécanisme de gouvernance. Elle aide les conseils d’administration à arbitrer entre croissance et résilience, et permet aux responsables de la sécurité d’aligner leurs actions sur la stratégie de l’entreprise.

Mettre en œuvre l’appétence au risque afin de renforcer la résilience de l’entreprise

L'observation du NCSC selon laquelle la plupart des organisations ne parviennent pas à opérationnaliser leurs déclarations d'appétence au risque pointe vers un défi fondamental : combler le fossé entre les intentions du conseil d'administration et la réalité opérationnelle. Ce fossé se comble lorsque la quantification financière rencontre les appétences au risque basées sur des scénarios.

Le véritable test survient lorsque la prochaine initiative majeure est inscrite à l’agenda du conseil d’administration. Le cadre d’appétence au risque orientera-t-il leur décision ou sera-t-il éclipsé par l’attrait de la croissance ? Tout dépend de la capacité de l’organisation à avoir intégré le réflexe de se poser les bonnes questions : Quelle est la perte potentielle ? S’inscrit-elle dans notre appétence au risque déclarée ? Disposons-nous des contrôles nécessaires pour fonctionner à ce niveau d’exposition ?

Lorsque ces questions deviennent routinières, l'appétence au risque cyber devient le mécanisme par lequel les conseils d'administration équilibrent innovation et résilience. Les équipes de sécurité peuvent aligner leurs efforts sur la stratégie d'entreprise. L’enjeu réside désormais dans la mise en œuvre : faire évoluer l’appétence au risque d’un simple processus de gouvernance vers un véritable avantage concurrentiel.