QUANTIFICATION DU RISQUE CYBER

Solutions de quantification des risques cyber pour améliorer la gestion des risques cyber

meeting2.jpg

Le cyber risque est un risque métier. Il coûte entre 600 et 1.000 milliards de dollars par an dans le monde -Source Lloyds of London-. Les entreprises dépensent de plus en plus pour des solutions de cybersécurité : entre 5 et 15% de leur budget informatique (soit entre 1.900 et 4.300 dollars par salarié), pour un total mondial de 125 milliards de dollars en 2021.

FINANCE

La prise de décisions en entreprise

Toutes les fonctions dans l’entreprise prennent des décisions basées sur des prévisions financières et mesurent leur performance passée grâce à des indicateurs financiers. Paradoxalement, la cyber sécurité n’est pas étudiée d’un point de vue financier. Le cyber risque n’est pas mesuré, ou alors avec des méthodes qualitatives subjectives qui ne permettent pas de hiérarchiser les initiatives de réduction des risques.

Quantification

Les organisations ne savent pas combien elles ont de risques cyber et l’informatique a du mal à communiquer sur ce sujet avec les fonctions métiers.

Investissement

Les investissements dans les solutions de sécurité informatique sont décidés sans comprendre dans quelle mesure (financière) cette solution en question va réduire le risque.

Réglementation

Les organisations peinent à démontrer un processus décisionnel cohérent, reproductible et basé sur des indicateurs chiffrés au moment où les organismes de réglementation l’exigent de plus en plus.

quantification

Quantification du risque cyber avec le standard FAIR™

Nos solutions de quantification des risques cyber reposent sur le standard FAIR (Factor Analysis of Information Risk) qui est le modèle quantitatif standard de l’industrie pour les risques cyber et opérationnels. FAIR est un standard de l’Open Group, promu par le FAIR Institute qui rassemble plus de 10.000 membres dont 40% des entreprises du Fortune 1000. L’adoption du standard est également recommandée en tant que best practice par NIST, CIS20, Gartner, ISACA et d’autres organisations professionnelles spécialisées et analystes reconnus.

Une analyse FAIR détermine l’exposition au risque d’une organisation pour un scenario clairement défini ou un agrégat de scenarios. Les résultats sont exprimés en termes financiers (€, $, etc.) Notre solution vous fournit une plage de pertes financières probables pour un scenario de risque cyber. Notre modèle est flexible et permet d’estimer le montant moyen de votre exposition aux risques cyber sur une période

de 12 mois ou encore d’estimer la probabilité d’occurrence de différentes pertes financières. Ce niveau de précision est bien plus utile que les cartographies traditionnelles (heatmap) utilisant des couleurs ou des échelles ordinales

Le standard FAIR™ permet d’exploiter des informations incertaines par l’utilisation de plages de données estimées et de niveaux de confiance correspondants. La fréquence des événements de perte, les contrôles et l’ampleur des pertes (impact en termes financiers) sont modélisés et le risque est décomposé en variables qui peuvent être estimées dans des fourchettes (valeurs non discrètes) avec une valeur minimale, maximale et la plus probable.

FAIR permet ensuite d’utiliser les calculs Monte-Carlo pour simuler des milliers de scénarios à partir des valeurs des plages estimées et ainsi produire une distribution des probabilités de pertes potentielles.

FAIR™ : un modèle de la valeur à risque (VaR)


schema VaR FR

solution

Les solutions CRQ de C-Risk: la Quantification simplifiée comme outil d’aide à la décision en matière de cyber sécurité

frise EN


Nos solutions sont bâties sur la base de connaissance de C-Risk qui contient les scenarios de risque quantifiables et les jeux de données correspondants. Ces librairies nous permettent de produire des analyses sans prendre trop du temps de vos équipes.

Pour une analyse type, nous procédons d’abord à des entretiens pour comprendre votre chaîne de valeur et identifier vos actifs informatiques critiques. Nous recueillons les métriques et conclusions d’audit (revenus, nombre d’employés, clients, fournisseurs tiers,... ) ainsi que la mesure de la maturité de votre contrôle de sécurité. Nous définissons ensuite les scénarios de risque qui doivent être quantifiés.

C-Risk quantifie l’exposition totale aux cyber risques de l’organisation en agrégeant tous les scénarios, puis les détaille par actif, par BU, par type de menace, par type d’impact (C-I-A).

tableau FR

SOLUTIONS CRQ

Toutes les analyses incluent les livrables suivants :

Toutes les analyses C-Risk sont facturées au forfait, à partir de 5000 euros/scénario.

État des lieux

Un résumé de votre chaîne de valeur et de votre état actuel

Objectif

L’objectif de l’analyse des risques

Étude

Les scénarios et la projection correspondante de la fréquence et de l’ampleur

Résultats

Les résultats et l’interprétation de la quantification financière

Rapport d'évaluation des risques CRQ


Ces rapports d’analyse aident à la prise de décisions stratégiques et tactiques en étant défendables et reproductibles car basés sur des métriques. Toutes les parties prenantes comprennent ainsi combien il y a de risque et quels contrôles peuvent le plus efficacement les réduire puis les maintenir aux niveaux de tolérance et d’appétit pour le risque de l’organisation.

CAS D'USAGE

Les cas d’usage les plus fréquents pour la quantification financière des risques cyber sont :

Dimensionner et allouer plus efficacement votre budget de sécurité de l’information.

Identifier et mesurer avec précision les scénarios de cyber risque en termes financiers afin d’améliorer les décisions d’investissement en matière de sécurité de l’information.

Choisir la solution de réduction des risques avec le meilleur retour sur investissement.

À l’aide de l’analyse des scénarios de risque, choisissez la solution de contrôle de sécurité qui entraîne la plus grande réduction des risques mesurée en termes financiers. (Les résultats pourraient vous surprendre!)

Communiquer le risque en termes financiers à la direction et au conseil d’administration.

Le cyber risque est un risque métier et toutes les parties prenantes d'une organisation doivent comprendre l’impact financier pour l’organisation dans un langage métier simple et non technique.

Comprendre l’exposition cyber-risque posé par les Tiers en termes métier

Identifier, mesurer et communiquer l’exposition au risque cyber tierce. L'organisation doit donner la priorité aux initiatives de remédiation.

Négocier la police d’assurance cyber optimale

Quels scénarios de cyber risque devraient être transférés à une police d’assurance? Quel niveau de couverture est rentable et quelles clauses d’exclusion sont acceptables.

Faciliter la conformité réglementaire des organisations

Démontrer aux régulateurs un processus décisionnel cohérent, défendable et basé sur des métriques pour l’analyse des scénarios de risque et les choix de remédiation.

Christophe sur arriere plan flou sizee.jpeg

Demander conseil à nos experts

Pour comprendre comment quantifier facilement votre cyber risque pour améliorer votre gouvernance et votre résilience en matière de cybersécurité pour votre organisation et celle de votre chaîne d’approvisionnement, planifiez un échange de 30' avec l’un de nos experts.

Planifier un rendez-vous