Le cyber risque est un risque métier. Il coûte entre 600 et 1.000 milliards de dollars par an dans le monde -Source Lloyds of London-. Les entreprises dépensent de plus en plus pour des solutions de cybersécurité : entre 5 et 15% de leur budget informatique (soit entre 1.900 et 4.300 dollars par salarié), pour un total mondial de 125 milliards de dollars en 2021.
Toutes les fonctions dans l’entreprise prennent des décisions basées sur des prévisions financières et mesurent leur performance passée grâce à des indicateurs financiers. Paradoxalement, la cyber sécurité n’est pas étudiée d’un point de vue financier. Le cyber risque n’est pas mesuré, ou alors avec des méthodes qualitatives subjectives qui ne permettent pas de hiérarchiser les initiatives de réduction des risques.
Les organisations ne savent pas combien elles ont de risques cyber et l’informatique a du mal à communiquer sur ce sujet avec les fonctions métiers.
Les investissements dans les solutions de sécurité informatique sont décidés sans comprendre dans quelle mesure (financière) cette solution en question va réduire le risque.
Les organisations peinent à démontrer un processus décisionnel cohérent, reproductible et basé sur des indicateurs chiffrés au moment où les organismes de réglementation l’exigent de plus en plus.
Nos solutions de quantification des risques cyber reposent sur le standard FAIR (Factor Analysis of Information Risk) qui est le modèle quantitatif standard de l’industrie pour les risques cyber et opérationnels. FAIR est un standard de l’Open Group, promu par le FAIR Institute qui rassemble plus de 10.000 membres dont 40% des entreprises du Fortune 1000. L’adoption du standard est également recommandée en tant que best practice par NIST, CIS20, Gartner, ISACA et d’autres organisations professionnelles spécialisées et analystes reconnus.
Une analyse FAIR détermine l’exposition au risque d’une organisation pour un scenario clairement défini ou un agrégat de scenarios. Les résultats sont exprimés en termes financiers (€, $, etc.) Notre solution vous fournit une plage de pertes financières probables pour un scenario de risque cyber. Notre modèle est flexible et permet d’estimer le montant moyen de votre exposition aux risques cyber sur une période
de 12 mois ou encore d’estimer la probabilité d’occurrence de différentes pertes financières. Ce niveau de précision est bien plus utile que les cartographies traditionnelles (heatmap) utilisant des couleurs ou des échelles ordinales
Le standard FAIR™ permet d’exploiter des informations incertaines par l’utilisation de plages de données estimées et de niveaux de confiance correspondants. La fréquence des événements de perte, les contrôles et l’ampleur des pertes (impact en termes financiers) sont modélisés et le risque est décomposé en variables qui peuvent être estimées dans des fourchettes (valeurs non discrètes) avec une valeur minimale, maximale et la plus probable.
FAIR permet ensuite d’utiliser les calculs Monte-Carlo pour simuler des milliers de scénarios à partir des valeurs des plages estimées et ainsi produire une distribution des probabilités de pertes potentielles.
Nos solutions sont bâties sur la base de connaissance de C-Risk qui contient les scenarios de risque quantifiables et les jeux de données correspondants. Ces librairies nous permettent de produire des analyses sans prendre trop du temps de vos équipes.
Pour une analyse type, nous procédons d’abord à des entretiens pour comprendre votre chaîne de valeur et identifier vos actifs informatiques critiques. Nous recueillons les métriques et conclusions d’audit (revenus, nombre d’employés, clients, fournisseurs tiers,... ) ainsi que la mesure de la maturité de votre contrôle de sécurité. Nous définissons ensuite les scénarios de risque qui doivent être quantifiés.
C-Risk quantifie l’exposition totale aux cyber risques de l’organisation en agrégeant tous les scénarios, puis les détaille par actif, par BU, par type de menace, par type d’impact (C-I-A).
SOLUTIONS CRQ
Un résumé de votre chaîne de valeur et de votre état actuel
L’objectif de l’analyse des risques
Les scénarios et la projection correspondante de la fréquence et de l’ampleur
Les résultats et l’interprétation de la quantification financière
Ces rapports d’analyse aident à la prise de décisions stratégiques et tactiques en étant défendables et reproductibles car basés sur des métriques. Toutes les parties prenantes comprennent ainsi combien il y a de risque et quels contrôles peuvent le plus efficacement les réduire puis les maintenir aux niveaux de tolérance et d’appétit pour le risque de l’organisation.
Identifier et mesurer avec précision les scénarios de cyber risque en termes financiers afin d’améliorer les décisions d’investissement en matière de sécurité de l’information.
À l’aide de l’analyse des scénarios de risque, choisissez la solution de contrôle de sécurité qui entraîne la plus grande réduction des risques mesurée en termes financiers. (Les résultats pourraient vous surprendre!)
Le cyber risque est un risque métier et toutes les parties prenantes d'une organisation doivent comprendre l’impact financier pour l’organisation dans un langage métier simple et non technique.
Identifier, mesurer et communiquer l’exposition au risque cyber tierce. L'organisation doit donner la priorité aux initiatives de remédiation.
Quels scénarios de cyber risque devraient être transférés à une police d’assurance? Quel niveau de couverture est rentable et quelles clauses d’exclusion sont acceptables.
Démontrer aux régulateurs un processus décisionnel cohérent, défendable et basé sur des métriques pour l’analyse des scénarios de risque et les choix de remédiation.
Pour comprendre comment quantifier facilement votre cyber risque pour améliorer votre gouvernance et votre résilience en matière de cybersécurité pour votre organisation et celle de votre chaîne d’approvisionnement, planifiez un échange de 30' avec l’un de nos experts.
Nos solutions :
