Home
Webinaire1.3 — Des scénarios à l'appétence au risque du Conseil : la taxonomie L2 qui transforme la gouvernance
Dernier épisode de la série en 3 volets sur : Refonte de la gestion des cyber-risques, de l'ISO 27005 à la salle du Conseil
Ce que Marco Bresciani et Neil MacGowan ont abordé :
- Comment traduire les cyber-scénarios en résultats opérationnels pertinents pour le Conseil
- Comment utiliser une taxonomie de niveau 2 alignée sur l'impact métier et l'appétence au risque
- Comment intégrer le cyber dans la gestion des risques de l'entreprise (ERM) et les décisions d'appétence/tolérance

Ce troisième webinaire d'une série de trois s'est concentré sur la manière de passer des scénarios de cyber-risques et des résultats quantifiés aux discussions au niveau du Conseil, notamment en ce qui concerne l'appétence au risque et le reporting réglementaire. La session a souligné que les conseils d'administration ne se préoccupent pas principalement des « scénarios » cyber, mais des résultats opérationnels et de l'impact que ces derniers pourraient avoir sur l'entreprise.
Sujets clés abordés
- Priorités du Conseil vs cadre technique cyber
- Les conseils d'administration se concentrent sur les impacts métier (par exemple, perte de revenus, atteinte à la réputation, conséquences réglementaires), et non sur les détails techniques des scénarios.
- Preuve de l'impact commercial à partir d'incidents réels
- Exemple dans le commerce de détail (Marks & Spencer, Royaume-Uni) : la question cruciale n'est pas de savoir « ce qui s'est passé », mais « quelle est l'ampleur de l'impact attendu » (impact déclaré : plus de 300 millions de livres sterling et perturbation des bénéfices).
- Exemple dans l'industrie manufacturière (Jaguar Land Rover) : l'accent est mis sur le temps de disponibilité de la production et l'impact sur la chaîne d'approvisionnement (impact déclaré : plus de 5 000 fournisseurs et plus d'un milliard de livres sterling d'impact sur l'économie britannique).
- Exemple dans les services financiers (Medibank, Australie) : un incident lié à des identifiants tiers compromis et à une authentification multifacteur (MFA) faible a conduit à l'exposition de 9,7 millions de dossiers sensibles ; les effets en cascade ont inclus l'exigence par les régulateurs de 250 millions de dollars de fonds propres supplémentaires et des recours collectifs en cours (et point important : aucune couverture d'assurance cyber).
- Fossé structurel entre la sécurité et la direction
- Les mesures de sécurité présentent des risques opérationnels (contrôles, vulnérabilités, alertes SOC).
- La direction prend des décisions en termes financiers et de conséquences (perte de revenus, attrition des clients, impact sur le capital).
- Le problème de la « couche de traduction » empêche une prise de décision pertinente au niveau du conseil d'administration.
- Pourquoi le risque cyber doit être intégré à la gestion des risques d'entreprise (ERM)
- Les conseils d'administration ont une « bande passante décisionnelle » limitée et ne peuvent pas gérer plus de 50 scénarios.
- La concurrence budgétaire nécessite un moyen clair de justifier les priorités.
- L'ERM se concentre sur les conséquences, ce qui en fait le point d'alignement naturel pour le risque cyber.
- Taxonomie de niveau 2 et méthode de la couche de traduction
- Une taxonomie structurée relie Scénarios de risque FAIR → Catégories de niveau 2 → Catégories de risque d'entreprise.
- Catégories de niveau 2 sont axées sur les résultats (impact commercial) et conçues pour rester stables, même face à l'évolution des menaces.
- Les catégories regroupent des chiffres agrégés issus de scénarios de niveau inférieur pour faciliter la visibilité des tendances et le reporting opérationnel.
- Alignement sur l'appétence au risque
- L'appétence au risque sert d'étalon : comparez votre exposition à un niveau d'appétence et de tolérance défini.
- Cette méthode aide le conseil d'administration à prendre des décisions, qu'il s'agisse d'acceptation, d'investissement dans l'atténuation ou de révision des limites d'assurance.
- Analyse des contrôles et étapes suivantes
- Le prochain webinaire (2 juillet) approfondira le FAIR-CAM et l'analyse des contrôles : comment ces derniers influencent la fréquence et l'ampleur des pertes.
Points clés
- Traduisez les scénarios cyber en résultats commerciaux pertinents pour le conseil d'administration (perte de revenus, réputation, conséquences réglementaires) pour faciliter la gouvernance.
- Utilisez une taxonomie de niveau 2 alignée sur l'impact commercial et l'appétence au risque afin que le reporting devienne comparable, exploitable et basé sur des tendances, plutôt qu'une longue liste de scénarios techniques.
- Intégrez le risque cyber dans la gestion des risques de l'entreprise (ERM) et dans les décisions d'appétence/tolérance pour soutenir les choix d'acceptation et d'atténuation avant incident (y compris la révision des limites d'assurance cyber).
> Le replay est disponible : ici
Lorem
Lorem ipsum dolor sit amet, consectetur adipiscing elit.