1.2 - La veille risques cyber comme socle : dix facteurs de données

Épisode 2 de la série en 3 épisodes sur : Gestion des risques cyber, repensée : De l'ISO 27005 au Conseil d'administration

Ce que Christophe Forêt et Neil MacGowan ont abordé :

  • Identifier les 10 facteurs de données clés de la gestion des risques axée sur les données (DDRM) — et ceux qui comptent le plus
  • Tirer parti de vos données existantes pour construire une chaîne de données cohérente et de bout en bout
  • Déterminer quels facteurs sont les plus critiques pour la posture de risque de votre organisation
  • Faire évoluer efficacement votre chaîne de données à mesure que votre programme mûrit

Ce deuxième webinaire de la série en trois parties de C-Risk se concentre sur la manière de construire un programme de gestion des risques axé sur les données en utilisant les données dont vous disposez déjà, en connectant les ensembles de données existants en une chaîne de données de risque cohérente. La session met l'accent sur une prémisse fondamentale : la plupart des programmes de risques cyber peuvent être défendables devant les auditeurs, mais ne sont pas utiles aux conseils d'administration, et l'objectif d'aujourd'hui est l' architecture de données requise pour rendre la quantification des risques significative pour la prise de décision des dirigeants.

Points clés abordés

- Inutile de commencer par de nouvelles données : La plupart des organisations possèdent déjà des données pertinentes (inventaire des actifs, données de vulnérabilité, renseignement sur les menaces, journaux d'incidents, résultats d'audit, évaluations de tiers), mais elles sont stockées en silos et non connectées à un modèle de risque.

- 10 facteurs de données clés existent mais ne sont pas "reliés" : Le webinaire présente 10 facteurs de données et explique où ils se trouvent généralement (par exemple, CMDB, outils d'analyse de la surface d'attaque, cadres GRC/de contrôle, outils de gestion des vulnérabilités, systèmes d'incidents/de billetterie, outils TPRM, questionnaires d'approvisionnement).

- Les facteurs liés aux données se regroupent en cinq catégories conceptuelles : Le webinaire organise les 10 facteurs en :

  • contexte/valeur métier et criticité,
  • surface d'attaque exposée et paysage des menaces,
  • capacité et performance des contrôles défensifs,
  • faiblesses/vulnérabilités et constats,
  • écosystème plus large, y compris le paysage et l'historique des tiers.

- Pourquoi les évaluations repartent de zéro : Le « problème de câblage » est décrit comme principalement organisationnel, et non technique.

Causes principales :

  • incohérentes ou incompatibles unités (comparaison de pommes et d'oranges),
  • fractures organisationnelles (données détenues/gérées de manière isolée),
  • multiples cas d'utilisation reconstruisant la chaîne de données de manière répétée.

- Exemple concret d'impact : Un cas est cité où des données de conformité existaient, mais où le risque commercial réel n'a pas été modélisé, entraînant un impact opérationnel majeur (exemple Jaguar Land Rover), ce qui suggère qu'une meilleure interconnexion des données aurait pu améliorer les décisions concernant la probabilité et l'ampleur.

- Approche privilégiant l'architecture (3 décisions architecturales) :

  • choisir une source faisant autorité par facteur de données (y compris la propriété comme décision « politique »),
  • définir la fréquence de rafraîchissement adaptée à la vitesse à laquelle chaque facteur évolue,
  • garantir une intégration évolutive (préférer les API ; rafraîchissement manuel uniquement en dernier recours avec des propriétaires désignés).

- La plupart des programmes DDRM échouent en raison des choix d'outillage : Un avertissement important est que choisir un outil avant de prendre des décisions architecturales aboutit à une architecture façonnée par l'outil plutôt qu'au modèle cohérent requis.

> Le replay est disponible : ici

1.3 - Des scénarios à l'appétit du Conseil d'administration : la taxonomie L2 qui transforme la gouvernance

Le 18 juin, Neil MacGowan et Marco Bresciani animeront le troisième épisode de la série : Des scénarios à l'appétit du conseil : la taxonomie L2 qui transforme la gouvernance.

Le risque cyber est souvent traité en vase clos, rapporté sous forme de scores de maturité et de cartes thermiques qui ne se traduisent pas dans le langage que le reste de l'entreprise utilise pour le risque.

La quantification du risque cyber (CRQ) fournit des informations exploitables par les décideurs et les dirigeants d'entreprise : l'exposition en termes financiers, les options de traitement comparées en fonction des coûts et des avantages, et des scénarios qui correspondent à l'appétit pour le risque. C'est déjà ainsi qu'ils envisagent tous les autres risques inscrits au registre de l'entreprise.

Ce que vous apprendrez :

  • Comment présenter le risque cyber quantifié aux dirigeants, au conseil d'administration et à la gestion des risques d'entreprise (ERM) sous une forme qu'ils utilisent déjà
  • Comment faire correspondre les scénarios de risque cyber à l'appétit pour le risque de l'entreprise
  • Comment utiliser les résultats de la CRQ pour éclairer les décisions de traitement et d'investissement
  • Comment intégrer les résultats de la CRQ dans les cycles de gouvernance et de reporting existants

Inscription : ici.

Lorem

Lorem ipsum dolor sit amet, consectetur adipiscing elit.

Voir toutes les vidéos