En quoi le standard FAIR diffère et complète les standards ISO27000, NIST CSF et EBIOS de l'ANSSI?

Updated: Feb 10

Alors que la cyber sécurité est devenue un sujet transverse à toutes les fonctions de l'entreprise, il est essentiel de pouvoir parler de cyber risques dans les mêmes termes que tous les sujets qui ont un impact sur les revenus et les profits: en termes financiers.




Aujourd'hui, tous les processus de l'entreprise ou presque sont informatisés. Les données collectées, créées et transformées par ces processus sont désormais parmi les actifs qui ont le plus de valeur dans l'entreprise.


Afin de sécuriser leur informatique, les entreprises disposent de cadres et lignes directrices comme ISO 27000, les frameworks CSF du NIST ou Cobit de l'ISACA ou encore EBIOS de l'ANSSI qui les guident pour séquencer les actions de leur programme de gestion des risques et de la sécurité informatique: 


- Définir les objectifs et les responsabilités de chaque fonction dans l'entreprise


- Ecrire les politiques et procédures à respecter


- Mettre en place les contrôles correspondant: par exemple les contrôles d'accès au SI, les mises à jour des systèmes d'exploitation, les antivirus, les pare-feux,  etc. 


- Vérifier en continue l'efficacité de ces contrôles, de ces solutions de sécurité face aux menaces en procédant à des analyses de risques


Pour toutes ces activités, ces normes et frameworks expliquent ce qu'il faut faire, mais pas comment le faire. Un peu comme les lois, ils n'ont pas vocation à être prescriptifs et ne détaillent donc pas comment mettre en œuvre les activités qu'ils préconisent. En particulier quand il s'agit de mesurer, ils proposent le cas échéant une échelle ordinale de maturité du programme mais ne permettent pas de quantifier, d'une manière objective, cohérente et reproductible, l'efficacité d'un contrôle ou la quantité de risque à laquelle une organisation est exposée.


C’est ici que le standard FAIR est utile en les complétant car c'est est un modèle analytique pour quantifier la fréquence et l'impact financier probable d'un sinistre future.


- Que représente le risque cyber en termes financiers pour notre organisation ?


- Quelle partie de mon activité présente le risque cyber le plus importantInvestit-on suffisamment sur les bons contrôles ?


- Entre deux solutions de sécurité, laquelle réduit le plus notre exposition au risque ?


- Le montant de couverture de notre cyber assurance est-il suffisant?De quel montant nos investissements en sécurité ont-ils permis de réduire notre risque


Le standard FAIR est composé :


- D'une taxonomie précise des variables qui composent le risque et des interactions entre ces variables.


- D'une méthode d'analyse mettant en œuvre statistique et probabilité afin d'associer à chacune des variables d'un scénario de risque, des plages de valeurs numériques.


On est ainsi capable d'estimer la fréquence probable et l'impact probable d'un sinistre redouté dans le futur et des montants financiers qui en résulteraient.


Les approches qualitatives laissent se confronter les avis et opinions et n'aident pas vraiment à prioriser les risques rouges, oranges et verts.


Le standard FAIR, lui, permet de quantifier financièrement, de manière objective et reproductible, les risques cyber auxquels une organisation est confrontée.

Address

Wojo - Cœur Défense - Tour A

110 esplanade du Général de Gaulle

92931 Paris La Défense

Contact 

information@c-risk.com 

+33 (0)1 84 207 005

20190429 - C-Risk Logo.png
  • Blanc Twitter Icon
  • Blanc LinkedIn Icône

Propulsé par Station Spatiale