• anadivac

Répondre au challenge budgétaire du RSSI par une approche basée sur le risque


Les deux vitesses de la pensée (1)


Au regard de la science, en cas de danger, nous ne réfléchissons pas à deux fois et prenons des décisions rapides. Notre instinct dans ce type de situation est d’engager par défaut notre méthode de pensée dite «Système 1» (1), un esprit reptilien d’environ 200 000 ans. 


Une fois la menace passée, nous avons besoin de notre «système 2»(1) de réflexion lente, qui prend plus de temps mais est moins sujet aux erreurs. C'est celui qui nous permet de mettre les choses en perspective et de rechercher des faits concrets pour améliorer notre compréhension d'une situation donnée et donc nos décisions.


Le contexte actuel de COVID-19 exerce une pression énorme sur les budgets de l'entreprise, y compris la sécurité des informations. Les décisions immédiates ont eu pour objectif de protéger les personnels, maintenir les opérations en cours tout en préservant les flux de trésorerie et en réduisant les coûts. 


Il nous faut maintenant aborder le moyen terme et réfléchir aux mesures à prendre pour maintenir le niveau approprié de sécurité informatique tout en optimisant nos budgets 2020/2021.


Les RSSI doivent désormais repenser leurs priorités.

Le confinement a permis de nous mettre en sécurité, mais les environnements informatiques sont devenus plus exposés : l'augmentation du travail à distance combinée à une augmentation des menaces a conduit à une recrudescence des cyber incidents.


Les RSSI doivent désormais repenser leurs priorités : quels projets de sécurité informatiques poursuivre, lesquels accélérer et lesquels reporter ou abandonner en vue de contribuer aux économies dont leur organisation a tant besoin.


La difficulté pour rendre ces arbitrages est de trouver le juste équilibre. Équilibre entre, d’un côté, la tentation de se fier trop à l'intuition et à l'expérience et, de l’autre, de trop réfléchir à toutes les menaces, vulnérabilités et autres aspects d’une stratégie InfoSec.


Les risques cyber impactent toutes les fonctions dans l’organisation.


Pour vous aider à prendre ces décisions, nous pensons que votre organisation doit revoir les risques auxquels elle est la plus exposée.


La sécurité de l'information a une incidence sur l'ensemble de l'entreprise et le RSSI / CRO devrait engager tous les responsables de l'organisation pour convenir des types de cyber-risques opérationnels auxquels elle est exposée et de la façon de les traiter.


Les évaluations traditionnelles des risques utilisant des échelles ordinales pour produire des cartographie (heatmaps) rouges / orange / vertes ne sont pas suffisamment précises pour éclairer les discussions avec les dirigeants d'entreprise. En fait, plutôt que d'aider à la prise de décision, elles peuvent ajouter à la confusion et conduire à une mauvaise compréhension.


Les preuves scientifiques (2) corroborent cela et ISO 27005 (3) documente cette lacune. Ce qu'il faut, c'est une mesure financière défendable et plus objective du cyber-risque.


Vous disposez de suffisamment de données pour quantifier vos risques


L’idée reçue concernant la quantification du cyber-risque est qu’elle nécessite beaucoup de données, d'expertise et de temps. Or, nos organisations en manquent, particulièrement en cette période de crise. 


Cependant, la recherche scientifique (4) démontre qu’il faut moins de données que ce que vous pouvez penser.


Par contre une implication minimale des parties prenantes clés de l’entreprise peut grandement améliorer les évaluations des risques et fournir un degré de précision qui fera toute la différence dans la prise de décision. 


L’approche par les risques

Dotée d'une liste objective des principaux cyber-risques, une équipe de direction peut décider quels scénarios de risque doivent être arrêtés, traités ou transférés, pour ensuite déterminer quels investissements en sécurité du SI sont immédiatement nécessaires et ceux qui peuvent être différés ou annulés.


Pas encore convaincu ? Chez C-Risk, nous pensons pouvoir vous faire changer d'avis en moins de 2 heures, le temps de suivre notre cours de sensibilisation à la quantification des cyber risques que nous vous proposons gratuitement.


Si vous êtes convaincu mais ne savez pas par où commencer, C-Risk se fera un plaisir d'effectuer une analyse de scénario de risque de «travail à distance» et une quantification rapide à l'aide du cadre FAIR, également gratuitement. 



(1) Thinking, Fast and Slow - Daniel Kahneman 2011 (2) Problem Problems with scoring methods and ordinal scales in risk assessment – 2010 D. Hubbard & D. Evans (IBM J. RES. & DEV. VOL. 54 NO. 3 PAPER 2 – May 2010) (3) ISO 27005:2018 Section 8.3 and Annex E.2 (4) Superforecasting – the Art and Science of Prediction by Philip Tetlock and Dan Gardner




Address

——————

Wojo - Cœur Défense - Tour A

110 esplanade du Général de Gaulle

92931 Paris La Défense

Contact 

——————

information@c-risk.com 

+33 (0)1 84 207 005

20190429 - C-Risk Logo.png
  • Blanc Twitter Icon
  • Blanc LinkedIn Icône

Propulsé par Station Spatiale