Piloter son risque cyber : Les Fondamentaux de la Quantification Financière
Lors du lancement de notre série de webinars dédiés à la quantification du risque cyber, les “CRQ Series”, nous vous proposions le premier épisode : « Piloter son risque cyber : les fondamentaux de la quantification financière », animé par Léo Coqueblin, Head of Cyber Risk Strategy.
L’objectif ? Démontrer les apports de la quantification du risque cyber pour répondre aux questions suivantes :
- Comment justifier des décisions d’investissement de sécurité et calculer un retour sur investissement sur la base d’échelles arbitraires ?
- Combien une attaque cyber peut-elle coûter ? Quelle est la probabilité de réussite de cette attaque ?
- De combien réduit-on notre exposition au risque si nous investissons dans cette solution ?
Pour répondre à ces questions, il faut faire un pas dans le monde des mathématiques, des probabilités. Suivez-nous pour une immersion dans l’approche probabiliste des modèles bayésiens et les simulations de Monte Carlo pour comprendre comment se quantifie le risque cyber.
Pourquoi quantifier le risque cyber ?
Le risque cyber, du fait de sa nature malveillante et ses contours flous, est difficilement appréhendable par les entreprises et leurs dirigeants. Malgré cela, les incidents cyber restent classés comme le premier risque business dans le baromètre 2023 des risques Allianz.
La situation est rendue d’autant plus complexe par le fait que l’on manque cruellement de données concernant le risque cyber. Cela s’explique par plusieurs raisons :
- Il y a peu de données historiques, c’est un risque “nouveau” ;
- La compréhension et la modélisation de ce risque restent difficiles ;
- La sensibilité de ces données est un frein à leur partage ;
- La durée de pertinence de ces données est courte.
Certaines organisations ont recours à des analyses de risque afin de mieux comprendre les menaces auxquelles elles sont exposées, mais la prise de décision reste compliquée en raison du manque de volume et de confiance vis à vis des données.
Afin de répondre à cet enjeu et ainsi permettre aux organisations de devenir proactives dans l’élaboration de leur stratégie cyber, une discipline a émergé : la quantification du risque cyber ou Cyber Risk Quantification (CRQ).
Très largement adoptée aux Etats-Unis, la CRQ est en quête de maturité en Europe.
Pour comprendre l’intérêt de la Cyber Risk Quantification, il est intéressant de se pencher sur le Hype CycleTM de Gartner, qui définit cinq usages de la quantification pour les RSSI au sein d’organisations publiques et privées :
- Prioriser le risque cyber
- Communiquer avec les risk managers
- Communiquer avec le management
- Communiquer avec le board
- Aligner le risque cyber sur les autres risques
Ainsi, la quantification du risque cyber sert autant à prendre des décisions concernant le risque cyber qu’à faciliter la communication au sein de l’organisation.
La Cyber Risk Quantification par Citalid
Modéliser le risque cyber et le traduire en indicateurs financiers, c’est ce que propose Citalid. Notre solution de quantification repose sur la méthode FAIR, qui permet de calculer l’exposition financière de l’organisation en croisant la fréquence d’un sinistre et son coût.
La solution Citalid appuie ses modèles de calculs sur une approche bayésienne. Cette approche probabiliste fonctionne avec peu de données d’entrée, les résultats s’améliorent à mesure que les données affluent et elle évolue à mesure que les données changent. La solution Citalid repose donc sur un mécanisme d’apprentissage et de modélisation : l’intelligence artificielle.
Les modèles sont également enrichis de données issues de la cyber threat intelligence (CTI), c’est à dire d’analyse stratégique de l’état de la menace. Ainsi, le risque est contextualisé, en prenant compte l’écosystème dans lequel évolue l’organisation.
La plateforme Citalid agrège donc facteurs internes et externes pour permettre une modélisation plus précise du risque cyber.
Vous avez des questions sur la plateforme Citalid ? Vous souhaitez quantifier votre risque cyber ? Parlons-en !