Cyber Risk Quantification : les trois piliers qui feront des RSSI les acteurs clé des décisions stratégiques
Le rapport Global Risks Report 2024 du Forum économique mondial cite la cybercriminalité parmi les principaux risques mondiaux. Un risque qui peut s’avérer très coûteux pour elles, puisque selon IBM, le coût d’une violation de données s’élevait en moyenne à 4,45 millions de dollars par attaque en moyenne en 2023, année pendant laquelle 2 200 attaques par jour ont été recensées dans le monde.
Face à des attaques de plus en plus complexes et sophistiquées, les RSSI disposent d’outils et de méthodes de plus en plus perfectionnés pour protéger leur organisation. Parmi eux-, la Cyber Risk Quantification (CRQ) est un incontournable pour placer la cybersécurité au coeur des enjeux et des opportunités économiques des entreprises, tout en renforçant ses lignes de défense de manière durable.
La CRQ permet notamment d’agir selon trois piliers :
- La compréhension de l’environnement de risque, pour améliorer sa résilience cyber
- La “Financiarisation” du Risque cyber pour justifier et mesurer les actions de sécurité
- La Communication, pour faire adhérer les parties prenantes et se positionner comme un acteur d’aide à la décision.
Ces trois piliers sont liés à des cas d’usage pratiques pour aider les RSSI à mieux influencer les décisions stratégiques et positionner la cybersécurité comme un avantage compétitif.
Optimiser les ressources, justifier les investissements, protéger les actifs critiques… Quelles actions concrètes la Cyber Risk Quantification permet-elle de mener ?
Pilier 1 : Compréhension de l’environnement de risque cyber propre à l’organisation
La compréhension de l’environnement du risque cyber constitue le premier pilier de la CRQ, ce qui entend une analyse complète des menaces auxquelles une organisation est confrontée : le type de menace, la fréquence d’attaque, la posture défensive au regard de ces attaques…Il s’agit donc de comprendre le risque pour mieux le réduire.
La CRQ offre les métriques nécessaires pour comprendre l’environnement dans lequel évolue l’organisation et les aide à prendre les décisions nécessaires à l’allocation des ressources et au choix des solutions de sécurité.
En quantifiant la fréquence des attaques et en la comparant à des références sectorielles, la quantification du risque cyber permet de d’agir au bon niveau sur la posture de l’organisation face aux menaces.
Lorsque les capacités de calculs de CRQ sont sophistiquées, ils permettent d’évaluer finement la résilience des systèmes d’information, en estimant leurs capacités défensives face à des tentatives d’attaque, tout en comprenant l’écosystème externe de menace. En combinant ces points de vue internes et externes, les RSSI sont alors en mesure de comprendre le risque auquel ils font face, sans angle mort.
Citalid a une valeur ajoutée dans ce domaine, comme peut en témoigner l’un de nos clients issus d’une entreprise du secteur pharmaceutique : “Citalid nous aide à comprendre les attaquants intéressés par notre secteur d’activité grâce à des données actualisées de cyber threat intelligence”. En complément de quoi, Citalid réalise des simulations attaque / défense (Redteam) pour identifier précisément les points faibles du SI au regard des types d’attaques susceptibles de les cibler et ainsi prendre les mesures prioritaires pour réduire efficacement le risque.
Pilier 2 : Financiarisation
L’une des principales fonctions de la CRQ est de traduire le risque cyber en chiffres, sous la forme d’indicateurs financiers. Cela permet de mettre en œuvre une stratégie de gestion de risque rationnelle, en prenant en compte le retour sur investissement (ROI) des solutions de sécurité mises en place. Grâce aux métriques financières générées par la quantification du risque cyber, il est possible de cibler les investissements qui ont l’impact le plus élevé en termes de réduction des risques, démontrant ainsi une valeur tangible aux parties prenantes. “La CRQ nous aide à affiner notre stratégie, en nous indiquant quels investissements sont rentables et lesquels devraient être réévaluer”, a déclaré l’un de nos clients, RSSI dans une grande entreprise du luxe. Ainsi, les investissements en termes de cybersécurité peuvent être hiérarchisés afin d’améliorer la résilience de l’organisation face au risque cyber et ils permettent aux RSSI de gagner du temps sur la justification et la preuve qu’ils doivent apporter à leur direction sur le bien-fondé des décisions qu’ils ont prises et des actions mises en place.
Les indicateurs financiers issus de la CRQ sont concrets et actionnables. Les RSSI disposent donc de ressources pour justifier leur budget cyber ou demander des fonds supplémentaires auprès du ComEx. “Nous avons une légitimité accrue lorsque nous discutons du budget ou des priorités de sécurité. Le ComEx comprend que nous basons nos décisions de sécurité sur des données concrètes, et non des suppositions”, souligne le RSSI d’une grande entreprise du luxe, client de Citalid depuis plusieurs années. En montrant comment les investissements réduisent l’exposition financière, il est possible de démontrer que les dépenses de cybersécurité sont un atout plutôt qu’un centre de coûts.
Pilier 3 : Communication
Pour un pilotage efficace du risque cyber, il est nécessaire d’adopter une communication claire avec toutes les parties prenantes internes et externes à la stratégie de cybersécurité : du comité de direction, aux assureurs, clients et fournisseurs.
Dans un premier temps, la CRQ favorise la collaboration entre les unités opérationnelles en les impliquant dans le processus de quantification des risques. La participation de plusieurs départements de l’organisation permet de recueillir des informations essentielles pour mettre en place une évaluation précise des risques au niveau de chaque métier.
Ensuite, les indicateurs financiers issus de la quantification permettent de communiquer clairement sur les risques auprès de publics techniques et non-techniques. La CRQ est notamment un outil efficace pour communiquer sur l’état du risque et les mesures de gestion de ce risque, auprès des équipes de direction, membres du conseil d’administration ou à des partenaires externes. “Grâce aux indicateurs chiffrés délivrés par Citalid, je peux démontrer à notre direction financière que les investissements de mon département peuvent transformer un risque majeur en risque contrôlé. Ce niveau de clarté facilite grandement les décisions budgétaires”, affirme l’un de nos clients, RSSI d’une mutuelle française.
En traduisant le risque cyber en termes d’impact financier, la Cyber Risk Quantification aligne la cybersécurité sur la stratégie générale de gestion des risques de l’organisation et permet un langage commun à toutes les parties prenantes. Cela permet d’intégrer le cyber dans la culture globale des risques.
La quantification du risque cyber transforme la cybersécurité d’un exercice technique à un élément crucial de la stratégie d’une entreprise. En utilisant cette approche pour comprendre l’environnement des risques cyber, pour mieux maîtriser ses investissements en cybersécurité et pour mieux communiquer sur le sujet, les RSSI sont en mesure de devenir les acteurs clés des décisions stratégiques de leur entreprise.
