FAIR European Summit 2024 : 4 points à retenir de cet événement dédié à la Cyber Risk Quantification
Chaque année, le FAIR Institute organise le Fair European Summit, une journée d’échanges et de conférences pour les professionnels du cyber risk management (CRM) qui utilisent la méthode FAIR. Cette année, l’édition annuelle de cet événement avait lieu le 13 mars à Paris.
Le FAIR Institute est une association à but non lucratif, qui a pour vocation de développer la méthodologie FAIR et son intégration dans le management du risque cyber.
Le modèle FAIR (pour Factor Analysis of Information Risk™) vise à quantifier le risque cyber de manière objective et reproductible. En plus d’une terminologie précise et de la clarification des concepts clés, le modèle propose de décomposer les risques en facteurs mesurables, permettant ainsi l’usage des statistiques et des probabilités pour évaluer la fréquence d’occurrence des risques et les pertes financières potentiellement subies.
Citalid s’appuie sur cette méthodologie au sein de ses modèles de calcul, l’enrichit de données de Cyber Threat Intelligence stratégique et fournit ainsi des analyses de risque dynamiques calculant des métriques, telles que la fréquence de ciblage, la probabilité que les attaques aboutissent et l’impact financier qui en résulte. Ces indicateurs permettent alors une prise de décision éclairée pour le traitement des risques, qu’il s’agisse d’actions préventives comme le déploiement de solutions de sécurité ou de partage des risques avec des partenaires assureurs.
Si la Cyber Risk Quantification est un marché émergent en Europe et demande encore des efforts d’évangélisation, cet événement était l’occasion de réunir une communauté convaincue de la puissance de la CRQ et de mettre en lumière des cas d’usage très avancés de la part de certaines entreprises. Voici les principaux points qui étaient à retenir de cet évènement.
1 : Les métiers doivent être inclus dans la démarche de Cyber Risk Management
Le Cyber Risk Management n’est désormais plus l’apanage des équipes IT. Il apparaît désormais clairement que les équipes métiers sont parties prenantes du CRM :
- Elles sont en mesure de désigner les éléments du système d’information les plus essentiels à l’entreprise pour qu’elle puisse remplir ses missions ;
- Elles sont les plus compétentes pour estimer les impacts sur l’activité de l’entreprise induits par un dysfonctionnement de ces éléments ;
- Elles sont nécessairement impactées par la mise en œuvre de solutions de sécurité comme par la nécessité d’être conformes aux réglementations en vigueur.
Lors de l’événement, plusieurs partages d’expérience ont montré que la gestion des risques cyber devient un élément clé dans la mise en œuvre des projets digitaux de l’entreprise, pour limiter aussi bien la probabilité des attaques que les impacts qui peuvent en résulter.
Cette approche se développe rapidement outre-Atlantique où les entreprises ont désormais l’obligation légale de partager les risques cyber qui pèsent sur elles ainsi que les incidents subis.
Cependant, comme a pu le rappeler Alstom lors de son partage d’expérience sur l’évaluation des contrôles de sécurité pour la mise en conformité ISO 27001, il n’est pas toujours simple d’organiser la collaboration entre les équipes IT et les équipes métiers, dont les préoccupations et les compétences sont très différentes. Le domaine de la Cyber reste très technique et les équipes métiers n’identifient pas aisément les bénéfices de campagnes d’audits ou de projet de mise en œuvre de solutions de sécurité. L’implémentation du modèle FAIR telle que proposée par Citalid, permettant d’évaluer objectivement le niveau de maturité atteint sur des contrôles de sécurité, et d’obtenir la quantification financière des risques cyber contribue à faciliter la communication entre les équipes. Celles-ci peuvent alors partager un langage commun et les équipes métiers qui appréhendent les enjeux liés aux risques cyber contribuent à une prise de décision éclairée pour le traitement de ces risques.
2 : La pédagogie est la clé du Cyber Risk Management
Cette collaboration entre des acteurs variés de l’organisation impose la nécessité que chacun comprenne l’intérêt de mener des audits, de déployer des projets de sécurité, de solliciter des budgets pour le faire… Néanmoins, cela est parfois difficile à comprendre car le sujet est très technique. Les équipes IT ou chargées des risques peuvent par exemple s’appuyer sur la Cyber Risk Quantification pour éduquer les différentes parties prenantes sur l’importance des actions à mettre en place et leur impact business. En effet, les indicateurs financiers issus de la CRQ peuvent permettre à tous de mieux visualiser le risque cyber et ses conséquences, et peut donc s’avérer être un véritable outil pédagogique permettant de faciliter la collaboration.
3 : La transparence changera la donne
L’Union Européenne a adopté le règlement DORA et la directive NIS2, deux textes législatifs qui ont pour objet la cybersécurité des organisations et qui sont en cours de transposition dans le droit national.
La directive NIS 2, qui devrait être transposée dans le droit français, au plus tard pour le deuxième semestre 2024, définit de manière plus précise que la précédente réglementation NIS, l’obligation de notification aux autorités compétentes en cas d’incident de sécurité, l’ANSSI pour la France. On retrouve également une obligation de notification dans le règlement DORA, destiné aux organisations et entreprises du secteur bancaires et financiers, ainsi que les compagnies d’assurance.
Cela va changer l’approche de gestion des risques cyber qu’ont la plupart des entreprises car ces nouvelles mesures appellent à la transparence. Elles devront montrer qu’elles prennent les mesures adéquates pour assurer leur cybersécurité, ce qui pourra affecter dans le cas échéant leur réputation. Il s’agit d’un nouveau levier, et pourquoi pas d’un nouvel argument commercial, que les entreprises pourront utiliser et au sein duquel la Cyber Risk Quantification se révèle très utile.
Le FAIR Institute, dans une démarche similaire à celle de Citalid avec ses clients et partenaires, collabore avec des entreprises américaines pour comparer les estimations de pertes faites avant les incidents et les pertes réelles générées par les attaques. La transparence est un élément important pour permettre le bon déroulement des études, notamment en ce qui concerne l’obtention des données sur lesquelles on s’appuie. Cela permet l’amélioration des modèles utilisés pour obtenir un résultat plus fiable.
4 : Le FAIR Institute étend ses recherches et développe 4 frameworks
Les travaux du FAIR Institute traduisent les grandes préoccupations des professionnels du Cyber Risk Management.
- Materiality Assessment Model (MAM) : aide à déterminer les pertes de l’entreprises (chiffre d’affaires, réputation, biens matériels, amendes…) en cas d’incident de manière plus fiable ;
- Control Analytics Model (CAM) : permet d’évaluer la maturité défensive des organisations, avec la recherche automatique des données ;
- GenAI Risk : permet de prendre en compte les risques liés à l’IA générative au sein des entreprises* ;
- FAIR-TAM : permet de comprendre et de gérer les risques liés aux tiers.
*Comme souvent, l’usage de l’IA générative et les risques qu’elle peut induire, ont suscité débat : certains experts du Cyber Risk Management pensent que ces risques doivent être gérés comme des risques cyber classiques, alors que d’autres pensent que leur nature est différente et mérite une méthodologie et des outils adaptés.
Le Cyber Risk Management, et par extension la Cyber Risk Quantification, ont un avenir prometteur. Selon Jack Jones, créateur de la méthodologie FAIR, “le cyber risk management est à l’ère de la médecine médiévale”. “Nous ne sommes qu’aux prémices de cette pratique”, a-t-il déclaré lors de sa keynote. Les perspectives offertes par la Cyber Risk Quantification sont nombreuses pour les entreprises et les organisations, et elle doit continuer à se développer afin d’être plus performante, mais aussi plus incontournable.
