cyber

Quantification du Risque Cyber (CRQ) : Quelles sont les 6 clés du succès  ?


Benjamin Canu & Juliette Barrat, 2 April 2024

Back to all articles

La quantification du risque cyber (CRQ) nécessite quelques pré-requis.

Vous avez besoin de prendre les bonnes décisions pour garantir la résilience de votre organisation. Vous voulez donc mesurer l’impact financier du risque cyber sur votre entreprise, vous voici donc prêt à vous lancer dans la quantification du risque cyber (CRQ) !

Concrètement, la CRQ permet de :

  • Mieux comprendre les risques encourus par une organisation et s’y préparer ;
  • Mettre en place un langage commun entre les équipes techniques et le reste des parties prenantes de la stratégie de cybersécurité de l’organisation ;
  • Démontrer l’efficacité d’un programme de sécurité et piloter celui-ci ;
  • Accroître votre crédibilité auprès des parties prenantes de haut niveau ;
  • Aligner le risque cyber sur les autres risques rencontrés par l’entreprise.

La quantification du risque cyber est une approche structurée et mathématique qui permet de définir le niveau de risque et d’exposition d’une organisation. Pour ce faire, il existe plusieurs méthodologies, la méthode FAIR étant la plus répandue.

Par où commencer ? Comment intégrer la CRQ dans les pratiques d’une organisation ?  Voici 6 conseils pour amorcer l’usage d’une solution de quantification et estimer de façon fiable votre exposition au risque cyber.

 

1. Opérationnels ou stratégiques : définir les objectifs de la quantification du risque cyber.

 

Pour une utilisation efficace de la CRQ, il est nécessaire de définir ses objectifs et attentes vis à vis de cette méthode. Quels sont les cas d’usages spécifiques et prioritaires auxquels vous avez besoin de répondre ? Ceux-ci peuvent aussi bien être opérationnels que stratégiques. En effet, la quantification du risque cyber permet à la fois de relever des défis liés à la hiérarchisation des risques, qu’au pilotage de ses programmes de cybersécurité, jusqu’à la communication avec les membres du comité de direction.

Elle peut par exemple répondre aux objectifs suivants :

  • Justifier des investissements de cybersécurité
  • Optimiser les dépenses liées à la modernisation de l’infrastructure et des applications existantes
  • Prendre des décisions tactiques pour déterminer le paiement potentiel d’un ransomware et optimiser les primes d’assurance
  • Évaluer des fusions et acquisitions ou des décisions de désinvestissements, ainsi que l’assurance de haut niveau des activités de diligence raisonnable.

Cette démarche de définition des objectifs est fondamentale dans votre parcours de quantification du risque cyber et peut par ailleurs être utile (voire obligatoire) dans le cadre de certaines réglementations (DORA, NIS, SEC…) qui posent un cadre sur la stratégie de gestion des risques.

En définissant les objectifs, vous vous imposez en tant que « conseiller de confiance » auprès de vos collaborateurs mais aussi des métiers et de la direction avec un rôle proactif dans l’amélioration de la résilience de l’organisation et la réduction de l’exposition globale au risque.

 

Quelles sont les parties prenantes lors de la définition des objectifs ?

  • Direction générale
  • DSI et RSSI

 

Les recommandations de Citalid

Nous conseillons de démontrer les possibilités offertes par la CRQ en s’appuyant sur les cas d’usage les plus courants et les plus rentables, tels que la priorisation des investissements de cybersécurité et leur retour sur investissement ou la souscription/renouvellement d’une police d’assurance cyber. Ainsi illustrée, les parties prenantes s’alignent sur les attendus de ce projet de quantification.

 

2. Comprendre les mécaniques de génération de valeur de l’entreprise à un niveau granulaire

 

La quantification du risque cyber, grâce à la génération d’indicateurs financiers, permet de parler le même langage que les dirigeants. C’est donc un appui supplémentaire pour démontrer la compréhension du modèle économique de l’organisation et l’impact du risque cyber vis à vis de celui-ci. Là encore, en parlant un langage “business”, vous adoptez une posture de « conseiller de confiance », grâce à une communication facilitée entre toutes les parties prenantes de la stratégie de cybersécurité de l’organisation.

Ainsi, à cette étape, vous modélisez la valeur des actifs, ce qui permet de faire le point sur le fonctionnement de l’organisation. Il s’agit d’une connaissance fondamentale pour votre parcours de CRQ, car elle sera nécessaire pour réaliser une quantification précise de l’exposition financière de votre organisation au risque cyber, mais également pour assurer votre rôle de « conseiller de confiance ».

 

Quels sont les pré-requis à cette démarche ?

Pour amorcer cette démarche, consultez notamment le rapport annuel de votre organisation, qui doit contenir une grande partie des données dont vous aurez besoin pour obtenir une vision exhaustive des leviers de génération de valeur, prévoyez des entretiens avec chaque direction métier,

Grâce à ces éléments, vous aurez une vision précise et granulaire des tenants business de l’organisation et serez d’autant plus armé pour relier les livrables de la quantification du risque à la réalité opérationnelle de l’entreprise.

 Grâce à cette démarche, vous serez en mesure de définir quels sont les actifs critiques de l’organisation, mais aussi quels sont les candidats à l’acquisition d’actifs ainsi que le niveau de dépendance de l’organisation aux infrastructures informatiques.

 

Qui sont les parties prenantes nécessaires à cette étape ?

  • Direction Générale de l’organisation
  • Direction Métier

 

Les recommandations de Citalid

Toute forme d’analyse des risques nécessite que vous vous plongiez dans la stratégie et les opérations de votre organisation pour comprendre le contexte des scénarios de risque. Aussi, il est important de renforcer les connexions avec l’ensemble des parties prenantes, tant stratégiques qu’opérationnelles.

Pour plus d’efficacité, nous vous invitons à concentrer cette étude sur la chaîne de valeur de l’entreprise.

 

3. Définir des scénarios de risque pertinents

 

Quelle est cette démarche ?

La quantification du risque cyber (CRQ) génère des estimations d’impact financier sur la base de scénarios. Ces scénarios de risques peuvent être complexes à identifier et à matérialiser, dans la mesure où ils ne se sont jamais produits auparavant. Commencez par définir les scénarios de risque de haut niveau qui peuvent être vraiment significatifs pour l’organisation.

 

Quels sont les prérequis à cette démarche ?

Pour définir des scénarios de risque pertinents, il est nécessaire de comprendre le paysage de cybermenaces auxquelles l’organisation est exposée. Pour cela, on peut s’appuyer sur de la cyber threat intelligence (CTI), une discipline basée sur les techniques de renseignement et qui pour but d’identifier et d’analyser les cybermenaces. L’historique des incidents rencontrés par l’entreprise est également une source d’informations pertinentes pour bien cerner les vulnérabilités de l’entreprise et exécuter cette étape avec succès.

 

Qui sont les parties prenantes à cette étape ?

  • CISO
  • Risk Managers
  • Analystes sécurité
  • Gestionnaires et administrateurs informatiques

 

Les recommandations de Citalid

Élaborer des scénarios sans les aligner sur les faiblesses de contrôle et les actifs critiques existants de l’organisation peut conduire à de longs débats entre les parties prenantes de la stratégie cyber et à un manque de confiance dans les résultats issus de la quantification du risque. C’est pourquoi vos arguments doivent refléter votre compréhension du fonctionnement de l’organisation.

 

4. Évaluer son niveau de maturité défensive

 

Quelle est cette démarche ?

L’évaluation du niveau de maturité d’une organisation en matière de sécurité est une étape essentielle pour comprendre sa capacité à faire face aux risques cyber. Plusieurs référentiels et modèles peuvent aider à évaluer la maturité en matière de sécurité. En voici quelques-uns largement utilisés : NIST/ISO/CIS…

Lors de l’évaluation de la maturité de la sécurité, les organisations utilisent souvent une combinaison de ces référentiels en fonction de leurs besoins spécifiques, de leur secteur d’activité et des exigences réglementaires. Il est essentiel d’adapter l’évaluation au contexte de l’organisation et de réévaluer continuellement la maturité à mesure que le paysage de la cybersécurité évolue. En outre, le recours à des experts externes ou à des évaluateurs tiers peut fournir des informations précieuses et un point de vue impartial sur la maturité de l’organisation en matière de sécurité.

 Il est nécessaire de comprendre les spécificités des différents référentiels de sécurité et ainsi définir celui ou la combinaison de ceux qui répondent aux besoins de votre organisation. Nous avons récemment publié un panorama de ces référentiels pour vous aider.

Documenter l’historique des incidents de sécurité ayant été rencontrés par l’organisation est également déterminant dans le choix du référentiel de sécurité. Grâce à cette démarche, vous réussirez à déterminer le niveau de maturité de l’organisation, dont la progression sera visualisable dans l’interface « Profil de Défense » sur la plateforme, grâce à des graphiques et des scores.

 

Qui sont les parties prenantes nécessaires à cette étape ?

  • CISO
  • Gestionnaires et Administrateurs informatiques
  • Risk Managers

 

Les recommandations de Citalid

La maturité défensive est un parcours et non une fin en soi. L’amélioration continue est essentielle pour que votre organisation reste résistante et résiliente face à l’évolution des menaces.

 

5. Estimer l’ampleur des pertes financières

 

Quelle est cette démarche ?

L’estimation de l’ampleur des pertes est un aspect crucial de la quantification des risques cyber (CRQ), qui consiste à évaluer l’impact potentiel d’un incident de cybersécurité sur une organisation. L’objectif est de quantifier les conséquences financières ou opérationnelles associées à un événement de sécurité.

Il est nécessaire de relier le risque exprimé (augmentation, diminution et maintien du risque) aux résultats, à l’impact sur les unités opérationnelles et sur les initiatives à l’échelle de l’organisation. Il s’agit d’une étape où il est nécessaire de consulter les responsables des unités opérationnelles, afin d’aboutir à une quantification pertinente et fiable.

 

Quels sont les prérequis à cette démarche ?

Pour pouvoir estimer l’ampleur des pertes, il est nécessaire de lister d’abord les actifs critiques avant de s’intéresser aux autres actifs qui composent l’organisation. Il faut aussi avoir une bonne connaissance des infrastructures informatiques et des dépendances du système.

Il est conseillé aussi d’étudier l’impact des pertes sur les collaborateurs et les clients. En dehors des pertes financières, la perte de confiance peut grandement altérer l’image de marque et la confiance. Ainsi, cela peut engendrer des coûts en communication et en relations publiques. Si vous voulez en savoir plus sur les différents types de pertes, lisez notre article.

Enfin, n’oubliez pas d’analyser le paysage réglementaire. En effet, en cas de non-respect de certaines exigences, les organisations peuvent s’exposer à des pénalités financières si un incident survient. En termes de cybersécurité, certaines entreprises seront tenues de mettre en place des mesures données afin d’améliorer leur résilience. Ainsi, le règlement DORA, la directive NIS 2  et le RGPD apportent de nouvelles obligations qu’il faudra prendre en compte dans votre stratégie de cybersécurité et dans votre parcours de mise en place de la CRQ au sein de votre organisation.

Cette étape va vous permettre d’obtenir une évaluation quantitative et financière de l’impact par scénarios et par périmètre. Vous pourrez ainsi observer les pertes potentielles, en tenant compte de l’effet de la probabilité de l’impact de manière granulaire.

 

Qui sont les parties prenantes nécessaires à cette étape ?

  • RSSI
  • Responsables d’unités opérationnelles ou de départements
  • Le directeur financier (CFO)
  • Avocats généraux et responsables de la conformité

 

Les recommandations de Citalid

Dans le cadre de vos échanges avec les parties prenantes, grâce à l’intégration de modèles de calculs bayésiens (probabilités) au sein de la plateforme, Citalid vous accompagne dans la définition des pertes financières auxquelles votre organisation pourrait faire face.

 

6. Mettre en place un processus de gouvernance

 

Quelle est cette démarche ?

La longévité d’un programme de gestion du risque cyber est souvent menacée par le départ du RSSI, ou tout autre leader du projet. Le programme perd alors son orientation.

Un processus de gouvernance pour un programme de CRQ fournit la structure et la supervision nécessaires pour garantir que les risques cyber sont quantifiés de manière cohérente, fiable et alignée sur les objectifs de l’organisation. Il contribue à une meilleure gestion des risques, à une prise de décision éclairée et à la résilience globale de l’organisation en matière de cybersécurité.

Le processus de gouvernance passe aussi par l’exécution d’un reporting stratégique. La quantification du risque cyber permet cela grâce à la génération d’indicateurs financiers précis et activables, vous délivrant ainsi des éléments nécessaires à votre rôle de « conseiller de confiance » pour les parties prenantes de la stratégie de cybersécurité de l’organisation.

 

Que va produire cette démarche ?

À la fin de cette démarche, vous aurez construit une charte de gouvernance de la CRQ, c’est-à-dire un document décrivant l’objectif, la portée, les responsabilités et la structure décisionnelle du programme de gouvernance de quantification du risque cyber.

Vous aurez aussi produit des politiques et procédures de quantification du risque cyber (documents normalisés détaillant les processus, les méthodologies et les lignes directrices pour les activités de CRQ).

 

Qui sont les parties prenantes nécessaires à cette étape ?

  • CIO
  • CISO
  • Risk Manager

 

Les recommandations de Citalid

Formalisez votre programme de quantification des risques dans un document afin de vous assurer que celui-ci dépend du processus, et non d’une personne. Les éléments clés devraient inclure des cas d’utilisation prescriptifs, des processus, une politique de propriété et des lignes directrices en matière de responsabilité.

 

Grâce à la quantification du risque cyber, vous passez un cap dans la cybersécurité de votre organisation. Votre rôle est central dans la définition de la stratégie en matière de cybersécurité et dans la prise de conscience collective à propos du risque cyber. En tant qu’acteur du changement au sein de l’organisation, Citalid n’hésite pas à vous accompagner dans toutes les étapes de votre parcours de CRQ.

 

Previous article ->

Start quantifying your cyber risk now

Cyber risk quantification platform

Dare to know

MORE CONTENT

Related Content