Accueil » La quantification du risque cyber
Pour assurer la sécurité de votre entreprise face au nombre croissant de cyber attaques, il est important de connaître le risque cyber réel auquel elle est confrontée. La quantification du risque cyber permet de mieux estimer l’impact financier qu’aurait une cyberattaque sur votre organisation.
Mais comment quantifier précisément le risque cyber ? Existe-t-il des modèles fiables de quantification du risque cyber ?
Découvrez comment mieux protéger vos systèmes d’informations contre la menace cyber grâce à la quantification des menaces informatiques.
–> Découvrir aussi notre article sur le role de la blockchain sur les transactions financières.
Qu'est-ce que la quantification du risque cyber ?
La quantification des risques cybersécurité est une approche structurée qui consiste à utiliser des modèles mathématiques et statistiques pour estimer l’impact financier d’une cyberattaque pour une organisation.
Il existe plusieurs modèles de quantification des risques cyber, notamment l’approche Factor Analysis of Information Risk (FAIR) ou la méthode The Open Group Risk Taxonomy (O-RT).
–> Découvrir aussi notre article sur la sensibiliation cyber 2.0
L'intérêt de quantifier le risque cybersécurité
Le premier intérêt de la quantification des risques cyber est de comprendre l’impact financier que peut avoir une cyberattaque pour l’entreprise. L’estimation précise des coûts engendrés par un piratage permettra à l’organisation de prendre les bonnes décisions en matière de cybersécurité. En effet, l’entreprise pourra estimer le risque ainsi que sa tolérance au risque, et en déduire les ressources (financières et humaines) à consacrer à sa sécurité informatique.
De plus, la quantification du risque cyber va faciliter la communication entre l’équipe chargée de la cybersécurité au sein de l’organisation et les dirigeants. Quantifier les risques potentiels sera plus parlant pour convaincre les dirigeants de la nécessité de mettre en place des actions concrètes de sécurité informatique. Les responsables de la cybersécurité pourront aussi utiliser les mesures obtenues avec les outils de quantification des risques pour évaluer et démontrer l’efficacité de leurs actions.
–> Découvrir aussi notre article sur le role de l’AI dans la lutte contre les fraudes financières
Mettre en place la quantification des risques cyber
L’évaluation des risques cyber n’est pas simple à mettre en place. Certains types d’impact sont particulièrement difficiles à mesurer. Une attaque cyber peut avoir des conséquences sur la réputation de l’entreprise, sur son image de marque ou sur son organisation interne. Parce que ces risques sont intangibles, leur évaluation est compliquée.
De plus, le risque cyber est propre à chaque entreprise. Il est, lui aussi, difficile à estimer, car il dépend de multiples facteurs : la taille de l’organisation, son système d’information (niveau de complexité et d’ouverture notamment), ou encore les mesures cyber déjà déployées.
Enfin, il existe très peu de données sur le coût des attaques informatiques aujourd’hui. Les entreprises ont donc peu de références pour estimer l’impact financier qu’aurait un piratage sur leur système informatique.
Face à ces difficultés, des modèles ont émergé. Celle qui est la plus connue et la plus employée par les organisations est la méthodologie FAIR (Factor Analysis of Information Risk).
La méthodologie FAIR pour quantifier le risque cyber
L’approche FAIR permet de quantifier efficacement la menace cyber. Cette méthode a été mise au point en 2001 par Jack Jones, le RSSI de Nationwide Insurance. Sa direction lui demandant des données chiffrées sur les risques auxquels l’entreprise était exposée, il a décidé de mettre en place un outil permettant de quantifier ces risques de manière fiable et précise.
L’approche FAIR permet d’évaluer les probabilités d’un risque ainsi que ses impacts potentiels. L’entreprise doit donc être capable d’estimer ses risques les plus critiques. L’idéal est de préparer plusieurs scénarios de menace en amont et de privilégier les plus importants dans le cadre de la méthode FAIR.
La particularité de FAIR est d’exprimer chaque impact en pertes financières. Par exemple, un risque sur la réputation de l’entreprise sera traduit par l’investissement qu’il faudra consacrer à son rehaussement (par exemple, en faisant appel à une agence de communication).
L’approche FAIR implique de calculer plusieurs paramètres :
- Contact frequency : la fréquence à laquelle la menace entre en contact avec le système à protéger
- Probability of action : la probabilité que la menace agisse sur le système après contact
- Threat capability : les capacités de la menace (compétences et ressources)
- Resistance strength : la capacité de résistance de l’entreprise face à la menace
On déduit de ces paramètres la vulnérabilité de l’entreprise ainsi que la fréquence des événements de perte.
La méthodologie FAIR implique également de calculer la Loss magnitude à partir du coût des pertes directes (primary loss) et indirectes (secondary loss).
L’approche FAIR a de nombreux avantages : elle permet d’identifier les risques cyber les plus importants et d’estimer les pertes financières qui en découlent. Mais pour la mettre en place, les entreprises auront besoin de beaucoup de ressources ! Il est donc important que les organisations consacrent des moyens (humains et financiers) à l’analyse et à la quantification du risque cyber.
Point Forum
Dans le cadre de la quantification du risque cyber, le Forum des Compétences a accueilli, lors de sa réunion plénière du 19 juin 2024, des spécialistes du quantique. Mike Chapman, Joachim Schaffer et Elyes Fayache d’IBM ont discuté de l’application de la technologie quantique à la cybersécurité. Leur intervention a montré comment la quantification du risque cyber peut bénéficier des avancées en technologie quantique.
Flora Brac de la Perrière a également abordé le cadre juridique applicable aux technologies quantiques en matière de cybersécurité. Cette discussion a souligné l’importance de comprendre les aspects légaux dans la quantification du risque cyber.
Les interventions de spécialistes renforcent la pertinence de la quantification du risque cyber pour les entreprises. De plus, le cadre juridique présenté par Flora Brac de la Perrière ajoute une dimension essentielle à cette quantification. Ainsi, le Forum des Compétences montre son engagement envers la sécurité en explorant la quantification du risque cyber avec des technologies innovantes.