Cependant, comment modéliser ces différentes données d’entrée de FAIR ? Comment se font les calculs sur les données ? Existe-t-il des outils pour faciliter leur obtention ou évaluer leur qualité, et quels efforts demandent-ils pour être mis en œuvre ?

Ayants vu précédemment dans quelle mesure la méthode de quantification du risque était digne de confiance dans son déroulement, voyons à présent comment la part inévitable de subjectivité peut être confinée, et quels facilitateurs peuvent aider à obtenir des résultats sûrs.

Le carburant de FAIR : les données

L’analyse du risque proposée par FAIR (selon le document de normalisation édité par l’OpenGroup[3]) est réalisée en quatre temps :

• Dans un premier temps, de façon assez classique, il s’agit de préciser le périmètre du risque en question (Scope the analysis) : l’asset (le bien sujet au risque), le contexte de la menace (agent et scénario), et l’évènement de perte (ou évènement redouté considéré sous l’angle des pertes) ;
• La deuxième étape (Evaluate Loss Event Frequency) consiste à collecter l’ensemble des données fréquentielles liées à l’évènement de perte (et donc intimement lié à l’agent de menace). Ceci consiste à collecter les valeurs de la branche de gauche dans l’arborescence ci-dessous.
• La troisième (Evaluate Loss Magnitude), en évaluant les couts, focalise sur l’asset. Il s’agit alors de chiffrer les différentes pertes primaires (c’est-à-dire les pertes inévitables en cas d’occurrence du risque) et secondaires (ou pertes éventuelles, ne se produisant pas systématiquement en cas d’avènement du risque). Ceci consiste à collecter les valeurs de la branche de droite dans l’arborescence ci-dessous.
• Enfin, la dernière étape (Derive and Articulate Risk) est le fusionnement des données obtenues conformément à l’arborescence FAIR par différents calculs, pour obtenir le résultat sous forme d’outputs exploitables.

Lien entre l’analyse et la taxonomie de FAIR

Sans aller plus dans le détail de la taxonomie, déjà abordé dans l’article présenté précédemment2, nous constatons que l’analyse standard d’un seul risque demande déjà sept données (correspondant aux éléments de la base de l’arborescence) :

1. Contact frequency;
2. Possibility of action;
3. Threat capability;
4. Resistance strength;
5. Primary loss magnitude;
6. Secondary loss magnitude;
7. Secondary loss event frequency.

Il faut ajouter à cela que FAIR invite à décliner les pertes (primaires et secondaires) en six catégories (facilitant ainsi l’estimation précise de ces données de pertes) :

• En pertes de production : liées à l’interruption du service produit par l’asset ;
• En cout de réponse : liées à la réponse à incident ;
• En frais de remplacement : liées au remplacement des constituants endommagés de l’asset ;
• En frais de justice : liées aux amendes et poursuites juridiques ;
• En perte d’avantage compétitif : liées à l’impact sur l’organisation dans son secteur d’activité ;
• En pertes de réputation : liées aux retombées sur l’image publique de l’organisation.

Comment modéliser correctement l’incertitude du risque ?

De plus, il est bon de se poser la question de ce qu’est concrètement une donnée FAIR.

En effet, il est trop réducteur de définir une donnée par une unique valeur chiffrée. Par exemple, si nous considérons l’attaque par rançongiciel : il serait incorrect d’affirmer qu’une occurrence de ce risque couterait exactement 475 k€[4] (illustrée par la courbe bleue sur le graphe 1).

Graphe 1 : Une distribution, un modèle plus réaliste qu’une valeur isolée

En revanche, ajouter de l’incertitude à cette donnée en l’accompagnant d’une borne minimale (qui pourrait être de 1 € dans notre exemple) et d’une borne maximale (de 300 M€ dans l’exemple), tout en gardant la valeur la plus probable énoncée précédemment, permettrait de modéliser beaucoup plus fidèlement la réalité (courbe violette du graphe 1).

Une donnée est alors définie par un minimum, un maximum et une valeur la plus probable (correspondant au pic de la distribution). Nous pouvons de plus noter qu’une telle distribution de probabilité est indépendante du type de valeurs considérées : il peut aussi bien s’agir d’une perte dans une devise quelconque (cf. l’exemple précédent), que d’une occurrence (par exemple, entre 1 fois par an et 1 fois tous les 10 ans, et une valeur plus probable autour d’une fois tous les deux ans), ou bien même d’un ratio (entre 30% et 70 %, plus probablement autour de 45%). Nous pouvons ainsi utiliser ces distributions pour modéliser toutes les données de la taxonomie FAIR.

Un autre avantage de la modélisation de l’incertitude par une distribution est de pouvoir régler finement le degré de confiance dans la valeur la plus probable, via le coefficient d’aplatissement de la courbe. Plus ce dernier sera élevé, plus la confiance dans la donnée sera grande (correspondant à un pic très marqué, cf. la courbe verte sur le graphe 2). En revanche, une donnée peu fiable sera modélisée par une distribution beaucoup plus homogène (cf. la courbe rouge sur le graphe 2).

Graphe 2 : Refléter le niveau de confiance à travers les distributions

Cependant, le fait d’utiliser des distributions plutôt que des valeurs fixes pose problème lorsqu’il s’agit de les combiner entre elles, ce qui sera nécessairement le cas lorsque nous effectuerons les calculs de l’arborescence FAIR. Comme nous pouvons en effet le constater sur le graphe 3 (l’addition de la distribution verte et de la rouge donnant la violette), l’addition de deux lois de distribution ne permet pas d’obtenir une distribution aussi ‘simple’ que les précédentes (elle ne suit plus une loi de probabilité dite log-normale). Cela est également le cas dans le cadre d’une multiplication (dont le résultat est également complexe).

Graphe 3 : addition de deux distributions.

Pour obtenir un résultat mathématiquement cohérent, la théorie des jeux nous donne un moyen simple : les simulations de Monte Carlo. Il s’agit en effet de discrétiser les distributions (la verte et la rouge du graphe 3), en un nombre prédéfini de valeurs aléatoires (appelé nombre de simulations), réparties de façon à correspondre à la distribution concernée. Nous pouvons ensuite combiner les distributions ainsi discrétisées en effectuant les calculs sur des paires de valeurs de chaque distribution. La nouvelle répartition pourra ensuite être approximée, et sera d’autant plus précise que le nombre de simulations sera grand.

Les caisses à outils artisanales pour automatiser FAIR…

Pour effectuer ces calculs permettant d’obtenir une valeur chiffrée du risque, des solutions ont émergé (principalement à partir de la méthode FAIR). Nous aborderons donc ici les avantages et inconvénients de ces outils, qui sont également cités dans l’article précédent1.

L’OpenFAIR Analysis Tool

La première que nous pouvons citer est l’OpenFAIR Analysis Tool[5]. Si cet outil a simplement un but pédagogique, il permet néanmoins de comprendre le fonctionnement de FAIR. Il est ainsi possible d’avoir une première application concrète de la méthode, et d’obtenir des résultats simplement (uniquement dans le cadre d’une analyse d’un risque isolé). Mis sur pied par l’université de San José (Californie) en collaboration avec l’OpenGroup, cet outil utilise une feuille Excel pour obtenir une évaluation du risque à partir d’un nombre prédéterminé de simulations, en respectant scrupuleusement la taxonomie FAIR.

OpenFAIR Risk Analysis Tool : un outil avant tout pédagogique

Très utile pour avoir un premier contact avec la quantification, l’outil reste cependant très limité en termes d’utilisation. Enfin, il faut noter qu’il n’est accessible que sous Excel et avec une licence d’évaluation limitée à 90 jours.

Riskquant

Pour une utilisation à plus grande échelle, le département R&D de Netflix a mis sur pied la solution Riskquant[6]. Il s’agit d’une bibliothèque de programmation Python, s’appuyant notamment sur tensorflow (un module python spécialisé pour le calcul statistique massif). La particularité de Riskquant est de proposer une quantification du risque inspirée de la taxonomie FAIR, mais ayant gardé une grande liberté dans son implémentation. Développée pour faciliter l’utilisation sur des conteneurs, elle permet par conception des évaluations très rapides à partir de fichiers csv.

Riskquant : une approche originale mais manquant de maturité

Cependant, le fait de n’avoir gardé de FAIR qu’une valeur unique de perte et une fréquence unique la rend peu exploitable, notamment dans le cadre d’une organisation qui chercherait à cadrer précisément ses risques. De plus, elle ne fournit à ce jour que peu de résultats exploitables et manque clairement de maturité. Enfin, elle semble à ce jour mise en sommeil depuis le 1^er mai 2020 (date du dernier dépôt sur la page GitHub de la solution).

PyFAIR

Pour finir ce paragraphe sur les solutions pouvant servir de base à une implémentation de FAIR, la bibliothèque PyFAIR est disponible sur le dépôt python officiel (téléchargeable via l’outil pip). Désormais mature, l’outil permet une décomposition du risque suivant la taxonomie FAIR. Il permet également d’alimenter l’arborescence à partir de valeurs intermédiaires, ou de regrouper des données pouvant servir à plusieurs risques (permettant par exemple des regroupements par asset ou menaces). Il est capable de calculer des risques globaux, et fournit des distributions facilement exploitables sous python, mais également des graphiques et des rapports HTML préformattés.

PyFAIR, une bibliothèque complète et efficace en Python

Bien qu’elle reste une boite à outil de programmation, demandant de fait une appétence et du temps pour développer et entretenir une solution en Python, PyFAIR est bien conçue. Elle facilite l’implémentation de FAIR en restant très proche de la taxonomie, et fournit des fonctions facilitant la mise en œuvre comme l’exploitation des résultats. Apte à être exploitée à plusieurs niveaux (i.e. en l’utilisant uniquement pour calculer des résultats à partir d’un paramétrage fin de FAIR et de Monte Carlo, ou bien en exploitant des fonctions de génération de rapports de haut niveau), elle permet d’envisager une utilisation de la quantification techniquement facilitée et à grande échelle.

Des plateformes ‘clé en main’ pour faciliter l’acquisition des données :

Néanmoins, la difficulté principale de FAIR reste, comme nous l’avons vu précédemment, l’obtention de données et leur fiabilité. Pour y faire face efficacement, la solution la plus efficace est de s’appuyer sur une plateforme intégrant une base de données de CTI.

Ces plateformes fournissent les valeurs de risque liées aux menaces (donc très peu dépendantes de l’entreprise). Elles accompagnent de plus le déploiement et la mise en œuvre de la méthode de quantification, notamment en la guidant pour l’obtention de données de pertes adaptées.

RiskLens

La première de ces solutions est la plateforme RiskLens[7]. Cette solution, directement issue de la méthodologie FAIR, a été co-fondée par Jack Jones. Elle sert de support technique au développement de la méthode, en lien avec le FAIR Institute. Ayant une approche technique de la méthode, elle porte son effort sur le respect des standards de l’analyse en général et de la définition du périmètre (première étape de FAIR) en particulier.

RiskLens, l’application de FAIR à la lettre

Néanmoins, il faut noter que d’une part, cette solution demande d’avoir des notions avancées dans la méthode FAIR pour être facilement utilisable. En effet, la plateforme n’apporte pas une véritable aide pour l’obtention des données (qui comme nous l’avons vu, reste la clé de voute de la quantification), partant du principe que la définition du périmètre suffit à définir précisément la donnée, et de ce fait de l’obtenir aisément. D’autre part, il s’agit d’une plateforme américaine, ce qui implique que l’interface (assez peu intuitive) est uniquement disponible dans cette langue, et que les données collectées sont alors assujetties à la réglementation américaine.

CITALID

La seconde plateforme dont nous ferons mention ici est la startup française CITALID, qui a adopté une approche fondamentalement différente. En effet, cette dernière, fondée par deux analystes de l’ANSSI, recherche par conception à lier la CTI à la gestion de risque. Ainsi, utilisant FAIR comme l’outil leur permettant de réaliser ce lien, elle fait effort sur la conception et le maintien d’une base de données disposant de chiffres solides et maintenus à jour pour suivre au plus près la situation cyber géopolitique locale et internationale.

CITALID, une base de données à haute valeur ajoutée

Cette dernière plateforme apporte un vrai accompagnement dans la définition et la collecte des données, permettant ainsi d’identifier précisément où subsiste la part de subjectivité indéniablement liée au risque. Disponible en français et en anglais, elle facilite la gestion du risque cyber en prenant en compte tous les paramètres de l’organisation (localisation, taille, secteur d’activité, niveau de maturité, conformité aux référentiels, etc.) pour fournir des données de contextes adaptées. En outre, et en plus d’une explicitation de chacun des champs de la plateforme, la startup accompagne ses clients dans l’obtention des données qui sont de leur ressort.

FAIR le premier pas…

Quoi qu’il en soit, la difficulté demeurera toujours de réussir la transition de l’estimation qualitative à l’estimation quantitative. Bien que des solutions puissent faciliter cette bascule, l’abandon d’une méthode maitrisée pour une nouvelle méthode reste un défi, malgré tous les bienfaits que cette dernière promet.

S’il fallait insister sur 3 points pour envisager ce changement, ceux-ci pourraient être :

• D’une part, de s’assurer d’avoir la maturité requise. La quantification demande d’avoir une bonne maitrise du niveau de sécurité du SI concerné, et de s’adosser à une méthode de gestion du risque préexistante et rodée. Si la quantification apporte des solutions pour chiffrer un risque, le provisionner ou estimer le ROI d’une mesure, il est cependant inutile (voire contre-productif) de s’engager sur cette voie trop tôt (sous peine au mieux de perdre du temps, au pire de dégrader la gestion de risque existante).
• Ensuite, d’avoir une approche progressive dans le déploiement de la quantification. Dans un SI mature disposant d’une gestion de risque stable, il est préférable d’adopter progressivement la méthode quantitative. Cela permet notamment de prendre confiance dans les estimations produites (éventuellement en le faisant coexister avec la méthode d’estimation qualitative) et d’assimiler la méthodologie, tout en assurant son intégration dans le processus existant de gestion du risque.
• Pour terminer, de s’appuyer sur l’expérience existante dans la collecte des données de risque cyber. La difficulté résidant dans l’obtention de données sûres, il est crucial (pour avoir confiance dans la méthode) de disposer de chiffres sûrs. Il semble alors judicieux de s’appuyer sur une plateforme qui peut fournir des données de qualité, et un appui dans la collecte des données internes. Celle-ci disposera de plus de l’expérience acquise par le déploiement de la méthode sur d’autres clients. La qualité des résultats fournis sera alors l’élément clé dans la confiance que l’organisation aura dans la méthode quantitative.

[1] https://www.riskinsight-wavestone.com/2020/11/estimation-quantifiee-du-risque-1-2-lodyssee-de-la-quantification/

[2] https://www.riskinsight-wavestone.com/2020/06/la-quantification-du-risque-cybersecurite/

[3] https://publications.opengroup.org/c13g

[4] https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf

[5] https://blog.opengroup.org/2018/03/29/introducing-the-open-group-open-fair-risk-analysis-tool/

[6] https://netflixtechblog.com/open-sourcing-riskquant-a-library-for-quantifying-risk-6720cc1e4968

[7] https://www.risklens.com/

Cet article Estimation quantifiée du risque (2/2) : Quelles données, quels outils ? est apparu en premier sur RiskInsight.

Aussi est-il utile à ce point de faire un tour d’horizon des méthodes et théories existantes, ou susceptibles d’aboutir sur des résultats concrets. Dans le big-bang de la quantification du risque cyber, quels sont les ancrages théoriques qui pourraient voir naitre une méthode ? Lesquels ont abouti, lesquels semblent matures ? Pouvons-nous espérer à plus ou moins long terme des alternatives aux méthodes d’évaluation quantitatives actuelles ?

Feuille de route : Analyse de risque et quantification : qu’en attendre ?

Pour situer la quantification dans le champ de la gestion du risque, commençons par préciser ce que nous cherchons. Au sein d’un procédé de gestion de risque, l’objectif est avant tout de définir une valeur chiffrée exploitable illustrant un niveau de risque (généralement un coût financier).

Il s’agit donc, en reprenant les termes de l’ISO 27k, uniquement d’une nouvelle évaluation du risque. En effet, les phases précédentes de contextualisation et d’identification des risques n’ont pas à priori de raisons d’être concernées par la quantification. Les phases de traitement, d’acceptation, de supervision ou de communication du risque, si elles bénéficieront des résultats de l’analyse quantitative, n’ont pas plus vocation à être bousculées dans leurs fondements. Il s’agit donc en réalité de trouver des moyens pour estimer chaque risque.

Ce point, plutôt trivial mais crucial, nous permet de nous assurer que, bien que fondamentalement différentes des méthodes qualitatives dans leurs résultats, les méthodes quantitatives s’adosseront quoi qu’il en soit à des méthodes préexistantes. Ceci permet de se rassurer sur le fait que, bien qu’il soit nécessaire pour les employer de disposer d’une gestion de risque mature, cette gestion de risque sera également le socle de la quantification (qui exploitera ainsi la phase d’identification préexistante).

Maintenant que nous avons cadré l’apport de la quantification dans l’analyse globale des risques d’une organisation, précisons ce que nous souhaitons en attendre indépendamment de la possibilité de réalisation de ces assertions :

• D’une part, il est impératif que cette méthode soit plus précise dans son résultat par rapport à la méthode qualitative qui la précède. Ceci signifie surtout que, dès la première occurrence et sans avoir fourni de résultat auparavant, elle doit donner une estimation chiffrée précise (qui peut dans la mesure du possible contenir plusieurs valeurs : risque maximal ou risque probable notamment).
• Nous pouvons également vouloir qu’elle soit plus rapide à réaliser, ou du moins qu’elle se réalise dans un temps acceptable, afin de pouvoir remplacer complètement à terme l’estimation qualitative. Il s’agit ici du temps qu’il serait nécessaire pour mettre en œuvre l’analyse, et ce sans avoir à s’inquiéter outre mesure des délais du calcul (ce dernier pouvant aujourd’hui assez efficacement être délégué, en particulier via le cloud). Il s’agit finalement si nous croisons ce souhait avec le précédent d’avoir une meilleure efficience que l’évaluation qualitative.
• Par ailleurs, il est souhaitable que l’estimation quantitative s’appuie sur des données concrètes, afin de gagner en crédibilité dans les résultats produits. En effet, le processus d’une méthode quantitative étant fondée sur des théories mathématiques, seule une implémentation incorrecte pourrait introduire de la subjectivité dans les valeurs obtenues. Ce dernier point permettrait de justifier qu’en un temps équivalent à l’analyse qualitative, nous ayons des résultats plus fins.
• Enfin, et cela découle du point précédent, il nous est nécessaire de disposer d’une taxonomie précise, afin que les données à collecter soient clairement définies quel que soit le risque envisagé. En effet, si l’estimation quantitative s’appuie sur des théories mathématiques éprouvées, la qualité des données produites ne dépendra alors plus que de la qualité des données utilisées en entrée, et plus particulièrement de la pertinence et de la cohérence de la donnée au vue de sa définition.

Au centre de la galaxie : passer de la théorie à la pratique

Ayant précisé quels sont les caractéristiques de la quantification, voyons maintenant quels sont les théories mathématiques qui permettraient de prendre en compte l’aléa lié à un risque.

Considérons par exemple la théorie des Fuzzy sets, ou ensembles flous. Cette théorie mathématique est basée sur le principe qu’un élément, au lieu d’appartenir ou non à un ensemble, puisse ne lui appartenir que partiellement selon un degré variable. Cela pourrait permettre de faire ressortir l’occurrence ou l’impact d’un risque au travers du degré d’appartenance de ce risque à des ensembles. Cette théorie, bien qu’intéressante, n’a cependant pas débouché sur des applications concrètes.

Une autre approche, que l’on pourrait qualifier de corrélative, reposerait sur l’utilisation de réseaux de neurones auto-apprenants pour déterminer à partir de données de CTI, quel serait le niveau du risque d’une entreprise au vu de ses caractéristiques. Cette théorie a bénéficié de l’engouement actuel pour l’intelligence artificielle, au point de déboucher au niveau universitaire sur des études comparant les différents modes d’apprentissage (notamment BP[2] ou RBF[3]) en vue d’une utilisation dans le cadre d’une analyse de risque cyber. Cependant, elle ne semble pas à ce jour suffisamment mature pour parvenir à obtenir une méthode réaliste.

Finalement, la seule solution mathématique ayant porté des fruits à ce jour a été l’analyse statistique (et la théorie des jeux qui offre le moyen de combiner les distributions statistiques, voir à ce sujet le billet « Quantification du risque et données : conseils et outils »[4]). Le principe de l’analyse statistique est de se baser sur des observations statistiques pour estimer le niveau d’un risque. L’aléa du risque est alors, en grande partie, pris en compte par la répartition de la distribution statistique.

A partir de ces statistiques, deux approches sont envisageables :

• La première est illustrée par une méthode proposée par l’IMF[5]. Elle se propose d’évaluer un risque cyber par une analyse statistique fine et détaillée. Elle est cependant très calculatoire et peu accessible pour une utilisation régulière dans le cadre d’une estimation quantifiée du risque. Elle garde cependant un intérêt indubitable dans le cadre d’une analyse d’un niveau de risque cyber sur plusieurs entités dont on disposerait de données, ce qui peut s’avérer utile pour un assureur ou dans le milieu de la banque. Elle reste cependant cloisonnée à cette utilisation. Réduisant d’autant le périmètre déjà limité des entités disposant d’une maturité cyber acceptable, cette méthode ne semble pas pouvoir proposer à court ou moyen terme une solution exploitable à l’échelle du SI d’une organisation.
• La seconde consiste à décomposer tout risque cyber en fonction de caractéristiques communes. C’est notamment l’approche de la méthodologie FAIR : elle propose dans sa taxonomie (cf. ‘comment appliquer la méthode FAIR’1) une dissociation du risque en fonction de son occurrence et de l’impact estimé d’un point de vue financier. FAIR propose ensuite une déclinaison de ces deux paramètres qui, du fait de leur caractère universel, peuvent s’appliquer de ce fait à n’importe quel risque cyber. Ce type de méthode a donc l’avantage de proposer un processus identique pour l’analyse de tout risque cyber, favorisant son utilisation dans un contexte organisationnel qui peut ensuite comparer des risques cyber de nature distincte.

La galaxie de la quantification

La méthode FAIR : un trou noir supermassif

Actuellement, seule la méthode FAIR a donné naissance à des solutions de quantification exploitables au sein d’une entreprise. Son monopole dans le domaine est tel, qu’elle est devenue une référence incontournable pour qu’une solution ou une méthodologie subsiste. Tel un trou noir, elle attire à elle toutes les solutions actuelles de quantification. Nous pouvons par exemple pour illustrer ceci citer la bibliothèque Risquant, développée par le département R&D de Netflix[6]. Cette dernière annonce clairement s’appuyer sur la méthode FAIR. Elle prend néanmoins une grande liberté dans l’interprétation de la taxonomie et de l’analyse, mais le fait de citer cette filiation lui permet cependant d’être plus facilement acceptée et reconnue.

Cette hégémonie de FAIR s’explique assez facilement :

• Pour commencer, c’est une méthode pragmatique par conception. Son inventeur, Jack Jones, l’a mise sur pied alors qu’il était RSSI d’un grand groupe américain, et qu’il lui était demandé de justifier du ROI cyber. Elle a donc été initiée dans un but opérationnel, puis s’est affinée et a gagné en crédibilité en s’appuyant sur des outils et des théories mathématiques. Ce concept de développement (i.e. le fait que la méthode soit née d’un besoin puis justifiée ensuite mathématiquement), fait de FAIR une méthode particulièrement appréciée des premiers concernés que sont les RSSI et autres cyber-risk managers.
• Ensuite, elle a été particulièrement visionnaire, puisqu’elle a précédé toutes les autres méthodes. Apparue en 2001, elle a fait dès 2006 l’objet d’une publication explicitant en détail son fonctionnement et sa taxonomie. Au fur et à mesure, une communauté s’est constituée autour de Jack Jones et de sa méthode, le FAIR Institute. Ce dernier a eu à cœur de poursuivre la maturation et la diffusion de la méthode. Ceci s’est notamment concrétisé par la mise en place de facilitateurs pour la rendre toujours plus efficiente et exploitable.
• La méthode FAIR dispose également d’une base particulièrement solide : outre la publication évoquée ci-dessus et qui a fait l’objet en 2016 d’une réédition enrichie, elle s’appuie sur deux documents de standardisation, édités par l’OpenGroup (consortium à l’origine du standard d’architecture de SI TOGAF). L’OpenGroup propose également une certification à la méthode, basée sur ces deux standards, et qui ajoutent au rayonnement de la méthode.
• Enfin, FAIR est fortement soutenue (en particulier outre-Atlantique) : la communauté qui l’anime est particulièrement active et contribue autant à son évolution qu’à sa promotion : les liens entre l’OpenFAIR et le FAIR Institute, tous deux cités ci-dessus, sont sensiblement étroits. La solidité de ses liens est assurée par le fait que Jack Jones, père de la méthode, joue un rôle central dans les deux organisations.

Ainsi, dans le monde de la quantification du risque cyber, les seules solutions opérationnelles à ce jour s’appuient toutes, avec une filiation plus ou moins grande mais toujours affichée, sur la méthodologie FAIR.

Si la maturité de celle-ci semble désormais acquise, son monopole dans le domaine permet avec peu de doute d’envisager, au moins pour les années à venir, qu’elle restera la seule méthode de quantification. Pour qu’une autre méthode puisse un jour faire jeu égal, et outre le fait qu’il lui faudra asseoir sa crédibilité conceptuelle, il lui faudra surtout se faire une place à côté de l’hégémonie de FAIR, tout en prouvant qu’elle est plus efficiente que cette dernière, qui a désormais acquis ses lettres de noblesse.

[1] https://www.riskinsight-wavestone.com/2020/06/la-quantification-du-risque-cybersecurite/

[2] Back-propagation : propagation inverse

[3] Radial basis functions : fonctions de base radiale

[4] Article 2 disponible sur Risk Insight

[5] https://www.imf.org/en/Publications/WP/Issues/2018/06/22/Cyber-Risk-for-the-Financial-Sector-A-Framework-for-Quantitative-Assessment-45924

[6] https://netflixtechblog.com/open-sourcing-riskquant-a-library-for-quantifying-risk-6720cc1e4968

Cet article Estimation quantifiée du risque (1/2) : L’odyssée de la quantification est apparu en premier sur RiskInsight.