Sensibiliser et ainsi embarquer les m\u00e9tiers dans la d\u00e9marche de cybers\u00e9curit\u00e9<\/h4>\n
La d\u00e9marche de s\u00e9curisation du syst\u00e8me d\u2019information d\u2019une entreprise ne peut se faire sans l\u2019instauration du Security by Design, et en ce sens, ne peut se faire sans embarquer les m\u00e9tiers. Parler le m\u00eame langage est donc n\u00e9cessaire.<\/strong><\/p>\n Enfin, afin de ne pas se retrouver au pied du mur en cas d\u2019attaque, il est primordial pour les entreprises d\u2019anticiper les potentiels co\u00fbts d\u2019une attaque afin d\u2019adapter les provisions et les assurances. Cette quantification leur permet de r\u00e9aliser cela. <\/strong><\/p>\n Compte tenu de leur nature intangible<\/strong>, il parait de prime abord complexe d\u2019\u00e9valuer objectivement certains impacts d\u2019attaques cyber. C\u2019est par exemple le cas de l\u2019impact sur l\u2019image de marque, sur la r\u00e9putation d\u2019une entreprise ou encore le pr\u00e9judice strat\u00e9gique, la d\u00e9sorganisation interne. D\u2019autres risques sont bel et bien tangibles mais indirects,<\/strong> ce qui complexifie encore la t\u00e2che des entreprises souhaitant quantifier leurs risques, c\u2019est par exemple le cas de la perte de parts de march\u00e9s, de la baisse de valorisation de l\u2019entreprise sur les march\u00e9s, etc<\/p>\n Il n\u2019existe pas de formule universelle pour calculer l\u2019impact d\u2019une attaque sur une entreprise. Cela d\u00e9pend de nombreux param\u00e8tres\u00a0: taille de l\u2019entreprise, niveau de complexit\u00e9 et d\u2019ouverture du syst\u00e8me d\u2019information, maturit\u00e9 cyber, etc. Le niveau d\u2019exposition d\u2019une entreprise d\u00e9pend essentiellement de son niveau de maturit\u00e9 cyber s\u00e9curit\u00e9. Il existe des r\u00e9f\u00e9rentiels tels que NIST, ISO, CIS, etc. pour estimer le niveau de maturit\u00e9 en cybers\u00e9curit\u00e9, mais encore peu d\u2019entreprises parviennent \u00e0 les mettre en \u0153uvre ou \u00e0 les utiliser pleinement.<\/p>\n Les entreprises souhaitant quantifier leurs risques cyber sont confront\u00e9es \u00e0 une absence de base de donn\u00e9es statistiques sur le co\u00fbt des cyber-attaques. Bien s\u00fbr, la plupart des entreprises communiquent peu, voire pas \u00e0 ce sujet, probablement pour ne pas effrayer leurs clients et leurs partenaires. Et pourtant, la collaboration serait cl\u00e9\u00a0face \u00e0 des attaquants toujours plus astucieux : tant pour augmenter leur cyber-r\u00e9silience que pour faciliter la quantification du risque. Par exemple, les entreprises Altran et Norsk Hydro ont \u00e9t\u00e9 touch\u00e9es par des ransomwares similaires en provenance du m\u00eame groupe d\u2019attaquants\u00a0!<\/p>\n Christine Lagarde, pr\u00e9sidente du FMI, s\u2019est d\u2019ores et d\u00e9j\u00e0 empar\u00e9e du sujet et a publi\u00e9 un billet et une m\u00e9thodologie de quantification des risques s\u2019appliquant au secteur bancaire, utilis\u00e9e au sein du FMI. Alors comment \u00e9tendre la quantification aux autres secteurs\u00a0?<\/p>\n La m\u00e9thodologie FAIR est l\u2019une des plus r\u00e9pandues pour quantifier les risques. Une quantification des risques efficace induit\u00a0:<\/p>\n Aussi, l\u2019estimation du co\u00fbt des risques, du fait de sa nature transverse appelle \u00e0 la collaboration de nombreux acteurs de l\u2019entreprise (RH, juridique, etc.), ce qui peut \u00eatre complexe \u00e0 mettre en place.<\/p>\n Introduction \u00e0 la m\u00e9thodologie FAIR (Factor Analysis of Information Risk)<\/strong><\/p>\n En 2001, Jack Jones \u00e9tait le RSSI de Nationwide Insurance. Il \u00e9tait lui-m\u00eame confront\u00e9 aux interrogations persistantes de sa direction g\u00e9n\u00e9rale lui demandant des donn\u00e9es chiffr\u00e9es sur les risques auxquels \u00e9tait expos\u00e9e l\u2019entreprise. Face \u00e0 l\u2019insatisfaction caus\u00e9e par le flou de ses r\u00e9ponses, Jack Jones a mis en place une m\u00e9thodologie pour estimer, de mani\u00e8re chiffr\u00e9e, les risques pesant sur son entreprise, c\u2019est la m\u00e9thodologie FAIR.<\/p>\n Concr\u00e8tement, comment celle-ci se diff\u00e9rencie d\u2019une m\u00e9thodologie d\u2019analyse des risques, tel que EBIOS\u00a0?<\/strong><\/p>\n La m\u00e9thodologie FAIR ne vient en aucun cas remplacer l\u2019analyse de risque\u00a0: FAIR est une m\u00e9thodologie permettant d\u2019\u00e9valuer les impacts et les probabilit\u00e9s d\u2019un risque de mani\u00e8re plus fiable. Les impacts sont toujours traduits en pertes financi\u00e8res afin de rendre tangible l\u2019\u00e9valuation r\u00e9alis\u00e9e. Les compl\u00e9ments apport\u00e9s sont illustr\u00e9s par le sch\u00e9ma ci-dessous.<\/p>\n Sch\u00e9ma 1\u00a0:<\/em><\/strong> FAIR, une approche qui pr\u00e9cise certaines phases de l\u2019analyse et du traitement des risques<\/em><\/p>\n Habituellement, l\u2019\u00e9valuation du risque cyber se traduit par plusieurs types d\u2019impact (impact d\u2019image, financier, op\u00e9rationnel, juridique, etc). La particularit\u00e9 de la m\u00e9thodologie FAIR est de transposer chaque impact \u00e0 un co\u00fbt financier (co\u00fbts direct, indirects, tangibles et intangibles). Par exemple, si un sc\u00e9nario de risque pr\u00e9sente un impact sur l\u2019image de l\u2019entreprise, FAIR traduit ce risque sous forme de risque financier en \u00e9valuant le co\u00fbt de l\u2019agence de communication que l\u2019on mobilisera afin de redresser l\u2019image de l\u2019entreprise notamment. Si le directeur g\u00e9n\u00e9ral d\u2019une entreprise est mobilis\u00e9 dans le cadre d\u2019une gestion de crise, alors il faudra estimer le temps pass\u00e9 \u00e0 g\u00e9rer cette crise et mon\u00e9tiser celui-ci.<\/p>\n \u00a0<\/strong>Comment appliquer la m\u00e9thodologie FAIR\u00a0?<\/strong><\/p>\n Un risque quantifi\u00e9 en euro est le facteur de la fr\u00e9quence d\u2019attaque r\u00e9ussie (loss event frequency) et le co\u00fbt de l\u2019attaque r\u00e9ussie (loss magnitude). Le sch\u00e9ma ci-dessus pr\u00e9sente la d\u00e9marche utilis\u00e9e par la m\u00e9thodologie FAIR afin d\u2019estimer ces deux caract\u00e9ristiques.<\/p>\n <\/p>\n Sch\u00e9ma 2\u00a0:<\/em><\/strong> les crit\u00e8res pris en compte par la m\u00e9thodologie FAIR pour estimer les risques (traduction non disponible \u00e0 date)<\/em><\/p>\n Le \u00ab\u00a0contact frequency\u00a0\u00bb<\/em> repr\u00e9sente la fr\u00e9quence \u00e0 laquelle la menace (\u00ab\u00a0threat agent\u00a0\u00bb)<\/em> entre en contact avec le bien \u00e0 prot\u00e9ger. Par exemple, il peut s\u2019agir de la fr\u00e9quence \u00e0 laquelle a lieu une catastrophe naturelle \u00e0 endroit donn\u00e9.<\/p>\n La \u00ab\u00a0probability of action\u00a0\u00bb<\/em> est la probabilit\u00e9 que la menace agisse de mani\u00e8re malveillante sur le syst\u00e8me une fois le contact effectu\u00e9. Celui-ci ne s\u2019applique que lorsque le threat agent est un \u00eatre vivant (ne s\u2019applique pas dans le cas d\u2019une tornade par exemple). Cela se d\u00e9duit du gain, de l\u2019effort et du co\u00fbt de l\u2019attaque et des risques.<\/p>\n De ces deux param\u00e8tres en d\u00e9coule la \u00ab\u00a0threat event frequency\u00a0\u00bb.<\/em><\/strong><\/p>\n La \u00ab\u00a0threat capability\u00a0\u00bb<\/em> consiste \u00e0 estimer les capacit\u00e9s du threat agent tant en mati\u00e8re de comp\u00e9tences (exp\u00e9rience et savoir) qu\u2019en mati\u00e8re de ressources (temps et mat\u00e9riel).<\/p>\n La \u00ab\u00a0resistance strength\u00a0\u00bb<\/em>\u00a0est la capacit\u00e9 de resistance de l\u2019entreprise face \u00e0 ce sc\u00e9nario d\u2019attaque. la resistance threat se calcule \u00e0 partir du niveau de maturit\u00e9 cyber de l\u2019entit\u00e9 par exemple avec une analyse d\u2019\u00e9cart \u00e0 NIST.<\/p>\n De ces deux param\u00e8tres en d\u00e9coule la \u00ab\u00a0vulnerability\u00a0\u00bb,<\/em><\/strong> puis la \u00ab\u00a0loss event frequency\u00a0\u00bb.<\/em><\/strong><\/p>\n Les \u00ab\u00a0primary loss \u00bb<\/em>\u00a0constituent le co\u00fbt des pertes directes. Cela comprend notamment : l\u2019interruption des op\u00e9rations, les salaires vers\u00e9s aux employ\u00e9s alors que les op\u00e9rations sont interrompues, le co\u00fbt de la mobilisation de prestataires pour pallier l\u2019attaque (restaurer les syst\u00e8mes, mener les investigations), etc.<\/p>\n Les \u00ab\u00a0secondary loss \u00bb<\/em>\u00a0constituent les pertes indirectes, provenant des r\u00e9actions d\u2019autres personnes impact\u00e9es, et sont plus difficiles \u00e0 estimer. Par exemple, les \u00ab\u00a0secondary loss\u00a0\u00bb<\/em> peuvent couvrir la perte de part de march\u00e9 engendr\u00e9e par la d\u00e9gradation de l\u2019image de l\u2019entreprise, les co\u00fbts de notification d\u2019une attaque via une agence de communication, le paiement d\u2019une amende aupr\u00e8s d\u2019un r\u00e9gulateur ou encore des honoraires d\u2019avocat pour se d\u00e9fendre en justice, etc. Celle-ci se calcule en multipliant la \u00ab\u00a0secondary loss event frequency \u00bb<\/em>\u00a0et la \u00ab\u00a0secondary loss magnitude \u00bb<\/em> pour chacun des co\u00fbts indirects.<\/p>\n Une solution qui accompagne les entreprises dans la mise en application de cette m\u00e9thodologie<\/strong><\/p>\n Au-del\u00e0 de la description th\u00e9orique de la m\u00e9thodologie, des solutions se d\u00e9veloppent pour permettre aux entreprises d\u2019appliquer la m\u00e9thodologie de mani\u00e8re concr\u00e8te. C\u2019est le cas de la start-up Citalid qui, par exemple, propose une plateforme de quantification des risques cyber en s\u2019appuyant sur la m\u00e9thodologie FAIR. Celle-ci permet au RSSI d\u2019affiner et de rendre coh\u00e9rente la quantification des risques gr\u00e2ce \u00e0 de la threat intelligence (pour le suivi des attaquants dans le temps). Pour utiliser la solution, l\u2019entreprise doit renseigner des \u00e9l\u00e9ments relatifs \u00e0 son contexte et, pour chacun des sc\u00e9narios de risque \u00e0 quantifier, compl\u00e9ter un questionnaire NIST (50 questions pour le plus basique ou 250 pour un niveau de granularit\u00e9 plus fin) et le reste est calcul\u00e9 automatiquement.<\/p>\n La m\u00e9thodologie FAIR apporte principalement les \u00e9l\u00e9ments suivants :<\/p>\n Cependant, l\u2019application de FAIR n\u2019est pas sans contraintes car elle demande des ressources parfois importantes (tant en nombre de jours hommes que de connaissance du contexte de l\u2019entreprise). La quantification du risque ne couvre par ailleurs qu\u2019un p\u00e9rim\u00e8tre restreint (1 sc\u00e9nario de risque). Aussi, la quantification du risque avec la m\u00e9thodologie FAIR n\u00e9cessite d\u2019\u00eatre affin\u00e9e avec des abaques types de co\u00fbts associ\u00e9s \u00e0 un impact cyber. <\/strong>Cela peut par exemple se faire en capitalisant sur les analyses post-mortem d\u2019un crise cyber qui permettent souvent de donner une illustration r\u00e9elle des impacts financiers.<\/p>\n Ainsi, la m\u00e9thodologie FAIR est une piste prometteuse mais qu\u2019il faudra se l\u2019approprier dans le but d\u2019en tirer des b\u00e9n\u00e9fices concrets.<\/p>\n","protected":false},"excerpt":{"rendered":" A date, il est int\u00e9ressant de noter que ce sont les attaques r\u00e9elles elles-m\u00eames qui nous permettent le plus ais\u00e9ment de quantifier les risques cyber, et ce par l\u2019estimation des co\u00fbts engendr\u00e9s. On estime ainsi que NotPetya, le fameux malware…<\/p>\n","protected":false},"author":1286,"featured_media":13158,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3222,36],"tags":[3515,3517,3516,3514,3518],"coauthors":[2847,3091],"class_list":["post-13146","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyberrisk-management-strategy","category-cybersecurity-digital-trust","tag-board","tag-c-level-2","tag-fair","tag-quantification","tag-risk-2"],"acf":[],"yoast_head":"\nAdapter les plans d\u2019assurance s\u00e9curit\u00e9 (PAS) pour ne pas \u00eatre pris au pi\u00e8ge<\/h4>\n
Quelles sont les principales difficult\u00e9s \u00e0 date ?<\/h2>\n
Des impacts qui restent pour la plupart intangibles, ou indirects<\/h4>\n
Une difficult\u00e9 \u00e0 estimer avec certitude le degr\u00e9 d\u2019exposition d\u2019une entreprise au risque cyber<\/h4>\n
Un cruel manque d\u2019informations sur les attaques les plus r\u00e9centes et leur co\u00fbt<\/h4>\n
Quelques premi\u00e8res pistes pour quantifier le risque cybers\u00e9curit\u00e9<\/h2>\n
Les pr\u00e9requis \u00e0 une quantification des risques optimale<\/h3>\n
\n
La m\u00e9thodologie FAIR, une approche qui vient pr\u00e9ciser certaines phases de l\u2019analyse et du traitement des risques<\/h3>\n
![\"\"](\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/06\/Image-1-1.png\")
<\/figure>\n![\"\"](\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/06\/image-2-1.png\")
<\/figure>\n\n
\n
Quelles sont les avantages et les limites de la m\u00e9thodologie FAIR ?<\/h3>\n
\n