Cependant, comment modéliser ces différentes données d’entrée de FAIR ? Comment se font les calculs sur les données ? Existe-t-il des outils pour faciliter leur obtention ou évaluer leur qualité, et quels efforts demandent-ils pour être mis en œuvre ?

Ayants vu précédemment dans quelle mesure la méthode de quantification du risque était digne de confiance dans son déroulement, voyons à présent comment la part inévitable de subjectivité peut être confinée, et quels facilitateurs peuvent aider à obtenir des résultats sûrs.

Le carburant de FAIR : les données

L’analyse du risque proposée par FAIR (selon le document de normalisation édité par l’OpenGroup[3]) est réalisée en quatre temps :

• Dans un premier temps, de façon assez classique, il s’agit de préciser le périmètre du risque en question (Scope the analysis) : l’asset (le bien sujet au risque), le contexte de la menace (agent et scénario), et l’évènement de perte (ou évènement redouté considéré sous l’angle des pertes) ;
• La deuxième étape (Evaluate Loss Event Frequency) consiste à collecter l’ensemble des données fréquentielles liées à l’évènement de perte (et donc intimement lié à l’agent de menace). Ceci consiste à collecter les valeurs de la branche de gauche dans l’arborescence ci-dessous.
• La troisième (Evaluate Loss Magnitude), en évaluant les couts, focalise sur l’asset. Il s’agit alors de chiffrer les différentes pertes primaires (c’est-à-dire les pertes inévitables en cas d’occurrence du risque) et secondaires (ou pertes éventuelles, ne se produisant pas systématiquement en cas d’avènement du risque). Ceci consiste à collecter les valeurs de la branche de droite dans l’arborescence ci-dessous.
• Enfin, la dernière étape (Derive and Articulate Risk) est le fusionnement des données obtenues conformément à l’arborescence FAIR par différents calculs, pour obtenir le résultat sous forme d’outputs exploitables.

Lien entre l’analyse et la taxonomie de FAIR

Sans aller plus dans le détail de la taxonomie, déjà abordé dans l’article présenté précédemment2, nous constatons que l’analyse standard d’un seul risque demande déjà sept données (correspondant aux éléments de la base de l’arborescence) :

1. Contact frequency;
2. Possibility of action;
3. Threat capability;
4. Resistance strength;
5. Primary loss magnitude;
6. Secondary loss magnitude;
7. Secondary loss event frequency.

Il faut ajouter à cela que FAIR invite à décliner les pertes (primaires et secondaires) en six catégories (facilitant ainsi l’estimation précise de ces données de pertes) :

• En pertes de production : liées à l’interruption du service produit par l’asset ;
• En cout de réponse : liées à la réponse à incident ;
• En frais de remplacement : liées au remplacement des constituants endommagés de l’asset ;
• En frais de justice : liées aux amendes et poursuites juridiques ;
• En perte d’avantage compétitif : liées à l’impact sur l’organisation dans son secteur d’activité ;
• En pertes de réputation : liées aux retombées sur l’image publique de l’organisation.

Comment modéliser correctement l’incertitude du risque ?

De plus, il est bon de se poser la question de ce qu’est concrètement une donnée FAIR.

En effet, il est trop réducteur de définir une donnée par une unique valeur chiffrée. Par exemple, si nous considérons l’attaque par rançongiciel : il serait incorrect d’affirmer qu’une occurrence de ce risque couterait exactement 475 k€[4] (illustrée par la courbe bleue sur le graphe 1).

Graphe 1 : Une distribution, un modèle plus réaliste qu’une valeur isolée

En revanche, ajouter de l’incertitude à cette donnée en l’accompagnant d’une borne minimale (qui pourrait être de 1 € dans notre exemple) et d’une borne maximale (de 300 M€ dans l’exemple), tout en gardant la valeur la plus probable énoncée précédemment, permettrait de modéliser beaucoup plus fidèlement la réalité (courbe violette du graphe 1).

Une donnée est alors définie par un minimum, un maximum et une valeur la plus probable (correspondant au pic de la distribution). Nous pouvons de plus noter qu’une telle distribution de probabilité est indépendante du type de valeurs considérées : il peut aussi bien s’agir d’une perte dans une devise quelconque (cf. l’exemple précédent), que d’une occurrence (par exemple, entre 1 fois par an et 1 fois tous les 10 ans, et une valeur plus probable autour d’une fois tous les deux ans), ou bien même d’un ratio (entre 30% et 70 %, plus probablement autour de 45%). Nous pouvons ainsi utiliser ces distributions pour modéliser toutes les données de la taxonomie FAIR.

Un autre avantage de la modélisation de l’incertitude par une distribution est de pouvoir régler finement le degré de confiance dans la valeur la plus probable, via le coefficient d’aplatissement de la courbe. Plus ce dernier sera élevé, plus la confiance dans la donnée sera grande (correspondant à un pic très marqué, cf. la courbe verte sur le graphe 2). En revanche, une donnée peu fiable sera modélisée par une distribution beaucoup plus homogène (cf. la courbe rouge sur le graphe 2).

Graphe 2 : Refléter le niveau de confiance à travers les distributions

Cependant, le fait d’utiliser des distributions plutôt que des valeurs fixes pose problème lorsqu’il s’agit de les combiner entre elles, ce qui sera nécessairement le cas lorsque nous effectuerons les calculs de l’arborescence FAIR. Comme nous pouvons en effet le constater sur le graphe 3 (l’addition de la distribution verte et de la rouge donnant la violette), l’addition de deux lois de distribution ne permet pas d’obtenir une distribution aussi ‘simple’ que les précédentes (elle ne suit plus une loi de probabilité dite log-normale). Cela est également le cas dans le cadre d’une multiplication (dont le résultat est également complexe).

Graphe 3 : addition de deux distributions.

Pour obtenir un résultat mathématiquement cohérent, la théorie des jeux nous donne un moyen simple : les simulations de Monte Carlo. Il s’agit en effet de discrétiser les distributions (la verte et la rouge du graphe 3), en un nombre prédéfini de valeurs aléatoires (appelé nombre de simulations), réparties de façon à correspondre à la distribution concernée. Nous pouvons ensuite combiner les distributions ainsi discrétisées en effectuant les calculs sur des paires de valeurs de chaque distribution. La nouvelle répartition pourra ensuite être approximée, et sera d’autant plus précise que le nombre de simulations sera grand.

Les caisses à outils artisanales pour automatiser FAIR…

Pour effectuer ces calculs permettant d’obtenir une valeur chiffrée du risque, des solutions ont émergé (principalement à partir de la méthode FAIR). Nous aborderons donc ici les avantages et inconvénients de ces outils, qui sont également cités dans l’article précédent1.

L’OpenFAIR Analysis Tool

La première que nous pouvons citer est l’OpenFAIR Analysis Tool[5]. Si cet outil a simplement un but pédagogique, il permet néanmoins de comprendre le fonctionnement de FAIR. Il est ainsi possible d’avoir une première application concrète de la méthode, et d’obtenir des résultats simplement (uniquement dans le cadre d’une analyse d’un risque isolé). Mis sur pied par l’université de San José (Californie) en collaboration avec l’OpenGroup, cet outil utilise une feuille Excel pour obtenir une évaluation du risque à partir d’un nombre prédéterminé de simulations, en respectant scrupuleusement la taxonomie FAIR.

OpenFAIR Risk Analysis Tool : un outil avant tout pédagogique

Très utile pour avoir un premier contact avec la quantification, l’outil reste cependant très limité en termes d’utilisation. Enfin, il faut noter qu’il n’est accessible que sous Excel et avec une licence d’évaluation limitée à 90 jours.

Riskquant

Pour une utilisation à plus grande échelle, le département R&D de Netflix a mis sur pied la solution Riskquant[6]. Il s’agit d’une bibliothèque de programmation Python, s’appuyant notamment sur tensorflow (un module python spécialisé pour le calcul statistique massif). La particularité de Riskquant est de proposer une quantification du risque inspirée de la taxonomie FAIR, mais ayant gardé une grande liberté dans son implémentation. Développée pour faciliter l’utilisation sur des conteneurs, elle permet par conception des évaluations très rapides à partir de fichiers csv.

Riskquant : une approche originale mais manquant de maturité

Cependant, le fait de n’avoir gardé de FAIR qu’une valeur unique de perte et une fréquence unique la rend peu exploitable, notamment dans le cadre d’une organisation qui chercherait à cadrer précisément ses risques. De plus, elle ne fournit à ce jour que peu de résultats exploitables et manque clairement de maturité. Enfin, elle semble à ce jour mise en sommeil depuis le 1^er mai 2020 (date du dernier dépôt sur la page GitHub de la solution).

PyFAIR

Pour finir ce paragraphe sur les solutions pouvant servir de base à une implémentation de FAIR, la bibliothèque PyFAIR est disponible sur le dépôt python officiel (téléchargeable via l’outil pip). Désormais mature, l’outil permet une décomposition du risque suivant la taxonomie FAIR. Il permet également d’alimenter l’arborescence à partir de valeurs intermédiaires, ou de regrouper des données pouvant servir à plusieurs risques (permettant par exemple des regroupements par asset ou menaces). Il est capable de calculer des risques globaux, et fournit des distributions facilement exploitables sous python, mais également des graphiques et des rapports HTML préformattés.

PyFAIR, une bibliothèque complète et efficace en Python

Bien qu’elle reste une boite à outil de programmation, demandant de fait une appétence et du temps pour développer et entretenir une solution en Python, PyFAIR est bien conçue. Elle facilite l’implémentation de FAIR en restant très proche de la taxonomie, et fournit des fonctions facilitant la mise en œuvre comme l’exploitation des résultats. Apte à être exploitée à plusieurs niveaux (i.e. en l’utilisant uniquement pour calculer des résultats à partir d’un paramétrage fin de FAIR et de Monte Carlo, ou bien en exploitant des fonctions de génération de rapports de haut niveau), elle permet d’envisager une utilisation de la quantification techniquement facilitée et à grande échelle.

Des plateformes ‘clé en main’ pour faciliter l’acquisition des données :

Néanmoins, la difficulté principale de FAIR reste, comme nous l’avons vu précédemment, l’obtention de données et leur fiabilité. Pour y faire face efficacement, la solution la plus efficace est de s’appuyer sur une plateforme intégrant une base de données de CTI.

Ces plateformes fournissent les valeurs de risque liées aux menaces (donc très peu dépendantes de l’entreprise). Elles accompagnent de plus le déploiement et la mise en œuvre de la méthode de quantification, notamment en la guidant pour l’obtention de données de pertes adaptées.

RiskLens

La première de ces solutions est la plateforme RiskLens[7]. Cette solution, directement issue de la méthodologie FAIR, a été co-fondée par Jack Jones. Elle sert de support technique au développement de la méthode, en lien avec le FAIR Institute. Ayant une approche technique de la méthode, elle porte son effort sur le respect des standards de l’analyse en général et de la définition du périmètre (première étape de FAIR) en particulier.

RiskLens, l’application de FAIR à la lettre

Néanmoins, il faut noter que d’une part, cette solution demande d’avoir des notions avancées dans la méthode FAIR pour être facilement utilisable. En effet, la plateforme n’apporte pas une véritable aide pour l’obtention des données (qui comme nous l’avons vu, reste la clé de voute de la quantification), partant du principe que la définition du périmètre suffit à définir précisément la donnée, et de ce fait de l’obtenir aisément. D’autre part, il s’agit d’une plateforme américaine, ce qui implique que l’interface (assez peu intuitive) est uniquement disponible dans cette langue, et que les données collectées sont alors assujetties à la réglementation américaine.

CITALID

La seconde plateforme dont nous ferons mention ici est la startup française CITALID, qui a adopté une approche fondamentalement différente. En effet, cette dernière, fondée par deux analystes de l’ANSSI, recherche par conception à lier la CTI à la gestion de risque. Ainsi, utilisant FAIR comme l’outil leur permettant de réaliser ce lien, elle fait effort sur la conception et le maintien d’une base de données disposant de chiffres solides et maintenus à jour pour suivre au plus près la situation cyber géopolitique locale et internationale.

CITALID, une base de données à haute valeur ajoutée

Cette dernière plateforme apporte un vrai accompagnement dans la définition et la collecte des données, permettant ainsi d’identifier précisément où subsiste la part de subjectivité indéniablement liée au risque. Disponible en français et en anglais, elle facilite la gestion du risque cyber en prenant en compte tous les paramètres de l’organisation (localisation, taille, secteur d’activité, niveau de maturité, conformité aux référentiels, etc.) pour fournir des données de contextes adaptées. En outre, et en plus d’une explicitation de chacun des champs de la plateforme, la startup accompagne ses clients dans l’obtention des données qui sont de leur ressort.

FAIR le premier pas…

Quoi qu’il en soit, la difficulté demeurera toujours de réussir la transition de l’estimation qualitative à l’estimation quantitative. Bien que des solutions puissent faciliter cette bascule, l’abandon d’une méthode maitrisée pour une nouvelle méthode reste un défi, malgré tous les bienfaits que cette dernière promet.

S’il fallait insister sur 3 points pour envisager ce changement, ceux-ci pourraient être :

• D’une part, de s’assurer d’avoir la maturité requise. La quantification demande d’avoir une bonne maitrise du niveau de sécurité du SI concerné, et de s’adosser à une méthode de gestion du risque préexistante et rodée. Si la quantification apporte des solutions pour chiffrer un risque, le provisionner ou estimer le ROI d’une mesure, il est cependant inutile (voire contre-productif) de s’engager sur cette voie trop tôt (sous peine au mieux de perdre du temps, au pire de dégrader la gestion de risque existante).
• Ensuite, d’avoir une approche progressive dans le déploiement de la quantification. Dans un SI mature disposant d’une gestion de risque stable, il est préférable d’adopter progressivement la méthode quantitative. Cela permet notamment de prendre confiance dans les estimations produites (éventuellement en le faisant coexister avec la méthode d’estimation qualitative) et d’assimiler la méthodologie, tout en assurant son intégration dans le processus existant de gestion du risque.
• Pour terminer, de s’appuyer sur l’expérience existante dans la collecte des données de risque cyber. La difficulté résidant dans l’obtention de données sûres, il est crucial (pour avoir confiance dans la méthode) de disposer de chiffres sûrs. Il semble alors judicieux de s’appuyer sur une plateforme qui peut fournir des données de qualité, et un appui dans la collecte des données internes. Celle-ci disposera de plus de l’expérience acquise par le déploiement de la méthode sur d’autres clients. La qualité des résultats fournis sera alors l’élément clé dans la confiance que l’organisation aura dans la méthode quantitative.

[1] https://www.riskinsight-wavestone.com/2020/11/estimation-quantifiee-du-risque-1-2-lodyssee-de-la-quantification/

[2] https://www.riskinsight-wavestone.com/2020/06/la-quantification-du-risque-cybersecurite/

[3] https://publications.opengroup.org/c13g

[4] https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf

[5] https://blog.opengroup.org/2018/03/29/introducing-the-open-group-open-fair-risk-analysis-tool/

[6] https://netflixtechblog.com/open-sourcing-riskquant-a-library-for-quantifying-risk-6720cc1e4968

[7] https://www.risklens.com/

Cet article Estimation quantifiée du risque (2/2) : Quelles données, quels outils ? est apparu en premier sur RiskInsight.

Aussi est-il utile à ce point de faire un tour d’horizon des méthodes et théories existantes, ou susceptibles d’aboutir sur des résultats concrets. Dans le big-bang de la quantification du risque cyber, quels sont les ancrages théoriques qui pourraient voir naitre une méthode ? Lesquels ont abouti, lesquels semblent matures ? Pouvons-nous espérer à plus ou moins long terme des alternatives aux méthodes d’évaluation quantitatives actuelles ?

Feuille de route : Analyse de risque et quantification : qu’en attendre ?

Pour situer la quantification dans le champ de la gestion du risque, commençons par préciser ce que nous cherchons. Au sein d’un procédé de gestion de risque, l’objectif est avant tout de définir une valeur chiffrée exploitable illustrant un niveau de risque (généralement un coût financier).

Il s’agit donc, en reprenant les termes de l’ISO 27k, uniquement d’une nouvelle évaluation du risque. En effet, les phases précédentes de contextualisation et d’identification des risques n’ont pas à priori de raisons d’être concernées par la quantification. Les phases de traitement, d’acceptation, de supervision ou de communication du risque, si elles bénéficieront des résultats de l’analyse quantitative, n’ont pas plus vocation à être bousculées dans leurs fondements. Il s’agit donc en réalité de trouver des moyens pour estimer chaque risque.

Ce point, plutôt trivial mais crucial, nous permet de nous assurer que, bien que fondamentalement différentes des méthodes qualitatives dans leurs résultats, les méthodes quantitatives s’adosseront quoi qu’il en soit à des méthodes préexistantes. Ceci permet de se rassurer sur le fait que, bien qu’il soit nécessaire pour les employer de disposer d’une gestion de risque mature, cette gestion de risque sera également le socle de la quantification (qui exploitera ainsi la phase d’identification préexistante).

Maintenant que nous avons cadré l’apport de la quantification dans l’analyse globale des risques d’une organisation, précisons ce que nous souhaitons en attendre indépendamment de la possibilité de réalisation de ces assertions :

• D’une part, il est impératif que cette méthode soit plus précise dans son résultat par rapport à la méthode qualitative qui la précède. Ceci signifie surtout que, dès la première occurrence et sans avoir fourni de résultat auparavant, elle doit donner une estimation chiffrée précise (qui peut dans la mesure du possible contenir plusieurs valeurs : risque maximal ou risque probable notamment).
• Nous pouvons également vouloir qu’elle soit plus rapide à réaliser, ou du moins qu’elle se réalise dans un temps acceptable, afin de pouvoir remplacer complètement à terme l’estimation qualitative. Il s’agit ici du temps qu’il serait nécessaire pour mettre en œuvre l’analyse, et ce sans avoir à s’inquiéter outre mesure des délais du calcul (ce dernier pouvant aujourd’hui assez efficacement être délégué, en particulier via le cloud). Il s’agit finalement si nous croisons ce souhait avec le précédent d’avoir une meilleure efficience que l’évaluation qualitative.
• Par ailleurs, il est souhaitable que l’estimation quantitative s’appuie sur des données concrètes, afin de gagner en crédibilité dans les résultats produits. En effet, le processus d’une méthode quantitative étant fondée sur des théories mathématiques, seule une implémentation incorrecte pourrait introduire de la subjectivité dans les valeurs obtenues. Ce dernier point permettrait de justifier qu’en un temps équivalent à l’analyse qualitative, nous ayons des résultats plus fins.
• Enfin, et cela découle du point précédent, il nous est nécessaire de disposer d’une taxonomie précise, afin que les données à collecter soient clairement définies quel que soit le risque envisagé. En effet, si l’estimation quantitative s’appuie sur des théories mathématiques éprouvées, la qualité des données produites ne dépendra alors plus que de la qualité des données utilisées en entrée, et plus particulièrement de la pertinence et de la cohérence de la donnée au vue de sa définition.

Au centre de la galaxie : passer de la théorie à la pratique

Ayant précisé quels sont les caractéristiques de la quantification, voyons maintenant quels sont les théories mathématiques qui permettraient de prendre en compte l’aléa lié à un risque.

Considérons par exemple la théorie des Fuzzy sets, ou ensembles flous. Cette théorie mathématique est basée sur le principe qu’un élément, au lieu d’appartenir ou non à un ensemble, puisse ne lui appartenir que partiellement selon un degré variable. Cela pourrait permettre de faire ressortir l’occurrence ou l’impact d’un risque au travers du degré d’appartenance de ce risque à des ensembles. Cette théorie, bien qu’intéressante, n’a cependant pas débouché sur des applications concrètes.

Une autre approche, que l’on pourrait qualifier de corrélative, reposerait sur l’utilisation de réseaux de neurones auto-apprenants pour déterminer à partir de données de CTI, quel serait le niveau du risque d’une entreprise au vu de ses caractéristiques. Cette théorie a bénéficié de l’engouement actuel pour l’intelligence artificielle, au point de déboucher au niveau universitaire sur des études comparant les différents modes d’apprentissage (notamment BP[2] ou RBF[3]) en vue d’une utilisation dans le cadre d’une analyse de risque cyber. Cependant, elle ne semble pas à ce jour suffisamment mature pour parvenir à obtenir une méthode réaliste.

Finalement, la seule solution mathématique ayant porté des fruits à ce jour a été l’analyse statistique (et la théorie des jeux qui offre le moyen de combiner les distributions statistiques, voir à ce sujet le billet « Quantification du risque et données : conseils et outils »[4]). Le principe de l’analyse statistique est de se baser sur des observations statistiques pour estimer le niveau d’un risque. L’aléa du risque est alors, en grande partie, pris en compte par la répartition de la distribution statistique.

A partir de ces statistiques, deux approches sont envisageables :

• La première est illustrée par une méthode proposée par l’IMF[5]. Elle se propose d’évaluer un risque cyber par une analyse statistique fine et détaillée. Elle est cependant très calculatoire et peu accessible pour une utilisation régulière dans le cadre d’une estimation quantifiée du risque. Elle garde cependant un intérêt indubitable dans le cadre d’une analyse d’un niveau de risque cyber sur plusieurs entités dont on disposerait de données, ce qui peut s’avérer utile pour un assureur ou dans le milieu de la banque. Elle reste cependant cloisonnée à cette utilisation. Réduisant d’autant le périmètre déjà limité des entités disposant d’une maturité cyber acceptable, cette méthode ne semble pas pouvoir proposer à court ou moyen terme une solution exploitable à l’échelle du SI d’une organisation.
• La seconde consiste à décomposer tout risque cyber en fonction de caractéristiques communes. C’est notamment l’approche de la méthodologie FAIR : elle propose dans sa taxonomie (cf. ‘comment appliquer la méthode FAIR’1) une dissociation du risque en fonction de son occurrence et de l’impact estimé d’un point de vue financier. FAIR propose ensuite une déclinaison de ces deux paramètres qui, du fait de leur caractère universel, peuvent s’appliquer de ce fait à n’importe quel risque cyber. Ce type de méthode a donc l’avantage de proposer un processus identique pour l’analyse de tout risque cyber, favorisant son utilisation dans un contexte organisationnel qui peut ensuite comparer des risques cyber de nature distincte.

La galaxie de la quantification

La méthode FAIR : un trou noir supermassif

Actuellement, seule la méthode FAIR a donné naissance à des solutions de quantification exploitables au sein d’une entreprise. Son monopole dans le domaine est tel, qu’elle est devenue une référence incontournable pour qu’une solution ou une méthodologie subsiste. Tel un trou noir, elle attire à elle toutes les solutions actuelles de quantification. Nous pouvons par exemple pour illustrer ceci citer la bibliothèque Risquant, développée par le département R&D de Netflix[6]. Cette dernière annonce clairement s’appuyer sur la méthode FAIR. Elle prend néanmoins une grande liberté dans l’interprétation de la taxonomie et de l’analyse, mais le fait de citer cette filiation lui permet cependant d’être plus facilement acceptée et reconnue.

Cette hégémonie de FAIR s’explique assez facilement :

• Pour commencer, c’est une méthode pragmatique par conception. Son inventeur, Jack Jones, l’a mise sur pied alors qu’il était RSSI d’un grand groupe américain, et qu’il lui était demandé de justifier du ROI cyber. Elle a donc été initiée dans un but opérationnel, puis s’est affinée et a gagné en crédibilité en s’appuyant sur des outils et des théories mathématiques. Ce concept de développement (i.e. le fait que la méthode soit née d’un besoin puis justifiée ensuite mathématiquement), fait de FAIR une méthode particulièrement appréciée des premiers concernés que sont les RSSI et autres cyber-risk managers.
• Ensuite, elle a été particulièrement visionnaire, puisqu’elle a précédé toutes les autres méthodes. Apparue en 2001, elle a fait dès 2006 l’objet d’une publication explicitant en détail son fonctionnement et sa taxonomie. Au fur et à mesure, une communauté s’est constituée autour de Jack Jones et de sa méthode, le FAIR Institute. Ce dernier a eu à cœur de poursuivre la maturation et la diffusion de la méthode. Ceci s’est notamment concrétisé par la mise en place de facilitateurs pour la rendre toujours plus efficiente et exploitable.
• La méthode FAIR dispose également d’une base particulièrement solide : outre la publication évoquée ci-dessus et qui a fait l’objet en 2016 d’une réédition enrichie, elle s’appuie sur deux documents de standardisation, édités par l’OpenGroup (consortium à l’origine du standard d’architecture de SI TOGAF). L’OpenGroup propose également une certification à la méthode, basée sur ces deux standards, et qui ajoutent au rayonnement de la méthode.
• Enfin, FAIR est fortement soutenue (en particulier outre-Atlantique) : la communauté qui l’anime est particulièrement active et contribue autant à son évolution qu’à sa promotion : les liens entre l’OpenFAIR et le FAIR Institute, tous deux cités ci-dessus, sont sensiblement étroits. La solidité de ses liens est assurée par le fait que Jack Jones, père de la méthode, joue un rôle central dans les deux organisations.

Ainsi, dans le monde de la quantification du risque cyber, les seules solutions opérationnelles à ce jour s’appuient toutes, avec une filiation plus ou moins grande mais toujours affichée, sur la méthodologie FAIR.

Si la maturité de celle-ci semble désormais acquise, son monopole dans le domaine permet avec peu de doute d’envisager, au moins pour les années à venir, qu’elle restera la seule méthode de quantification. Pour qu’une autre méthode puisse un jour faire jeu égal, et outre le fait qu’il lui faudra asseoir sa crédibilité conceptuelle, il lui faudra surtout se faire une place à côté de l’hégémonie de FAIR, tout en prouvant qu’elle est plus efficiente que cette dernière, qui a désormais acquis ses lettres de noblesse.

[1] https://www.riskinsight-wavestone.com/2020/06/la-quantification-du-risque-cybersecurite/

[2] Back-propagation : propagation inverse

[3] Radial basis functions : fonctions de base radiale

[4] Article 2 disponible sur Risk Insight

[5] https://www.imf.org/en/Publications/WP/Issues/2018/06/22/Cyber-Risk-for-the-Financial-Sector-A-Framework-for-Quantitative-Assessment-45924

[6] https://netflixtechblog.com/open-sourcing-riskquant-a-library-for-quantifying-risk-6720cc1e4968

Cet article Estimation quantifiée du risque (1/2) : L’odyssée de la quantification est apparu en premier sur RiskInsight.

Pour l’instant moins connue et moins répandue en Europe que ses consœurs EBIOS RM & Mehari (entre autres), la méthode d’analyse de risques FAIR comble néanmoins des vides laissés par les autres approches. Déjà mise en avant par Wavestone dans un article précédent, ses principaux atouts résident dans la mise en perspective de données habituellement boudées par l’analyse de risque traditionnelle d’une part, et d’autre part dans sa capacité à générer des métriques dédiées à l’aide à la décision stratégique et adaptées au langage des décideurs, comme la Value at Risk.

Néanmoins, comme le souligne ce même article, cette approche est a priori desservie par le temps, les ressources humaines et la multiplicité des connaissances nécessaires pour la mener à bien. Dès lors, bien que le concept soit séduisant, est-il réaliste de déployer la méthode FAIR ? Comment traduire opérationnellement sa nomenclature ? Quid de son automatisation ? Plus largement, apporte-t-elle une plus-value suffisante pour justifier son utilisation ?

Nonobstant son efficacité indéniable en matière de quantification des risques, une telle approche nécessite d’être encadrée à la fois par un dispositif technique adapté et par un accompagnement fonctionnel, essentiel dans la collecte des données. C’est d’autant plus vrai que quantifier financièrement ses potentielles pertes financières en cas d’incident cyber n’est pas suffisant : encore faut-il avoir la capacité de les mettre en perspective dans un écosystème de menaces polymorphes et évolutives. C’est toute l’innovation de Citalid : être capable de réaliser une quantification dynamique du risque cyber à destination des décideurs, en croisant automatiquement la réalité de la menace qui pèse sur une entreprise, son contexte métier et sa maturité défensive. Et, surtout, ne pas s’arrêter à la seule analyse : générer un plan d’action qui reflète l’équilibre optimal entre efficacité et rentabilité.

L’empirisme comme cadre d’automatisation de FAIR

Contextualiser l’environnement externe

Comme dans toute analyse, l’objectivité de l’observation croît avec le nombre de paramètres pris en compte. S’il est fréquent, voire habituel, que le contexte interne d’un système d’information soit étudié, il est plus rare que l’analyste s’intéresse à l’ensemble des dynamiques externes pouvant influencer l’analyse. Ces dynamiques, qui peuvent revêtir des réalités variées comme nous allons le voir, peuvent pourtant fortement influencer la fréquence et l’intensité des menaces cyber. Il est toutefois difficile de dresser une typologie exhaustive de ces données, et leur prise en compte relève quasi-systématiquement du mélange de deux ingrédients :

• La curiosité et l’esprit logique de l’analyste (in fine, sa capacité à se projeter dans / s’adapter à un contexte) ;
• La bonne visibilité du ou des responsable(s) du système et des activités sur leurs périmètres ;

Parmi les critères exogènes pouvant infléchir l’analyse de risque figurent : l’environnement concurrentiel, la position de l’entreprise sur son marché, ses implantations géographiques, les dynamiques géopolitiques, les politiques internes, le cadre normatif, le climat socio-économique, la diversité de ses activités, etc.

Pour autant, il serait aisé de se perdre dans ce labyrinthe de critères. Il est donc nécessaire d’accompagner le décideur dans la constitution d’une cartographie de son environnement au sens le plus englobant du terme. C’est donc par l’échange et l’intelligence collective qu’un premier niveau de filtre se crée, en dressant un périmètre d’analyse à la fois structuré et flexible.

Si définir le périmètre de l’analyse permet de fixer un cadre cohérent, une multitude de risques peuvent toutefois s’y insérer. Il est d’ailleurs à noter que le périmètre défini peut lui-même être une composante d’un périmètre d’analyse plus large. En ce sens, les différents périmètres déterminés peuvent s’articuler sous forme d’arbre hiérarchique, calquant souvent l’organisation interne de l’entreprise (cf. schéma ci-dessous).

Ainsi, dans l’exemple ci-contre, le niveau groupe est représenté par le périmètre « Energy Company », qui agrège le risque de l’ensemble de ses périmètres « enfants » (ici ses « business units »). Chaque périmètre présente pourtant un contexte et des risques qui lui sont propres. Cette arborescence joue un rôle prédominant dans la construction d’une bibliothèque pertinente de scénarios de risques afférents. On pourrait aisément être tenté de remonter à l’échelon groupe pour globaliser ses scénarios, mais cela détériore souvent de facto la granularité, et donc la qualité, de l’analyse en raison des particularismes de chaque périmètre.

Construire une bibliothèque pertinente de scénarios

Ce travail de cadrage conditionne donc le choix et le paramétrage des scénarios de risque. Ce paramétrage et le calcul en résultant est rendu complexe par le nombre de critères à prendre en compte et l’incertitude inhérente au risque cyber. Sans revenir sur la méthodologie propre à FAIR déjà abordée sur ce blog, il peut donc être long et fastidieux de construire un grand nombre de scénarios de risque tout en tenant compte des spécificités de chaque périmètre. Une solution à ce problème réside donc dans la construction d’une bibliothèque de scénarios pouvant s’adapter à chaque contexte métier et englobant plusieurs typologies de menaces. En se fondant sur l’expérience des opérateurs et les données accumulées, Citalid dispose aujourd’hui de plusieurs bibliothèques de scénarios et de pertes, répertoriées dans des répertoires ‘Métiers’. Ceux-ci sont facilement exportables sur la plateforme, tout en conservant une part de flexibilité permettant aux scénarios indiqués de s’adapter très précisément au contexte business. Dans la continuité du use-case utilisé plus haut, l’image ci-dessous illustre une bibliothèque ‘fictive’ de scénarios reliée au secteur ‘Energie’. S’agissant d’une version ‘Démo’, ce panel est toutefois non exhaustif.

C’est ainsi que la bibliothèque de scénarios de Citalid s’inscrit dans une double-dynamique à première vue contradictoire : capables de répondre aux exigences d’efficacité et d’automatisation de l’analyse, elle reste suffisamment flexible pour s’implémenter avec précision et pertinence dans n’importe quel contexte. Chaque typologie de menace, combinée aux caractéristiques du périmètre analysé, détermine la fréquence d’occurrence et les pertes financières, qu’elles soient primaires ou secondaires, inhérentes au scénario choisi. Dans le cas d’un scénario d’espionnage économique par exemple, on peut affirmer sans trop s’avancer qu’il y aura systématiquement une perte liée à la remédiation de l’incident, une perte liée à l’exfiltration des données et une perte résultant de l’atteinte à la réputation de l’entité si l’attaque venait à devenir publique.

En complément, pour que les paramètres quantitatifs (fréquence de la menace, résistance du SI à l’attaque, fréquence et magnitude des pertes, actifs ciblés, etc.) du scénario restent pertinents, ils doivent être profilés sur les caractéristiques du périmètre cible. C’est pourquoi l’expertise de Citalid réside en partie dans la définition et le maintien à jour – les menaces cyber et les abaques disponibles évoluant vite – d’une bibliothèque de templates au sein de laquelle l’analyste doit pouvoir piocher pour amorcer facilement et automatiquement son évaluation du risque.

Accumuler des données sur les menaces cyber et leurs impacts permet donc de calibrer des « templates » de scénarios, et d’automatiser ainsi progressivement l’analyse FAIR. En combinant renseignement sur la menace, modèles techniques et abaques issues d’analyses en source ouverte et de retours clients pour aider les analystes, la plateforme Citalid – plusieurs fois primée pour son innovation[1] – prend le parti de l’intelligence collective pour assurer une rigueur scientifique et une précision inégalée dans la quantification des pertes financières.

Remettre les risques en perspective avec l’écosystème de défense

Le RSSI comme pilote de son SI

En matière de management de la cybersécurité, le RSSI constitue, sans surprise, le point central du dispositif. Pour cela, il doit avoir la capacité de visualiser rapidement l’ensemble du panorama des risques cyber pesant sur son SI – une vision « cockpit », pour ensuite infléchir des orientations à plus grande échelle. Il a donc besoin d’un GPS pour le guider dans ses décisions : comment mener son SI d’un point A (état des lieux du risque actuel) à un point B (exposition au risque souhaitée), en prenant soin d’optimiser sa trajectoire (investissements cyber) tout en évitant les obstacles (menaces) qui apparaissent dynamiquement sur sa route.

Exemple de dashboard de risque, illustrant la vision ‘cockpit’ du RSSI.

Une fois les différents scénarios établis et la quantification réalisée, la difficulté réside dans la possibilité de traduire ces risques qualifiés de « bruts » en une roadmap stratégique. La première étape consiste ainsi à mettre en perspective ces risques en les confrontant à l’infrastructure défensive actuelle du SI. La connaissance de son environnement constitue un prérequis à l’analyse pour le RSSI. D’autant plus qu’en matière d’infrastructure défensive, deux options majeures existent et se complètent parfois : opter pour une logique de maturité défensive fondée sur le respect d’un ou plusieurs référentiel(s) (ISO 27k, NIST, CIS, etc.) ou réaliser – puis comparer avec ses pairs – un inventaire et une évaluation de l’ensemble des solutions de sécurité déployées sur le périmètre.

« Une confrontation permanente entre théorie et expérience est une condition nécessaire à l’expression de la créativité » ^[1]. On ne saurait trouver aphorisme plus révélateur de la méthode énoncée ici : celle de la confrontation entre théorie (risques bruts) et expérience (évaluation de la maturité défensive fondée sur une multitude de retours et d’incidents) comme condition nécessaire de la création d’une roadmap. La confrontation permet d’obtenir le risque « net » auquel est réellement confrontée l’entreprise, inférieur au risque brut puisqu’il considère les défenses du SI.

Alimenté par des métriques « actionnables », le décideur pourra désormais avoir une visibilité sur son risque réel dans son langage, et par conséquent pouvoir arbitrer et déterminer sa destination – son point B – en fonction de son appétit au risque et de la politique de l’entreprise. Quels scénarios traiter en investissant pour réduire le risque associé ? Lesquels maintenir, au regard de leur faible impact économique ? Lesquels partager à un assureur cyber ? Toutefois, comme nous allons le voir, la modélisation du risque net décrite dans le paragraphe précédent requiert une connaissance conséquence de l’écosystème de menaces dans lequel il s’inscrit.

La Cyber Threat Intelligence, catalyseur d’une gestion des risques optimale

L’une des principales lacunes du management des risques en matière de cybersécurité se cristallise autour de la difficulté à déployer une approche qui reflète la réalité du risque « terrain ». Le RSSI ou le Risk Manager doit donc également avoir un radar pour détecter dynamiquement les obstacles sur son chemin (menaces) et, dans la mesure du possible, anticiper et prévenir les impédimentas.

Ainsi, de la même façon qu’un éboulement de pierre sur une route est le résultat d’une conjonction de multiples facteurs (conditions météorologiques, caractéristiques géologiques, activité humaine, etc.), le passage à l’acte d’un attaquant dépend de nombreux éléments. Ces éléments doivent, dans la mesure du possible, être observés et inclus dans l’analyse de risque. Dès lors, la Cyber Threat Intelligence (CTI), discipline dédiée à l’étude et la contextualisation des modes opératoires des attaquants, enrichit et dynamise les analyses de risque traditionnelles. La maîtrise et l’inclusion de cette discipline dans la gestion du risque cyber est l’un des différenciateurs majeurs de Citalid et irrigue toute sa culture d’entreprise.

Comment marier opérationnellement et durablement les données de CTI aux calculs de risque annoncés dans le paragraphe précédent ? On peut en avoir l’intuition en constatant les trois faits suivants :

• Le segment de marché de l’entreprise aide à déterminer les modes opératoires les plus susceptibles de s’intéresser à elle ;
• Les techniques d’attaques utilisées par ces modes opératoires et leurs centres d’intérêt au sein des SI ciblés permettent d’identifier les actifs les plus critiques et de savoir comment améliorer leur protection ;
• En confrontant à nouveau les données de CTI définies dans les deux points précédents avec son infrastructure défensive, l’entité peut identifier quel champ d’application (au sens entendu par un référentiel de sécurité) ou quelle solution de défense n’est pas assez rentable (réduction du risque par rapport au coût).

Le schéma ci-dessus représente un exemple concret d’application de la CTI à l’analyse de risque, agissant comme un véritable catalyseur pour dresser des orientations. Un mode opératoire s’exprime techniquement à travers sa « Kill Chain », soit l’enchaînement des techniques d’attaque qu’il met en œuvre pour arriver à son objectif. Citalid a cartographié les liens entre ces TTPs (Tactics-Techniques-Procedures) et des points précis de différents référentiels de sécurité (ici le CIS20), ces derniers étant les mesures défensives les plus adaptées aux TTPs définis dans le schéma. Sur la première ligne, on observe par exemple que la mesure CIS 16.3 (entre autres) est suffisamment déployée chez l’entité cible pour limiter l’impact des TTPs indiquées à cette étape de la Kill Chain. Sur la seconde ligne, en revanche, l’inverse se produit : la mesure CIS 11.1 n’est pas suffisamment mature pour opérer une protection efficace contre la sophistication de l’attaquant.  C’est donc sur cette ligne que le défenseur doit potentiellement se concentrer.

La dernière ligne cristallise les intérêts de l’enrichissement de l’analyse par la CTI. Le carré jaune détermine la progression de maturité due à la mise en place de solutions de sécurité pertinentes pour la mesure CIS 11.1 (par exemple un système de gestion des périphériques réseau), solutions qui sont automatiquement déterminées et recommandées à l’utilisateur dans le cas du moteur de calcul Citalid. Autrement dit, ce différentiel exprime indirectement une voie à suivre vers une maturité et résilience optimales pour ce scénario spécifique, point de départ de la définition d’une stratégie d’investissement cyber sur-mesure.

Transformer l’analyse en stratégie

Formuler une stratégie cyber alignée sur des objectifs groupe

Une analyse de risque réussie et pertinente se caractérise par la facilité qu’aura l’observateur à visualiser immédiatement comment transmuter les données en actions. Elle se doit donc d’être intelligible et cohérente pour le récipiendaire, quels que soient son niveau de technicité et sa position dans l’organigramme. Autrement dit, l’analyse de risque seule est insuffisante : elle ne peut véritablement servir que si elle donne naissance à une stratégie de long-terme.

Cette vision, fortement orientée vers les niveaux les plus stratégiques, marque l’ADN même de Citalid. Derrière le calcul des risques (brut et réel) et des recommandations les plus efficaces (référentiels comme solutions) grâce à la CTI, l’objectif est de pouvoir proposer un indicateur de retour sur investissement (ROI) des solutions de sécurité. En visualisant sa position initiale (A), sa position souhaitée (B) et les différents chemins possibles (investissements de défense), le décideur final doit pouvoir comparer le ROI des différentes options et dresser une stratégie d’investissement cyber en accord avec son budget et ses objectifs réels.

De plus, l’objectif derrière cette approche singulière est double. Dans un premier temps, il s’agit d’accompagner nos clients dans la définition de leurs stratégies de cybersécurité et dans l’application d’un plan d’action co-construit, visant de fait à pallier les failles rendues visibles par l’analyse. Toutefois, pour que cette stratégie reste réaliste, il est primordial de s’assurer qu’elle puisse s’inscrire dans une dynamique globale et donc qu’elle soit rapidement assimilable par une instance hiérarchique supérieure (COMEX). Pour répondre à ce besoin, nous avons, chez Citalid, affiné notre prestation afin que celle-ci soit en phase avec les réalités du RSSI :

• Par l’adaptation de la plateforme en matière d’ergonomie, de niveau de technicité et de langage, pour que les tableaux de bord soient transparents et facilement interprétables ;
• Par l’assistance auprès de notre clientèle dans la définition des budgets et dans leur légitimation et justification (plaidoyer) au regard de la réalité de la menace.

En alignant les stratégies de cybersécurité sur des stratégies d’investissement plus large, en phase avec les objectifs fixés par le groupe, Citalid entend garantir et renforcer le rôle prédominant du RSSI dans le pilotage de la résilience cyber.

Capitaliser sur l’approche par le déploiement d’un indice de risque

L’avantage majeur quant au choix d’opérer une approche globalisante en matière de sécurité repose sur son potentiel d’agrégation du risque à n’importe quel niveau (groupe, business unit, application, projet, etc.) et de normalisation (comparaison entre périmètres et pairs). À la manière des agences de notation, ce « scoring » de l’entité, qui ne prend pas seulement en compte son niveau de maturité sur ses actifs exposés mais également sa stratégie de gestion du risque, son organisation interne, la réalité de la menace, son contexte business propre, etc. peut se transformer en un indice global de risque, symbole de la résilience de l’entité et suivi par sa direction. Ceci est d’autant plus vrai qu’une approche scientifique fondée sur de nombreux paramètres hétérogènes présente un caractère d’objectivité souhaitable, pour l’entité comme pour ses partenaires et collaborateurs.

Cette fois, il ne s’agit plus seulement de se positionner dans son environnement, mais bien de se positionner par rapport à d’éventuels pairs (comparaison) et partenaires (garanties). Un indice de risque traduisant une résilience élevée et une gestion des risques saine aura pour effet d’assurer à ses fournisseurs ou clients finaux une sécurité optimale et un respect de leurs données, tout en rassurant les investisseurs sur la bonne utilisation de leurs fonds.

Exemples d’indices de risque réalisés par Citalid : il s’agit, en l’occurrence, d’une ‘Météo cyber’ permettant d’identifier les variations de l’exposition médiatique d’un client.

D’autres acteurs pourraient également tirer profit d’un tel index : le milieu assurantiel, et en particulier les cyber-assureurs. La quantification du risque cyber reste un obstacle pour eux, les approches actuarielles classiques étant limitées par le manque de données historiques en cybersécurité. Le modèle de Citalid, présenté ici, combine expertise de la menace, modèles probabilistes avancés et simulations attaque-défense innovantes afin de pallier ce manque de données. Notre « scoring » et nos métriques, fondés sur les risques plutôt que sur un simple niveau de défense, permettent donc d’affiner le modèle assurantiel pour être au plus proche des besoins réels de leurs clients.

Ainsi, la quantification du risque cyber et du retour sur investissement des solutions de sécurité constitue aujourd’hui l’un des plus grands défis auxquels font face les RSSI, Risk Managers et assureurs. À travers son approche innovante, Citalid répond à ce besoin de repositionner la cybersécurité au cœur des stratégies d’entreprises et d’optimiser ses plans d’actions et investissements.

^[1] Attribuée à Pierre Joliot-Curie

Cet article Citalid | Shake Up – La Cyber Threat Intelligence au service de l’optimisation des budgets cyber est apparu en premier sur RiskInsight.

Aujourd’hui, une attention forte est portée à la quantification du risque, et à juste titre. Il reste pour autant un sujet très complexe. Deux raisons évidentes à cela : nous manquons cruellement d’informations et de retours d’expérience précis sur le sujet ; mais aussi parce que les attaques cyber engendrent de nombreux impacts intangibles (réputation, désorganisation interne, préjudice stratégique, arrêt des opérations) ; ou à couts indirects (chute des ventes, pénalités contractuelles, baisse de valorisation de l’entreprise sur les marchés, etc.).

Nous distinguons aujourd’hui des pistes prometteuses pour quantifier le risque, et des premières solutions permettant d’automatiser cette quantification.

Pourquoi chercher à quantifier le risque cybersécurité ?

Que ce soit pour échanger avec les directions générales, les métiers, voire même les assureurs, il y a un véritable besoin de parvenir à évaluer les risques cyber de la manière la plus objective possible. L’enjeu est double : gagner en pertinence et en légitimité. L’une des pistes possibles est donc de traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’entreprise pour les rendre significatifs pour les décideurs.

Convaincre et démontrer l’efficacité des investissements auprès des comités exécutifs

L’un des véritables enjeux de la quantification des risques cyber réside dans la construction d’une relation de confiance avec les comités exécutifs sur le long-terme. Dans un premier temps, adopter un discours clair pour les convaincre et décrocher des investissements nécessaires au lancement de programmes de sécurité structurants. Pour ensuite démontrer l’efficacité des investissements menés et ainsi pérenniser la relation avec les comités exécutifs dans le temps : démontrer la réduction des risques de manière chiffrée et l’évolution du risque sur plusieurs années. Cela est clé, notamment à la suite de la crise COVID va déboucher sur une réduction et une optimisation des budgets cybersécurité au sein des entreprises. Il sera donc primordial de quantifier le risque cyber pour un contrôle plus fort sur le ROI des investissements cybersécurité.

Sensibiliser et ainsi embarquer les métiers dans la démarche de cybersécurité

La démarche de sécurisation du système d’information d’une entreprise ne peut se faire sans l’instauration du Security by Design, et en ce sens, ne peut se faire sans embarquer les métiers. Parler le même langage est donc nécessaire.

Adapter les plans d’assurance sécurité (PAS) pour ne pas être pris au piège

Enfin, afin de ne pas se retrouver au pied du mur en cas d’attaque, il est primordial pour les entreprises d’anticiper les potentiels coûts d’une attaque afin d’adapter les provisions et les assurances. Cette quantification leur permet de réaliser cela.

Quelles sont les principales difficultés à date ?

Des impacts qui restent pour la plupart intangibles, ou indirects

Compte tenu de leur nature intangible, il parait de prime abord complexe d’évaluer objectivement certains impacts d’attaques cyber. C’est par exemple le cas de l’impact sur l’image de marque, sur la réputation d’une entreprise ou encore le préjudice stratégique, la désorganisation interne. D’autres risques sont bel et bien tangibles mais indirects, ce qui complexifie encore la tâche des entreprises souhaitant quantifier leurs risques, c’est par exemple le cas de la perte de parts de marchés, de la baisse de valorisation de l’entreprise sur les marchés, etc

Une difficulté à estimer avec certitude le degré d’exposition d’une entreprise au risque cyber

Il n’existe pas de formule universelle pour calculer l’impact d’une attaque sur une entreprise. Cela dépend de nombreux paramètres : taille de l’entreprise, niveau de complexité et d’ouverture du système d’information, maturité cyber, etc. Le niveau d’exposition d’une entreprise dépend essentiellement de son niveau de maturité cyber sécurité. Il existe des référentiels tels que NIST, ISO, CIS, etc. pour estimer le niveau de maturité en cybersécurité, mais encore peu d’entreprises parviennent à les mettre en œuvre ou à les utiliser pleinement.

Un cruel manque d’informations sur les attaques les plus récentes et leur coût

Les entreprises souhaitant quantifier leurs risques cyber sont confrontées à une absence de base de données statistiques sur le coût des cyber-attaques. Bien sûr, la plupart des entreprises communiquent peu, voire pas à ce sujet, probablement pour ne pas effrayer leurs clients et leurs partenaires. Et pourtant, la collaboration serait clé face à des attaquants toujours plus astucieux : tant pour augmenter leur cyber-résilience que pour faciliter la quantification du risque. Par exemple, les entreprises Altran et Norsk Hydro ont été touchées par des ransomwares similaires en provenance du même groupe d’attaquants !

Quelques premières pistes pour quantifier le risque cybersécurité

Christine Lagarde, présidente du FMI, s’est d’ores et déjà emparée du sujet et a publié un billet et une méthodologie de quantification des risques s’appliquant au secteur bancaire, utilisée au sein du FMI. Alors comment étendre la quantification aux autres secteurs ?

Les prérequis à une quantification des risques optimale

La méthodologie FAIR est l’une des plus répandues pour quantifier les risques. Une quantification des risques efficace induit :

• Une bonne connaissance de ses risques les plus critiques. En effet, vu la complexité de FAIR, il ne vaut mieux pas s’éparpiller et se concentrer sur les scénarios de risque les plus importants. Encore faut-il les connaître ! Un travail de cartographie des risques est à prévoir dans lequel la mobilisation des métiers sera nécessaire ;
• Une bonne compréhension des mesures de sécurité existantes pour estimer sa capacité à résister à des attaques et les impacts résiduels ;
• Une première ébauche d’un référentiel des coûts types (honoraires d’avocats, de cabinet de communication, etc.), que sera complété dans le temps, ce qui nécessite une expertise métier pour identifier et estimer les coûts.

Aussi, l’estimation du coût des risques, du fait de sa nature transverse appelle à la collaboration de nombreux acteurs de l’entreprise (RH, juridique, etc.), ce qui peut être complexe à mettre en place.

La méthodologie FAIR, une approche qui vient préciser certaines phases de l’analyse et du traitement des risques

Introduction à la méthodologie FAIR (Factor Analysis of Information Risk)

En 2001, Jack Jones était le RSSI de Nationwide Insurance. Il était lui-même confronté aux interrogations persistantes de sa direction générale lui demandant des données chiffrées sur les risques auxquels était exposée l’entreprise. Face à l’insatisfaction causée par le flou de ses réponses, Jack Jones a mis en place une méthodologie pour estimer, de manière chiffrée, les risques pesant sur son entreprise, c’est la méthodologie FAIR.

Concrètement, comment celle-ci se différencie d’une méthodologie d’analyse des risques, tel que EBIOS ?

La méthodologie FAIR ne vient en aucun cas remplacer l’analyse de risque : FAIR est une méthodologie permettant d’évaluer les impacts et les probabilités d’un risque de manière plus fiable. Les impacts sont toujours traduits en pertes financières afin de rendre tangible l’évaluation réalisée. Les compléments apportés sont illustrés par le schéma ci-dessous.

Schéma 1 : FAIR, une approche qui précise certaines phases de l’analyse et du traitement des risques

Habituellement, l’évaluation du risque cyber se traduit par plusieurs types d’impact (impact d’image, financier, opérationnel, juridique, etc). La particularité de la méthodologie FAIR est de transposer chaque impact à un coût financier (coûts direct, indirects, tangibles et intangibles). Par exemple, si un scénario de risque présente un impact sur l’image de l’entreprise, FAIR traduit ce risque sous forme de risque financier en évaluant le coût de l’agence de communication que l’on mobilisera afin de redresser l’image de l’entreprise notamment. Si le directeur général d’une entreprise est mobilisé dans le cadre d’une gestion de crise, alors il faudra estimer le temps passé à gérer cette crise et monétiser celui-ci.

 Comment appliquer la méthodologie FAIR ?

Un risque quantifié en euro est le facteur de la fréquence d’attaque réussie (loss event frequency) et le coût de l’attaque réussie (loss magnitude). Le schéma ci-dessus présente la démarche utilisée par la méthodologie FAIR afin d’estimer ces deux caractéristiques.

Schéma 2 : les critères pris en compte par la méthodologie FAIR pour estimer les risques (traduction non disponible à date)

• Calcul de la « Loss Event Frequency »

Le « contact frequency » représente la fréquence à laquelle la menace (« threat agent ») entre en contact avec le bien à protéger. Par exemple, il peut s’agir de la fréquence à laquelle a lieu une catastrophe naturelle à endroit donné.

La « probability of action » est la probabilité que la menace agisse de manière malveillante sur le système une fois le contact effectué. Celui-ci ne s’applique que lorsque le threat agent est un être vivant (ne s’applique pas dans le cas d’une tornade par exemple). Cela se déduit du gain, de l’effort et du coût de l’attaque et des risques.

De ces deux paramètres en découle la « threat event frequency ».

La « threat capability » consiste à estimer les capacités du threat agent tant en matière de compétences (expérience et savoir) qu’en matière de ressources (temps et matériel).

La « resistance strength » est la capacité de resistance de l’entreprise face à ce scénario d’attaque. la resistance threat se calcule à partir du niveau de maturité cyber de l’entité par exemple avec une analyse d’écart à NIST.

De ces deux paramètres en découle la « vulnerability », puis la « loss event frequency ».

• Calcul de la « Loss Magnitude »

Les « primary loss » constituent le coût des pertes directes. Cela comprend notamment : l’interruption des opérations, les salaires versés aux employés alors que les opérations sont interrompues, le coût de la mobilisation de prestataires pour pallier l’attaque (restaurer les systèmes, mener les investigations), etc.

Les « secondary loss » constituent les pertes indirectes, provenant des réactions d’autres personnes impactées, et sont plus difficiles à estimer. Par exemple, les « secondary loss » peuvent couvrir la perte de part de marché engendrée par la dégradation de l’image de l’entreprise, les coûts de notification d’une attaque via une agence de communication, le paiement d’une amende auprès d’un régulateur ou encore des honoraires d’avocat pour se défendre en justice, etc. Celle-ci se calcule en multipliant la « secondary loss event frequency » et la « secondary loss magnitude » pour chacun des coûts indirects.

Une solution qui accompagne les entreprises dans la mise en application de cette méthodologie

Au-delà de la description théorique de la méthodologie, des solutions se développent pour permettre aux entreprises d’appliquer la méthodologie de manière concrète. C’est le cas de la start-up Citalid qui, par exemple, propose une plateforme de quantification des risques cyber en s’appuyant sur la méthodologie FAIR. Celle-ci permet au RSSI d’affiner et de rendre cohérente la quantification des risques grâce à de la threat intelligence (pour le suivi des attaquants dans le temps). Pour utiliser la solution, l’entreprise doit renseigner des éléments relatifs à son contexte et, pour chacun des scénarios de risque à quantifier, compléter un questionnaire NIST (50 questions pour le plus basique ou 250 pour un niveau de granularité plus fin) et le reste est calculé automatiquement.

Quelles sont les avantages et les limites de la méthodologie FAIR ?

La méthodologie FAIR apporte principalement les éléments suivants :

• Elle permet à l’entreprise d’identifier et d’évaluer plus précisément les risques les plus importants. Pour chacun des scénarios de risque choisis, la méthodologie permet une estimation des pertes financières moyennes et maximales et une fréquence estimée. Par exemple : « la probabilité de perdre 150 millions d’euros en raison de la propagation d’un ransomware destructif de type NotPetya exploitant une faille 0-day Windows est de 20% ».
• Elle permet l’estimation des coûts-avantages du plan d’actions de réduction des risques. En jouant avec la « resistence strength », il est possible d’estimer le retour sur investissement (ROI) des mesures de sécurité à mettre en place.
• Elle transpose tous les risques cyber en un risque financier ce qui permet une meilleure compréhension du risque par les dirigeants de l’entreprise.

Cependant, l’application de FAIR n’est pas sans contraintes car elle demande des ressources parfois importantes (tant en nombre de jours hommes que de connaissance du contexte de l’entreprise). La quantification du risque ne couvre par ailleurs qu’un périmètre restreint (1 scénario de risque). Aussi, la quantification du risque avec la méthodologie FAIR nécessite d’être affinée avec des abaques types de coûts associés à un impact cyber. Cela peut par exemple se faire en capitalisant sur les analyses post-mortem d’un crise cyber qui permettent souvent de donner une illustration réelle des impacts financiers.

Ainsi, la méthodologie FAIR est une piste prometteuse mais qu’il faudra se l’approprier dans le but d’en tirer des bénéfices concrets.

Cet article La quantification du risque cybersécurité est apparu en premier sur RiskInsight.