Recevez chaque jour toute l'actualité du numérique

x

La quantification économique du cyber-risque ou la nouvelle boussole de la cyber-résilience

Publi-Rédactionnel Les organisations font face à des cybermenaces toujours plus diverses et complexes. Pour mieux appréhender les risques auxquels une organisation fait face, le Risk Management devra opérer une mue quantifiée et chiffrée économiquement. Ainsi, le calcul et monitoring du risque d’exposition économique deviendra le “gouvernail” indispensable de conduite des programmes d'investissements cyber. Citalid Cybersécurité a présenté ses innovations sur le sujet lors des Assises de la Sécurité, qui se sont déroulées du 9 octobre au 12 octobre à Monaco.
Twitter Facebook Linkedin Flipboard Email
×

La quantification économique du cyber-risque ou la nouvelle boussole de la cyber-résilience
L'Usine Digitale a organisé le 25 juin dernier, en partenariat avec CITALID, la Conférence Cybersécurité

 

Quel est le défi cybersécurité majeur pour les entreprises française à l’heure actuelle et dans les 2 à 5 années à venir ?

Citalid Cybersécurité : Les attaques d’ampleur telles que Wannacry et NotPetya ont au moins une vertu : celle d’aider les RSSI à convaincre au sein de leurs organisations que la cybersécurité ne doit plus être considéré comme un centre de coût, mais bien comme un investissement stratégique de l’entreprise.

Néanmoins, les RSSI demeurent confrontés à une équation difficilement soluble. Premièrement, leur métier se complexifie, face à des menaces diverses et protéiformes. Cela va de pair avec une démultiplication des usages, métiers et opérations, et donc des périmètres à défendre au sein de leurs organisations. Pour y répondre et sécuriser les actifs les plus critiques, ils disposent d’initiatives et moyens internes (threat intelligence, risk management, réponse à incident, contrôle et audit, ...) qui œuvrent trop souvent en silos. En complément, ils se voient proposer une palette de produits cyber traditionnellement très techniques, complexes, onéreux et couvrant des pans distincts : sécurité périmétrique, applicative, d’infrastructure, de réseau, etc.

Point d’orgue de tout cela : comme tout acte d’investissement, leurs budgets et programmes sont scrutés et demeureront sous pression. Par essence, si les risques sont présents dans l’ensemble de l’organisation, il n’est économiquement pas viable d’espérer pouvoir tous les couvrir à 100%.

 

Quel serait le conseil n°1 que vous donneriez aux RSSI en vue de renforcer la cyber sécurité de leur entreprise/structure ?

Citalid Cybersécurité : Désormais, les RSSI vont devoir basculer dans une logique d’arbitrage : quels sont les risques à fort impact économique que je dois couvrir prioritairement, et quels sont les produits et mesures de défense appropriés ? Lesquels vais-je transférer, par exemple à un cyber-assureur ? Et lesquels vais-je accepter, au regard du faible impact économique encouru ? Une organisation se doit d’avoir une réponse différenciée et contextualisée à chaque niveau de risque, selon sa fréquence et son impact financier.

Pour y parvenir, les RSSI doivent bénéficier d’une vision « cockpit ». Cette vision, centralisée sous forme de plateforme, doit coordonner l’ensemble des efforts internes (équipes, processus, technologies) et externes (recours à des solutions cyber spécialisées) déjà entrepris. De plus, il faut cerner ce qui est « en jeu » économiquement sur chaque périmètre, puis modéliser l’écart et le plan d’action le séparant du niveau de sécurité souhaitable.

Cette nouvelle approche permet aux RSSI de contextualiser le besoin d’une ligne d’activité, de simuler l’efficacité économique de chaque solution de défense envisagée, pour enfin concevoir un programme d’investissement efficace et rentable. À l’image d’un GPS qui indique « où je me situe exactement », doublé d’une boussole indiquant « où je dois aller », complétés par une carte détaillant « par quel chemin » y parvenir. Au-delà de l’allégorie, cela nécessite de repenser l’appréciation du risque. Pour être actionnable et coordonnée, cette approche doit non seulement être quantitative et objective, et donc exploiter de grandes quantités de données fiables, mais également dynamique, uniforme et contextualisée.

 

Comment y parvenir ? A quelles nouvelles sources de données les RSSI doivent-ils s’intéresser pour mieux cerner leur exposition ?

Citalid Cybersécurité : Une quantification juste et complète du risque doit se fonder sur différentes disciplines et sources de données. Le point de départ sera toujours la compréhension interne du niveau de maturité défensive d’un périmètre, et des risques métiers associés. Pour tendre vers une quantification économique du risque, il faut ensuite évaluer les probabilités de fréquences et d’impacts de chaque menace pertinente. Quelle est la probabilité qu’une menace de type A cible un périmètre donné de mon organisation ? Quelle serait son taux de réussite étant donné mon niveau défensif ? Et quels seront alors les impacts économiques les plus probables ?

Pour ce faire, RSSI et Risk Manager doivent avoir une vue à 360° sur chacun de leurs périmètres, en captant la connaissance économique et géopolitique de l’environnement associé. Cette information doit être recoupée, puis rendue exploitable en évaluant son impact potentiel dans le cyberespace. Cette nouvelle approche sous-entend également de comprendre les menaces auxquelles l’activité fait face, et les différents modes opératoires employés par les attaquants. Assurer une veille continue sur les techniques d’attaque exploitées sur le terrain permet de mettre en place les solutions de défense adaptées pour les bloquer au plus tôt ou, à défaut, réduire leur impact. Par ailleurs, cette méthodologie présente le bénéfice de rompre les silos, en faisant parler un langage commun aux équipes métier et sécurité.

 

 

CONTENU SPONSORISÉ

 
media