Quantification du cyber-risque (CRQ)

La quantification du cyber-risque (CRQ) permet d'estimer les dommages financiers auxquels votre entreprise pourrait être confrontée en cas de cyber-expositions spécifiques. 

Contrairement aux évaluations qualitatives (qui utilisent généralement des libellés tels que « risque élevé » ou « risque moyen »), la CRQ utilise des données pour chiffrer les pertes en dollars réels. La différence d'évaluation réside donc dans la « quantification » de ces pertes.

Avec la CRQ, vos équipes peuvent :

• Communiquer sur le risque en termes financiers afin de trouver un écho auprès des dirigeants et des responsables financiers, et ainsi aligner la cyber-sécurité sur les objectifs plus larges de l'entreprise.
• Comparer de manière systématique le risque entre les différentes catégories d'assets ou les différents services pour comprendre où l'exposition est la plus élevée et où les contrôles sont les plus efficaces.
• Prioriser les décisions de remédiation et d'investissement en fonction des actions qui offrent le plus grand potentiel de réduction des risques financiers majeurs.
• Utiliser des données structurées pour soutenir les efforts de conformité et fournir des éléments justifiables pour des tâches telles que la planification et la souscription d'assurance.

Les responsables cyber-sécurité reconnaissent de plus en plus la nécessité de communiquer le cyber-risque du point de vue financier afin de faciliter la prise de décision par la direction. Cette évolution encourage les RSSI à relier les indicateurs de risque technique à un impact concret afin d'éclairer la stratégie globale de l'entreprise.

Elle pousse également les équipes à aligner leurs stratégies sur les résultats de l'entreprise et à prouver leur valeur au-delà de simples indicateurs techniques. 

En quoi la CRQ est-elle utile ? Elle permet de :

• Proposer des méthodes cohérentes et reproductibles pour mesurer le cyber-risque afin d'évaluer les progrès accomplis et de suivre les changements dans le temps.
• Formuler les décisions en matière de cyber-sécurité du point de vue financier afin d'aider à prioriser les investissements et à faire des compromis dans un langage qui trouve un écho auprès des dirigeants.
• Éclairer les réflexions des dirigeants grâce à une analyse objective qui va au-delà du jargon technique et qui permet de dégager un consensus quant aux priorités à adopter.

Les outils de quantification du cyber-risque sont indispensables pour transformer les résultats de la gestion des vulnérabilités en actions financières concrètes. Pour en savoir plus sur la gestion des vulnérabilités, cliquez ici.

Les stratégies efficaces de CRQ dépendent du niveau de maturité, des données disponibles et des obligations réglementaires de votre entreprise. Les deux approches les plus courantes sont l'analyse qualitative et l'analyse quantitative.

Les approches qualitatives font généralement appel à l'avis d'experts, à des systèmes de notation ordinale et à des cartes thermiques pour évaluer le risque. Ces méthodes sont plus faciles à mettre en œuvre et à utiliser lorsque vous ne disposez pas de données financières ou sur les incidents détaillées. Cependant, la subjectivité peut limiter la précision et la cohérence des résultats.

Les approches quantitatives utilisent des modèles mathématiques, la théorie des probabilités et l'analyse financière pour estimer la probabilité et l'impact de menaces spécifiques. Ces modèles fournissent des résultats plus rigoureux et sont mieux adaptés à la prise de décision par le conseil d'administration, notamment en ce qui concerne la priorisation des investissements ou la planification des assurances.

L'approche quantitative peut être décomposée de la manière suivante :

• L'analyse factorielle du risque informationnel (FAIR) décompose le risque en fréquence et en impact pour produire des estimations financières. Les entreprises qui ont besoin d'évaluations du risque justifiables et reproductibles peuvent choisir cette méthode.
• Le score CVSS (Common Vulnerability Scoring System) est un système standardisé qui évalue la sévérité des vulnérabilités connues. Bien que de nature technique, les scores CVSS permettent des calculs du risque plus larges lorsqu'ils sont contextualisés.
• La modélisation bayésienne est une approche fondée sur les données qui intègre l'incertitude dans les prévisions de risque. Cette technique est adaptée aux environnements dynamiques dans lesquels les hypothèses et les données peuvent changer.
• Les modèles actuariels et statistiques, comme ceux que les assureurs utilisent, estiment les pertes sur la base de données historiques. Ils prennent en charge la planification à long terme, mais peuvent ne pas tenir compte de l'évolution rapide ou des menaces uniques.
• Les modèles d'apprentissage automatique utilisent des algorithmes qui apprennent à partir de grands volumes de données afin d'identifier les tendances et de prédire les résultats. Ils contribuent à améliorer la vitesse et l'évolutivité, mais leur fiabilité dépend fortement de la qualité des données d'entrée.

Chaque type de modèle présente des avantages et des inconvénients. Le choix de la bonne solution (ou la combinaison de plusieurs) dépend des objectifs spécifiques de votre entreprise et des ressources disponibles.

Vous cherchez des informations sur la gestion des vulnérabilités basée sur le risque ? Consultez nos principes de gestion des vulnérabilités basée sur le risque ici.

Avantages et inconvénients des modèles courants de CRQ

FAIR

Avantages :

• Fournit une approche structurée et reproductible pour quantifier le risque du point de vue financier
• Largement adopté et favorise la communication au niveau du conseil d'administration

Inconvénients :

• Nécessite une formation et un important travail de collecte de données et d'estimation
• Peut nécessiter des ressources importantes pour les petites équipes

CVSS

Avantages :

• Offre une méthode normalisée pour évaluer les vulnérabilités techniques et, à l'instar du modèle FAIR, le secteur est très familier avec ce score de risque

Inconvénients :

• Se concentre sur les vulnérabilités individuelles plutôt que sur le risque plus général de l'entreprise
• Ne tient pas compte de l'impact financier

Modélisation bayésienne

Avantages :

• Très performant pour la modélisation de l'incertitude et de l'évolution des scénarios de menace
• Fonctionne bien lorsqu'il s'agit d'ensembles de données incomplets ou fluctuants

Inconvénients :

• Peut être complexe à créer et à interpréter
• Requiert souvent des connaissances statistiques spécialisées

Modèle statistique/actuariel

Avantages :

• Utile pour estimer les pertes sur la base de schémas de fréquence et de sévérité, en particulier avec des données historiques

Inconvénients :

• Dépend de l'accès à des données historiques de qualité, qui ne reflètent pas toujours les menaces émergentes ou avancées

Apprentissage automatique (ML) / Intelligence artificielle (IA)

Avantages :

• Traite de larges volumes de données afin d'identifier des schémas cachés et de prédire rapidement les risques futurs

Inconvénients :

• Pour être fiables, les données d'entrée doivent être de qualité et à grande échelle
• Peut poser des problèmes d'interprétation aux parties prenantes non spécialisées

Une fois que vous avez choisi le(s) modèle(s) de quantification du cyber-risque que vous souhaitez utiliser, l'étape suivante consiste à mettre ces modèles en pratique. Il s'agit généralement d'activités structurées qui constituent la base d'un programme CRQ reproductible.

Il convient de noter que le score CVSS est un système de notation plus technique qui peut ne pas suivre ces étapes dans leur intégralité, à moins que vous ne l'intégriez dans un cadre plus large de quantification du risque. 

De même, les modèles d'apprentissage automatique et d'IA peuvent aborder certaines étapes différemment. Ils déduisent souvent des schémas plutôt que de définir explicitement des entrées. 

Ces étapes fonctionnent en général pour la plupart des programmes de CRQ :

1. Identifier et classer les assets

Commencez par cartographier votre empreinte numérique, notamment vos bases de données sensibles, vos applications orientées client, votre infrastructure cloud et vos systèmes métier internes. Attribuez une valeur financière à chaque asset en fonction des coûts potentiels des temps d'arrêt, des pertes de données ou des interruptions d'activité. Par exemple un portail client lié au chiffre d'affaires représente potentiellement un risque plus important qu'un environnement de test.

2. Évaluer les menaces et les vulnérabilités

Évaluez la manière dont les attaquants peuvent s'en prendre à vos systèmes. Utilisez les scanners de vulnérabilités et l'historique des incidents pour comprendre quels sont vos assets les plus exposés. Par exemple un système d'exploitation non corrigé avec une vulnérabilité critique et des exploits actifs présente un risque bien plus élevé qu'un serveur interne avec des détections de faible sévérité.

3. Analyser les impacts potentiels

Pensez aux coûts évidents (amendes réglementaires, frais de récupération) et aux effets plus difficiles à mesurer (atteinte à la réputation, perte de confiance des clients). Lorsque vous modélisez ces impacts selon différents scénarios d'attaque, vous aidez votre conseil d'administration à voir ce que les cyber-incidents pourraient réellement coûter à l'entreprise. 

4. Calculer et agréger le risque

Introduisez des données dans votre modèle CRQ afin d'estimer l'exposition aux pertes pour chaque paire menace-asset. Vous pouvez agréger les résultats afin d'identifier le risque cumulé au sein des services ou des unités métier. Cette agrégation permet de prioriser les investissements en matière de cyber-sécurité en fonction de leur impact financier.

Des données incomplètes ou incohérentes

Pour quantifier efficacement le cyber-risque, il faut d'abord disposer de données de qualité. Si votre inventaire des assets n'est pas à jour ou si vos rapports d'incidents sont trop vagues, vous ne pourrez pas obtenir d'estimations précises des pertes. Les données incomplètes perturbent les modèles de risque et orientent les équipes vers les mauvaises priorités en matière de sécurité.

Un paysage des menaces en évolution constante

Les cybermenaces évoluent sans cesse. De nouveaux vecteurs d'attaque et de nouvelles vulnérabilités apparaissent en permanence. Si vous ne mettez pas régulièrement à jour vos modèles CRQ, ils deviendront rapidement obsolètes, voire trompeurs. Approvisionnez en continu la threat intelligence et mettez à jour vos modèles pour qu'ils correspondent à la réalité actuelle de votre environnement.

Les effets immatériels sont difficiles à mesurer

Les conséquences les plus néfastes des cyber-incidents, comme la perte de confiance envers la marque, les répercussions sur le cours des actions ou l'atteinte à la réputation à long terme, sont difficiles à quantifier dans l'immédiat. 

Vous pouvez utiliser des variables substitutives financières, mais ces estimations sont intrinsèquement incertaines. Cependant, il est inenvisageable de les omettre complètement si l'on ne veut pas sous-estimer le risque réel.

La CRQ nécessite également de disposer des bons outils pour exécuter les modèles et présenter les résultats.

Tenable propose des outils indispensables à la réalisation d'une CRQ performante :

• La gestion des vulnérabilités vous offre une visibilité sur l'ensemble de vos assets afin d'identifier où vous êtes le plus exposé. Vous pouvez l'utiliser afin de créer une base de référence pour un calcul du risque exploitable.
• Tenable One est une plateforme unifiée de gestion de l'exposition qui regroupe les données sur les vulnérabilités, les assets, le cloud et l'identité. Elle offre à vos équipes de sécurité le contexte dont elles ont besoin pour quantifier et réduire le risque du point de vue financier.

Tenable One s'intègre également aux piles technologiques existantes (par exemple les CMDB [bases de données de gestion des configurations], les plateformes EDR [Endpoint Detection and Response], les systèmes SIEM [gestion des informations et des événements de sécurité], les systèmes cloud native ou les outils SOAR [Security Orchestration Automation and Response]) pour mettre à jour les modèles en continu.

Les normes réglementaires les plus courantes soulignent la nécessité de disposer de méthodes d'évaluation du risque mesurables et fondées sur des données. 

La quantification du cyber-risque aide votre entreprise à démontrer comment vous avez identifié et priorisé les risques. Elle est essentielle pour la contextualisation, la transparence et la responsabilité réglementaires. 

Exemples :

• NIST Cybersecurity Framework and 800-53 promote risk-based decision-making and advocate for continuous security control evaluation.
• ISO 27005 encourages a structured approach to information security risk management and a preference for quantifiable insights.
• L'HIPAA, le RGPD et la norme PCI DSS imposent d'évaluer et de documenter le risque lié aux données sensibles et de démontrer des mesures de protection efficaces.
• Les CIS Controls soulignent l'importance des évaluations formelles du risque dans le cadre d'une hygiène de base de cyber-sécurité.

Gardez les modèles à jour.

À mesure que le paysage de vos assets évolue ou que la threat intelligence découvre de nouveaux risques, il est essentiel de mettre à jour vos modèles. 

Impliquez les bonnes parties prenantes.

Assurez-vous de la participation des équipes de gestion du risque, de conformité, financières et IT afin que votre approche CRQ reflète les priorités réelles de votre entreprise. 

Envisagez une évaluation par un tiers.

Une évaluation externe de vos modèles CRQ peut révéler des angles morts, valider des hypothèses et améliorer la confiance des dirigeants vis-à-vis de vos résultats. La validation indépendante renforce également les audits internes et permet de répondre aux enquêtes réglementaires.

Alignez la CRQ sur les objectifs business.

Reliez les résultats de la CRQ à des objectifs business spécifiques tels que le temps de disponibilité, la conformité réglementaire ou la réputation de la marque.

Utilisez la CRQ pour la planification stratégique.

Plutôt que de limiter la CRQ à la prise de décision technique, utilisez ses résultats pour guider la planification à long terme de votre entreprise en matière de budgets, d'assurances et d'investissements.

La CRQ va devenir une pierre angulaire de la cyber-sécurité. De plus en plus d'entreprises l'utiliseront pour prévoir les budgets et orienter les investissements en fonction des pertes potentielles.

Plus d'automatisation et d'IA générative. Les outils modernes de CRQ continueront d'intégrer l'automatisation et l'IA pour analyser les données plus rapidement et simuler les résultats. Ces fonctionnalités rationaliseront les processus manuels et permettront aux équipes de prendre des mesures plus efficaces.

Transition vers une quantification en continu du risque. La CRQ deviendra davantage une capacité en continu, et non une méthode que l'on implémente un jour et que l'on oublie par la suite.

Une plus grande attention aux risques liés aux tiers et à la chaîne d'approvisionnement. De plus en plus d'entreprises utiliseront la CRQ pour évaluer le risque financier posé par les parties prenantes externes, ce qui aidera vos équipes de sécurité et d'approvisionnement à mieux prioriser leurs actions pour atténuer l'exposition.

Qu'est-ce que la CRQ ?
La quantification du cyber-risque (CRQ) permet d'estimer les pertes financières dues aux menaces de cyber-sécurité. Il s'agit d'une approche qui utilise des données structurées et des modélisations pour aider les entreprises à comprendre leur exposition potentielle du point de vue business.

En quoi la CRQ est-elle utile ?
La CRQ relie les risques de cyber-sécurité aux résultats de l'entreprise, ce qui permet de prioriser les actions et de justifier l'affectation des ressources avec un impact mesurable.

En quoi la CRQ diffère-t-elle d'une évaluation du risque standard ?
La CRQ permet de quantifier le risque du point de vue financier plutôt que de s'appuyer uniquement sur des scores de vulnérabilité statiques tels que « élevé » ou « faible », ce qui vous aide à prendre des décisions plus éclairées.

De quelles données la CRQ a-t-elle besoin ?
La CRQ dépend de différents éléments : inventaires des assets, vulnérabilités connues, threat intelligence, historique des incidents et estimation de l'impact business.

Peut-on vraiment mesurer le cyber-risque en dollars ?
Oui. Bien que les estimations varient, la CRQ vous offre une vue d'ensemble des pertes potentielles qui vous permet d'établir une planification et une communication en fonction du risque.

Qu'est-ce que le modèle FAIR ?
FAIR est un cadre largement utilisé qui décompose le risque en deux éléments essentiels : la fréquence des événements et l'impact financier. Il permet de normaliser l'approche de l'analyse du cyber-risque.

Les résultats de la CRQ sont-ils fiables ?
La précision de la CRQ dépend de la qualité et de l'exhaustivité de vos données et de la fréquence de mise à jour des modèles. La transparence et l'itération permettent d'améliorer les résultats.

Quels sont les outils qui facilitent l'utilisation de la CRQ ?
Des plateformes comme Tenable One peuvent vous aider à regrouper les données d'exposition, à prioriser le risque et à bénéficier d'une CRQ fiable grâce à des informations actualisées et alignées sur les objectifs de l'entreprise.

Qui doit participer aux processus de CRQ ?
La CRQ nécessite une contribution transversale de la part des équipes IT, sécurité, financières et de gestion du risque, ainsi que des dirigeants, afin de s'assurer que tout le monde comprend les priorités et l'exposition.

À quelle fréquence faut-il effectuer une CRQ ?
Il est recommandé de procéder régulièrement à une CRQ : généralement tous les trimestres ou à la suite de changements importants dans votre paysage des menaces ou dans votre environnement IT.

Qu'est-ce qui rend la CRQ difficile à mettre en œuvre ?
Certaines entreprises sont confrontées à une visibilité limitée des données, à une propriété incohérente et à une certaine difficulté quand il s'agit de traduire les risques techniques en données compréhensibles mettant en avant l'impact business.

La CRQ contribue-t-elle à la mise en conformité ?
Oui. La CRQ soutient la conformité en alignant les contrôles de sécurité sur le risque financier afin d'améliorer la préparation des audits et le reporting.

En quoi la CRQ vient-elle étayer les discussions en matière d'assurance ?
La CRQ donne aux assureurs une vision plus claire de l'exposition potentielle afin que vous puissiez négocier de meilleures conditions et choisir une couverture adaptée à votre profil de risque.

Tenable simplifie la CRQ grâce à des fonctionnalités qui prennent en charge la collecte de données, la modélisation du risque et la création de rapports alignés sur les objectifs de l'entreprise. Tenable One regroupe les données d'exposition provenant des vulnérabilités, des assets, des identités et des environnements cloud pour créer une vue holistique de votre cyber-risque. Cette solution s'appuie sur des fonctionnalités de base telles que la gestion des vulnérabilités et la gestion de l'exposition, afin que vos équipes bénéficient de la visibilité nécessaire pour quantifier correctement le cyber-risque.