FAIR vs ISO27000; NIST CSF; EBIOS; ISACA

Alors que la cyber sécurité est devenue un sujet transverse concernant toutes les fonctions de l'entreprise, il est essentiel de pouvoir parler de cyber risques dans les mêmes termes que tous les sujets qui ont un impact sur les revenus et les profits: en termes financiers.

Aujourd'hui, tous les processus de l'entreprise ou presque sont informatisés. Les données collectées, créées et transformées par ces processus sont désormais parmi les actifs qui ont le plus de valeur dans l'entreprise.

Afin de sécuriser leur informatique, les entreprises disposent de cadres et lignes directrices comme ISO 27000, les frameworks CSF du NIST ou Cobit de l'ISACA ou encore EBIOS de l'ANSSI qui les guident pour séquencer les actions de leur programme de gestion des risques et de la sécurité informatique

• Définir les objectifs et les responsabilités de chaque fonction dans l'entreprise,
• Ecrire les politiques et procédures à respecter
• Mettre en place les contrôles correspondant: par exemple les contrôles d'accès au SI, les mises à jour des systèmes d'exploitation, les antivirus, les pare-feux, etc.
• Vérifier en continue l'efficacité de ces contrôles, de ces solutions de sécurité face aux menaces en procédant à des analyses de risques

Pour toutes ces activités, ces normes et frameworks expliquent ce qu'il faut faire, mais pas comment le faire. Un peu comme les lois, ils n'ont pas vocation à être prescriptifs et ne détaillent donc pas comment mettre en œuvre les activités qu'ils préconisent. En particulier quand il s'agit de mesurer, ils proposent le cas échéant une échelle ordinale de maturité du programme mais ne permettent pas de quantifier, d'une manière objective, cohérente et reproductible, l'efficacité d'un contrôle ou la quantité de risque à laquelle une organisation est exposée.

C’est ici que le standard FAIR est utile en les complétant car c'est est un modèle analytique pour quantifier la fréquence et l'impact financier probable d'un sinistre future.

C'est un outil d'aide à la décision qui permet de répondre à des questions comme :
• Que représente le risque cyber en termes financiers pour notre organisation ?
• Quelle partie de mon activité présente le risque cyber le plus important
• Investit-on suffisamment sur les bons contrôles ?
• Entre deux solutions de sécurité, laquelle réduit le plus notre exposition au risque ?
• Le montant de couverture de notre cyber assurance est-il suffisant?
• De quel montant nos investissements en sécurité ont-ils permis de réduire notre risque

Le standard FAIR est composé :
• D'une taxonomie précise des variables qui composent le risque et des interactions entre ces variables

• D'une méthode d'analyse mettant en œuvre statistique et probabilité afin d'associer à chacune des variables d'un scénario de risque, des plages de valeurs numériques.

On est ainsi capable d'estimer la fréquence probable et l'impact probable d'un sinistre redouté dans le futur et des montants financiers qui en résulteraient.

Les approches qualitatives laissent se confronter les avis et opinions et n'aident pas vraiment à prioriser les risques rouges, oranges et verts.

Le standard FAIR, lui, permet de quantifier financièrement, de manière objective et reproductible les risques cyber auxquels une organisation est confrontée.

Pour davantage d'information, visitez www.fairinstitute.org et www.c-risk.com

Sign In or Register to comment.