Les préoccupations et les responsabilités du dirigeant face au risque cyber et aux décisions qu’il doit prendre pour protéger la valeur de son entreprise en termes d’investissements cyber et du financement du risque par son transfert du vers l’assurance.
Au vu du contexte actuel – digitalisation des organisations, le télétravail imposé par la crise sanitaire, la montée en puissance des attaques cyber, la cyber sécurité n’est plus une option et l’appréhender comme un simple centre de coût ni même une activité qualifiée de cost avoidance n’est plus satisfaisant. Les investissements en cyber sécurité participent au développement et à la protection de la création de valeur.
Oui mais où investir, dans quelle proportion avec quel retour sur investissement dans un environnement budgétaire contraint tout en sachant que le risque zéro en cyber sécurité n’existe pas et que l’obsolescence de l’investissement cyber est rapide compte tenu de la vitesse de l’évolution des usages et des technologies ainsi que de la sagacité des attaquants. Que décider, quels sont les seuils de décision. Sur quels indicateurs fonder une décision objectivée ? Comment justifier les investissements nécessaires ?
A l’heure d’aujourd’hui, aux questions posées, des réponses d’ordre technique sont généralement apportées. C’est utile et nécessaire mais une vision stratégique devient impérative. Or, les analyses de risque avec un volet Business Impact Assessment n’offrent pas une vue holistique pour un risque de niveau Entreprise Risk.
Nous proposons un changement de paradigme pour aborder le risque cyber sous l’angle des impacts financiers d’une attaque par une approche par le risque métier (et son corollaire l’opportunité) afin de le traduire en acceptabilité du risque en ayant connaissance du niveau d’exposition de l’organisation et d’envisager, au mieux, le transfert du risque vers l’assurance. En l’absence de normes comptables pour les données intangibles et immatérielles, il s’agit de confronter la technique aux enjeux métiers et traduire ces derniers en des termes financiers pour faciliter la prise de décision.
Les méthodes EBIOS RM et SPICE permettent de traduire le risque cyber en impacts financiers. Elles sont complémentaires, apportent des réponses à des questions à des niveaux différents mais leurs clients finaux ne sont pas les mêmes.
- L’atelier 3 « [les] Scénarios stratégique » d’EBIOS RM « se conçoivent à l’échelle de l’écosystème et des valeurs métier de l’objet étudié. Ils sont évalués en termes de gravité »[1].
- L’objet de SPICE est de quantifier l’impact financier de scénarios métier d’attaque cyber à faible probabilité mais haut impact financier avec les termes et les catégories usitées par la Finance. SPICE répond à l’étape 4 du guide ANSSI-AMRAE – la maîtrise du risque numérique. La méthode permet de traduire les conséquences directes mais surtout indirectes d’une attaque : les dommages aux tiers, la perte d’exploitation, la responsabilité contractuelle – bien au-delà de ce que propose la grille EBIOS RM. SPICE identifie les mesures de mitigation prioritaires à mettre en place pour réduire l’impact financier d’une attaque. Ce faisant, SPICE offre des éléments de décision au travers de la mesure de l’exposition, afin de valider des investissements en termes de protection et de financement du risque par une assurance qui correspond aux besoins de couverture du métier (élaboration d’une couverture adaptée et l’identification des triggers de déclanchement du contrat d’assurance).
On peut penser que les deux méthodes sont complémentaires mais leur ambition est différente et leurs clients en interne ne sont pas les mêmes.
Avantages comparés de la démarche SPICE en complément de la mise en œuvre de la méthode EBIOS RM
EBIOS RM est à classer dans la catégorie des outils contribuant à la gestion technique et tactique des risques numériques sous l’angle du couple sources de risque/objectifs visés et chemins d’attaque. Pour être efficace, la méthode EBIOS RM qui se veut exhaustive suppose de disposer :
- D’une cartographie de l’écosystème et du système en vue fonctionnelle permettant de positionner les valeurs métiers ;
- D’une cartographie et d’un inventaire technique répertoriant les biens support critiques associés aux valeurs métiers ;
- Du lien entre la cartographie technique et fonctionnelle permettant de définir les chemins d’attaque qui seront déclinés en chemin d’attaque stratégiques permettant d’évaluer l’impact et scénarios d’attaque techniques permettant d’évaluer la vraisemblance.
Cette démarche vise à identifier l’ensemble des vulnérabilités présentes sur le périmètre cible rendant possible un scénario d’attaque car c’est au travers de ce prisme que l’on qualifie le risque et évalue la probabilité d’occurrence des scénarios.
Les résultats obtenus conduiront la plupart du temps à viser les mesures de sécurité ayant le meilleur rapport investissement/bénéfice pour une couverture optimum des vulnérabilités identifiées sous l’angle technique. Les mesures de sécurité identifiées seront généralement des mesures de protection ou de gouvernance car ce sont ces mesures en priorité qui permettent de couvrir les vulnérabilités.
La méthode SPICE en identifiant les enjeux métiers sous l’angle financier au travers de scénarios catastrophes ou à impact métier significatif va permettre d’élaborer un plan de mitigation avec les mesures de sécurité qui augmenteront le niveau de résilience de l’entreprise en jouant d’abord sur la réduction de l’impact financier tout en améliorant le niveau de détection, de réponse ou de continuité d’activité. C’est un complément idéal aux ateliers 1 et 3 de la méthode EBIOS RM. A l’inverse de la méthode EBIOS RM, SPICE prend en compte les actes malveillants et l’actualité de la menace.
La méthode SPICE permet une quantification des impacts financiers issus et validée par les interlocuteurs métiers et par la fonction Finance de l’entreprise. La valeur métier que cherche à appréhender EBIOS RM est parcellaire : elle traduite en coûts informatiques le plus souvent avec une grille high medium low et, d’expérience ne correspond aux attentes de la Finance et de la Direction.
La méthode SPICE est également beaucoup plus simple à mettre en place.
Elle répond enfin aux enjeux métiers et de financement du risque cyber et de due diligence.
Les limites d’EBIOS RM vis-à-vis de SPICE
- L’aspect analyse financière et stratégique du risque cyber – la traduction des enjeux cyber en termes financiers pour la prise de décision
Une analyse EBIOS RM offre une vision complète du niveau de risque mais son approche technique peut la rendre difficile à déployer (si les cartographies n’existent pas) et compliquée à maintenir dans le temps. Les livrables sont ainsi en général complexes et fortement liés à la cartographie et l’inventaire des ressources de l’entreprise au moment de l’analyse. Tout changement significatif de ceux-ci conduira à une obsolescence rapide de la pertinence de l’analyse si celle-ci n’est pas revue. Ce qui oblige à considérer les coûts associés soit à la mise en place des cartographies et ensuite à leur mise à jour.
La démarche SPICE en se focalisant sur les aspects principaux du métier permet de mettre en place un cadre pérenne d’analyse en s’appuyant sur les fondamentaux métiers de l’entreprise. Il fournit, de plus, des outils facilitant son maintien dans le temps.
Une analyse EBIOS RM est orientée technique et nécessite une appropriation et une adaptation pour que ses conclusions soient utilisées dans une communication avec la Direction pour une prise de décision à haut niveau. D’expérience, les RSSI se souvent font retoquer dans leur demande de budget.
Orientée métier, la démarche SPICE est adaptée par nature à une communication directe avec la Direction générale ou financière. Dans la mesure où le controlling est associé à l’exercice de quantification des scénarios, le consensus métier – finance fait foi face aux dirigeants. Le chiffre parfait n’existe pas mais lorsque l’impact financier est à la fois validé par le controlling du métier sur la base de scénarios métiers dont la faisabilité technique a été validée par les experts sécurité informatique et cyber sécurité, le chiffre présenté est résultat d’un consensus interne à l’organisation. D’expérience, la réponse à la question de la direction « d’où sortez-vous vos chiffres ? » devient simple.
La démarche SPICE contribue également lors de l’atelier de travail principal à la sensibilisation des acteurs métier aux enjeux de la Direction du risque numérique et facilite ainsi l’adoption des plans de remédiation puisque les fonctions sécurité informatique, cyber sécurité et les métiers auront été acteurs de leur conception.
La démarche SPICE inclut un outillage permettant la réactualisation dans le temps des résultats et leur utilisation par l’ensemble des acteurs impliqués dans la gouvernance du risque cyber, principalement, la Gestion du Risque (ERM), la Finance et leurs interfaces à la Production et au sein de la Direction de la sécurité digitale et des infrastructures numériques. La méthode est agnostique du schéma d’organisation interne de l’entreprise ou de l’administration.
Si l’entreprise ne dispose pas d’outil ou de process ERM, l’outillage SPICE peut constituer ou faire office pour la gestion des risques stratégiques.
- Le financement du risque et son transfert vers l’assurance
EBIOS RM envisage les risques sous un prisme qualitatif par défaut et se limitera à positionner les impacts sur une échelle par niveau d’impact (faible à critique par exemple). Elle n’est pas conçue pour un calcul financier de la valeur du risque. De plus, l’approche technique d’EBIOS RM considère le coût des mesures de couverture en regard du budget de l’IT et non du budget métier.
La complexité des architectures et l’abstraction technique des solutions techniques actuelles conduit de plus fréquemment à considérer en priorité, dans le périmètre de l’analyse, les ressources critiques ou sensibles par défaut et débouche en général sur un plan de couverture visant la sécurisation de l’infrastructure au détriment de la sécurisation des ressources métiers plus complexes à prendre en compte car nécessitant l’implication des métiers. A l’inverse, SPICE construit avec le métier leurs scénarios d’impacts – ces derniers définissent leur maximum possible loss via une attaque cyber. Les experts cyber valident la faisabilité technique des scénarios.
EBIOS RM ne permet pas d’adresser les solutions de financement du risque : la définition des provisions financières pour risque cyber dans un bilan comptable. Elle ne permet pas non plus d’envisager le transfert du risque tel que la souscription d’une couverture assurantielle, l’identification des triggers. SPICE a été nativement conçue pour ce faire.
La méthode a été créée pour répondre à la demande du Directeur financier de connaître son exposition à une attaque majeure afin d’objectiver les demandes reçues de budgets d’investissement en cyber sécurité et pour envisager au mieux les solutions de financement du risque. Les questions posées aux DSSI et RSSI par le Risk Manager restant sans réponse, il a fallu inventer et changer de paradigme dans l’approche du risque cyber.
SPICE répond au besoin du Risk Manager de connaitre l’exposition métier au risque cyber afin de définir une stratégie de couverture d’assurance qui réponde aux besoins du métiers de son organisation en termes de lignes de d’assurance et de capacités financières bien au-delà du produit d’assurance – aide à la gestion de la crise lequel est nécessaire mais pas suffisant.
La quantification financière est ainsi l’un des piliers de la démarche SPICE. Elle permet notamment de mettre en perspective les enjeux financiers métiers par rapport aux investissements éventuels à réaliser pour réduire le niveau de risque d’un point de vue des impacts financiers.
- SPICE et due diligence
En tant qu’outil de communication natif avec le management, la démarche SPICE permet de répondre aux besoins de justification (Due Diligence) de la prise en compte du risque cyber au même titre que la prise en compte des autres risques d’entreprise lors de communication vis-à-vis des autorités, des investisseurs ou des actionnaires. SPICE contribue à la preuve de la présence d’un processus structuré de gestion des risques numériques permettant la justification des décisions éclairées par les dirigeants lesquelles sont prises à partir d’éléments financiers objectivés.
SPICE permet l’identification des composantes numériques des risques métiers d’entreprise ou des organisations et met à disposition des indicateurs utiles à la prise de décision. Cela permet également de justifier une potentielle acceptation du risque ou l’adoption d’une stratégie privilégiant la limitation des impacts en cas d’incidents plutôt qu’orienté traditionnellement vers la protection.
Dans le cas de la démarche SPICE, la transversalité de l’exercice nécessite l’implication de nombreux interlocuteurs non impliqués traditionnellement dans le cadre d’une analyse EBIOS RM. Les métiers sont au cœur de l’exercice (et son ainsi sensibilisés) mais également le Risk Manager Assurance, la Finance et la Direction. SPICE ne démultiplie pas la charge des équipes IT en interne pour la réalisation du projet. En revanche, le livrable SPICE est très utile pour déterminer où décliner une analyse de risque opérationnel. Le livrable SPICE permet au DSSI ou RSSI de justifier ses investissements et d’orienter ses plans de mitigation, plans de reprise et de continuité d’activité.
A titre conclusif
Conduire un exercice SPICE pour un grand groupe, des ETI, des PME et des organismes publics est tout à fait possible car les principes de la méthode restent les mêmes. La méthode SPICE est agnostique du type d’activité, de la taille de l’organisation et de son schéma organisationnel (pour autant que l’activité soit digitalisée).
Elle peut être utilisée dans le cas où l’organisation ne dispose pas d’une cartographie aboutie de l’écosystème et du système en vue fonctionnelle permettant de positionner les valeurs métiers, de la cartographie et d’un inventaire technique répertoriant les biens support critiques associés aux valeurs métiers et du lien entre la cartographie technique et fonctionnelle permettant de définir les chemins d’attaque.
Elle peut ainsi constituer, le cas échéant, un outil d’entrée pour une organisation qui souhaiterait engager une appréciation de son exposition au risque cyber d’un point de vue financier et des investissements nécessaires et urgents (best effort) à conduire. Les résultats d’un tel exercice d’analyse financière du risque cyber sont, en effet, des éléments objectivités et financiers destinés à une prise de décision. Ils soutiennent le déploiement d’une réflexion stratégique – que faire de mon risque, quel est-il, où investir et comment, dans quel délais et face à quelle menace. SPICE sera ensuite déclinée et approfondie en analyses de risques plus opérationnels.
A titre de références, EBIOS RM et SPICE sont déployés chez Airbus via le support de BSSI mais également chez Thales. SCOR, GRDF. Des clients de COVEA ont également bénéficié de la méthode SPICE ainsi que la FFA (Fédération Française des Assurances). Un exercice de faisabilité auprès de plus petites organisations (filière aéronautique) a été également conclusif dans le cadre de travaux de recherche sur le transfert du risque conduits au sein de l’IRT-SystemX entre 2016 et 2019.
La logique SPICE est soutenue et promue par l’AMRAE (Philippe Cotelle Administrateur Cyber, Insurance Risk Manager chez Airbus Defence and Space) ainsi que par l’ANSSI – La maîtrise du risque numérique[2].
[1] Méthode EBIOS Risk Manager – ANSSI
[2] https://www.ssi.gouv.fr/actualite/confiance-numerique-lanssi-et-lamrae-publient-un-guide-sur-la-maitrise-du-risque-numerique-pour-les-dirigeants/