{"id":37,"date":"2023-09-04T10:00:00","date_gmt":"2023-09-04T08:00:00","guid":{"rendered":"https:\/\/iqcyber.org\/?p=37"},"modified":"2023-11-07T11:41:54","modified_gmt":"2023-11-07T10:41:54","slug":"ebios-rm-spice-complementarite-des-deux-methodes-sur-lappreciation-financiere-des-risques-cyber","status":"publish","type":"post","link":"https:\/\/iqcyber.org\/?p=37","title":{"rendered":"EBIOS RM \u2013 SPICE, compl\u00e9mentarit\u00e9 des deux m\u00e9thodes sur l\u2019appr\u00e9ciation financi\u00e8re des risques cyber"},"content":{"rendered":"\n<p><em>Les pr\u00e9occupations et les responsabilit\u00e9s du dirigeant face au risque cyber et aux d\u00e9cisions qu\u2019il doit prendre pour prot\u00e9ger la valeur de son entreprise en termes d\u2019investissements cyber et du financement du risque par son transfert du vers l\u2019assurance.<\/em><\/p>\n\n\n\n<p>Au vu du contexte actuel \u2013 digitalisation des organisations, le t\u00e9l\u00e9travail impos\u00e9 par la crise sanitaire, la mont\u00e9e en puissance des attaques cyber, la cyber s\u00e9curit\u00e9 n\u2019est plus une option et l\u2019appr\u00e9hender comme un simple centre de co\u00fbt ni m\u00eame une activit\u00e9 qualifi\u00e9e de <em>cost avoidance<\/em> n\u2019est plus satisfaisant. Les <em>investissements en cyber s\u00e9curit\u00e9 participent au d\u00e9veloppement et \u00e0 la protection de la cr\u00e9ation de valeur<\/em>.&nbsp;<\/p>\n\n\n\n<p>Oui mais o\u00f9 investir, dans quelle proportion avec <em>quel retour sur investissement<\/em> dans un environnement budg\u00e9taire contraint tout en sachant que le risque z\u00e9ro en cyber s\u00e9curit\u00e9 n\u2019existe pas et que l\u2019obsolescence de l\u2019investissement cyber est rapide compte tenu de la vitesse de l\u2019\u00e9volution des usages et des technologies ainsi que de la sagacit\u00e9 des attaquants. <em>Que d\u00e9cider, quels sont les seuils de d\u00e9cision.<\/em> <em>Sur quels indicateurs fonder une d\u00e9cision objectiv\u00e9e<\/em>&nbsp;? Comment justifier les investissements n\u00e9cessaires&nbsp;?&nbsp;<\/p>\n\n\n\n<p>A l\u2019heure d\u2019aujourd\u2019hui, aux questions pos\u00e9es, des r\u00e9ponses d\u2019ordre technique&nbsp;sont g\u00e9n\u00e9ralement apport\u00e9es. C\u2019est utile et n\u00e9cessaire mais une vision strat\u00e9gique devient imp\u00e9rative. Or, les analyses de risque avec un volet <em>Business Impact Assessment<\/em> n\u2019offrent pas une vue holistique pour un risque de niveau <em>Entreprise Risk<\/em>.<\/p>\n\n\n\n<p>Nous proposons un changement <em>de paradigme pour aborder le risque cyber sous l\u2019angle des impacts financiers d\u2019une attaque par une approche par le risque m\u00e9tier&nbsp; (et son corollaire l\u2019opportunit\u00e9) afin de <\/em>le <em>traduire en acceptabilit\u00e9 du risque en ayant connaissance du niveau d\u2019exposition de l\u2019organisation et d\u2019envisager, au mieux, le transfert du risque vers l\u2019assurance<\/em>. En l\u2019absence de normes comptables pour les donn\u00e9es intangibles et immat\u00e9rielles, il s\u2019agit de confronter la technique aux enjeux m\u00e9tiers et traduire ces derniers en des termes financiers pour faciliter la prise de d\u00e9cision.<\/p>\n\n\n\n<p>Les m\u00e9thodes EBIOS RM et SPICE permettent de traduire le risque cyber en impacts financiers. Elles sont compl\u00e9mentaires, apportent des r\u00e9ponses \u00e0 des questions \u00e0 des niveaux diff\u00e9rents mais leurs clients finaux ne sont pas les m\u00eames.&nbsp;<\/p>\n\n\n\n<ul>\n<li>L\u2019atelier 3 \u00ab&nbsp;[les] Sc\u00e9narios strat\u00e9gique&nbsp;\u00bb d\u2019EBIOS RM \u00ab&nbsp;se con\u00e7oivent \u00e0 l\u2019\u00e9chelle de l\u2019\u00e9cosyst\u00e8me et des valeurs m\u00e9tier de l\u2019objet \u00e9tudi\u00e9. Ils sont \u00e9valu\u00e9s en termes de gravit\u00e9&nbsp;\u00bb<sup><a href=\"#_ftn1\">[1]<\/a><\/sup>.&nbsp;<\/li>\n<\/ul>\n\n\n\n<ul>\n<li>L\u2019objet de SPICE est de quantifier l\u2019impact financier de sc\u00e9narios m\u00e9tier d\u2019attaque cyber \u00e0 faible probabilit\u00e9 mais haut impact financier avec les termes et les cat\u00e9gories usit\u00e9es par la Finance. SPICE r\u00e9pond \u00e0 l\u2019\u00e9tape 4 du guide ANSSI-AMRAE \u2013 la ma\u00eetrise du risque num\u00e9rique. La m\u00e9thode permet de traduire les cons\u00e9quences directes mais surtout indirectes d\u2019une attaque&nbsp;: les dommages aux tiers, la perte d\u2019exploitation, la responsabilit\u00e9 contractuelle \u2013 bien au-del\u00e0 de ce que propose la grille EBIOS RM. SPICE identifie les mesures de mitigation prioritaires \u00e0 mettre en place pour r\u00e9duire l\u2019impact&nbsp;financier d\u2019une attaque. Ce faisant, SPICE offre des \u00e9l\u00e9ments de d\u00e9cision au travers de la mesure de l\u2019exposition, afin de valider des investissements en termes de protection et de financement du risque par une assurance qui correspond aux besoins de couverture du m\u00e9tier (\u00e9laboration d\u2019une couverture adapt\u00e9e et l\u2019identification des triggers de d\u00e9clanchement du contrat d\u2019assurance).&nbsp;<\/li>\n<\/ul>\n\n\n\n<p>On peut penser que les deux m\u00e9thodes sont compl\u00e9mentaires mais leur ambition est diff\u00e9rente et leurs clients en interne ne sont pas les m\u00eames.<\/p>\n\n\n\n<p><strong>Avantages compar\u00e9s de la d\u00e9marche SPICE en compl\u00e9ment de la mise en \u0153uvre de la m\u00e9thode EBIOS RM<\/strong><\/p>\n\n\n\n<p>EBIOS RM est \u00e0 classer dans la cat\u00e9gorie des outils contribuant \u00e0 la gestion technique et tactique des risques num\u00e9riques sous l\u2019angle du couple sources de risque\/objectifs vis\u00e9s et chemins d\u2019attaque.&nbsp;Pour \u00eatre efficace, la m\u00e9thode EBIOS RM qui se veut exhaustive suppose de disposer :<\/p>\n\n\n\n<ul>\n<li>D\u2019une cartographie de l\u2019\u00e9cosyst\u00e8me et du syst\u00e8me en vue fonctionnelle permettant de positionner les valeurs m\u00e9tiers&nbsp;;<\/li>\n<\/ul>\n\n\n\n<ul>\n<li>D\u2019une cartographie et d\u2019un inventaire technique r\u00e9pertoriant les biens support critiques associ\u00e9s aux valeurs m\u00e9tiers&nbsp;;<\/li>\n<\/ul>\n\n\n\n<ul>\n<li>Du lien entre la cartographie technique et fonctionnelle permettant de d\u00e9finir les chemins d\u2019attaque qui seront d\u00e9clin\u00e9s en chemin d\u2019attaque strat\u00e9giques permettant d\u2019\u00e9valuer l\u2019impact et sc\u00e9narios d\u2019attaque techniques permettant d\u2019\u00e9valuer la vraisemblance.<\/li>\n<\/ul>\n\n\n\n<p>Cette d\u00e9marche vise \u00e0 identifier l\u2019ensemble des vuln\u00e9rabilit\u00e9s pr\u00e9sentes sur le p\u00e9rim\u00e8tre cible rendant possible un sc\u00e9nario d\u2019attaque car c\u2019est au travers de ce prisme que l\u2019on qualifie le risque et \u00e9value la probabilit\u00e9 d\u2019occurrence des sc\u00e9narios.<\/p>\n\n\n\n<p>Les r\u00e9sultats obtenus conduiront la plupart du temps \u00e0 viser les mesures de s\u00e9curit\u00e9 ayant le meilleur rapport investissement\/b\u00e9n\u00e9fice pour une couverture optimum des vuln\u00e9rabilit\u00e9s identifi\u00e9es sous l\u2019angle technique. Les mesures de s\u00e9curit\u00e9 identifi\u00e9es seront g\u00e9n\u00e9ralement des mesures de protection ou de gouvernance car ce sont ces mesures en priorit\u00e9 qui permettent de couvrir les vuln\u00e9rabilit\u00e9s.<\/p>\n\n\n\n<p>La m\u00e9thode SPICE en identifiant les enjeux m\u00e9tiers sous l\u2019angle financier au travers de sc\u00e9narios catastrophes ou \u00e0 impact m\u00e9tier significatif va permettre d\u2019\u00e9laborer un plan de mitigation avec les mesures de s\u00e9curit\u00e9 qui augmenteront le niveau de r\u00e9silience de l\u2019entreprise en jouant d\u2019abord sur la r\u00e9duction de l\u2019impact financier tout en am\u00e9liorant le niveau de d\u00e9tection, de r\u00e9ponse ou de continuit\u00e9 d\u2019activit\u00e9. C\u2019est un compl\u00e9ment id\u00e9al aux ateliers 1 et 3 de la m\u00e9thode EBIOS RM. A l\u2019inverse de la m\u00e9thode EBIOS RM, SPICE prend en compte les actes malveillants et l\u2019actualit\u00e9 de la menace.<\/p>\n\n\n\n<p>La m\u00e9thode SPICE permet une quantification des impacts financiers issus et valid\u00e9e par les interlocuteurs m\u00e9tiers et par la fonction Finance de l\u2019entreprise. La valeur m\u00e9tier que cherche \u00e0 appr\u00e9hender EBIOS RM est parcellaire&nbsp;: elle traduite en co\u00fbts informatiques le plus souvent avec une grille high medium low et, d\u2019exp\u00e9rience ne correspond aux attentes de la Finance et de la Direction.&nbsp;<\/p>\n\n\n\n<p>La m\u00e9thode SPICE est \u00e9galement beaucoup plus simple \u00e0 mettre en place.&nbsp;<\/p>\n\n\n\n<p>Elle r\u00e9pond enfin aux enjeux m\u00e9tiers et de financement du risque cyber et de <em>due diligence<\/em>.<\/p>\n\n\n\n<p><strong>Les limites d\u2019EBIOS RM vis-\u00e0-vis de SPICE<\/strong><\/p>\n\n\n\n<ol>\n<li><strong>L\u2019aspect analyse financi\u00e8re et strat\u00e9gique du risque cyber \u2013 la traduction des enjeux cyber en termes financiers pour la prise de d\u00e9cision<\/strong><\/li>\n<\/ol>\n\n\n\n<p>Une analyse EBIOS RM offre une vision compl\u00e8te du niveau de risque mais son approche technique peut la rendre difficile \u00e0 d\u00e9ployer (si les cartographies n\u2019existent pas) et compliqu\u00e9e \u00e0 maintenir dans le temps. Les livrables sont ainsi en g\u00e9n\u00e9ral complexes et fortement li\u00e9s \u00e0 la cartographie et l\u2019inventaire des ressources de l\u2019entreprise au moment de l\u2019analyse. Tout changement significatif de ceux-ci conduira \u00e0 une obsolescence rapide de la pertinence de l\u2019analyse si celle-ci n\u2019est pas revue. Ce qui oblige \u00e0 consid\u00e9rer les co\u00fbts associ\u00e9s soit \u00e0 la mise en place des cartographies et ensuite \u00e0 leur mise \u00e0 jour.<\/p>\n\n\n\n<p>La d\u00e9marche SPICE en se focalisant sur les aspects principaux du m\u00e9tier permet de mettre en place un cadre p\u00e9renne d\u2019analyse en s\u2019appuyant sur les fondamentaux m\u00e9tiers de l\u2019entreprise. Il fournit, de plus, des outils facilitant son maintien dans le temps.<\/p>\n\n\n\n<p>Une analyse EBIOS RM est orient\u00e9e technique et n\u00e9cessite une appropriation et une adaptation pour que ses conclusions soient utilis\u00e9es dans une communication avec la Direction pour une prise de d\u00e9cision \u00e0 haut niveau. D\u2019exp\u00e9rience, les RSSI se souvent font retoquer dans leur demande de budget.&nbsp;<\/p>\n\n\n\n<p>Orient\u00e9e m\u00e9tier, la d\u00e9marche SPICE est adapt\u00e9e par nature \u00e0 une communication directe avec la Direction g\u00e9n\u00e9rale ou financi\u00e8re. Dans la mesure o\u00f9 le controlling est associ\u00e9 \u00e0 l\u2019exercice de quantification des sc\u00e9narios, le consensus m\u00e9tier \u2013 finance fait foi face aux dirigeants. Le chiffre parfait n\u2019existe pas mais lorsque l\u2019impact financier est \u00e0 la fois valid\u00e9 par le controlling du m\u00e9tier sur la base de sc\u00e9narios m\u00e9tiers dont la faisabilit\u00e9 technique a \u00e9t\u00e9 valid\u00e9e par les experts s\u00e9curit\u00e9 informatique et cyber s\u00e9curit\u00e9, le chiffre pr\u00e9sent\u00e9 est r\u00e9sultat d\u2019un consensus interne \u00e0 l\u2019organisation. D\u2019exp\u00e9rience, la r\u00e9ponse \u00e0 la question de la direction \u00ab&nbsp;d\u2019o\u00f9 sortez-vous vos chiffres&nbsp;? \u00bb devient simple.&nbsp;&nbsp;<\/p>\n\n\n\n<p>La d\u00e9marche SPICE contribue \u00e9galement lors de l\u2019atelier de travail principal \u00e0 la sensibilisation des acteurs m\u00e9tier aux enjeux de la Direction du risque num\u00e9rique et facilite ainsi l\u2019adoption des plans de rem\u00e9diation puisque les fonctions s\u00e9curit\u00e9 informatique, cyber s\u00e9curit\u00e9 et les m\u00e9tiers auront \u00e9t\u00e9 acteurs de leur conception.<\/p>\n\n\n\n<p>La d\u00e9marche SPICE inclut un outillage permettant la r\u00e9actualisation dans le temps des r\u00e9sultats et leur utilisation par l\u2019ensemble des acteurs impliqu\u00e9s dans la gouvernance du risque cyber, principalement, la Gestion du Risque (ERM), la Finance et leurs interfaces \u00e0 la Production et au sein de la Direction de la s\u00e9curit\u00e9 digitale et des infrastructures num\u00e9riques. La m\u00e9thode est agnostique du sch\u00e9ma d\u2019organisation interne de l\u2019entreprise ou de l\u2019administration.&nbsp;<\/p>\n\n\n\n<p>Si l\u2019entreprise ne dispose pas d\u2019outil ou de process ERM, l\u2019outillage SPICE peut constituer ou faire office pour la gestion des risques strat\u00e9giques.<\/p>\n\n\n\n<ol start=\"2\">\n<li><strong>Le financement du risque et son transfert vers l\u2019assurance&nbsp;<\/strong><\/li>\n<\/ol>\n\n\n\n<p>EBIOS RM envisage les risques sous un prisme qualitatif par d\u00e9faut et se limitera \u00e0 positionner les impacts sur une \u00e9chelle par niveau d\u2019impact (faible \u00e0 critique par exemple). Elle n\u2019est pas con\u00e7ue pour un calcul financier de la valeur du risque. De plus, l\u2019approche technique d\u2019EBIOS RM consid\u00e8re le co\u00fbt des mesures de couverture en regard du budget de l\u2019IT et non du budget m\u00e9tier.<\/p>\n\n\n\n<p>La complexit\u00e9 des architectures et l\u2019abstraction technique des solutions techniques actuelles conduit de plus fr\u00e9quemment \u00e0 consid\u00e9rer en priorit\u00e9, dans le p\u00e9rim\u00e8tre de l\u2019analyse, les ressources critiques ou sensibles par d\u00e9faut et d\u00e9bouche en g\u00e9n\u00e9ral sur un plan de couverture visant la s\u00e9curisation de l\u2019infrastructure au d\u00e9triment de la s\u00e9curisation des ressources m\u00e9tiers plus complexes \u00e0 prendre en compte car n\u00e9cessitant l\u2019implication des m\u00e9tiers. A l\u2019inverse, SPICE construit avec le m\u00e9tier leurs sc\u00e9narios d\u2019impacts \u2013 ces derniers d\u00e9finissent leur <em>maximum possible loss<\/em> via une attaque cyber. Les experts cyber valident la faisabilit\u00e9 technique des sc\u00e9narios.&nbsp;&nbsp;<\/p>\n\n\n\n<p>EBIOS RM ne permet pas d\u2019adresser les solutions de financement du risque&nbsp;: la d\u00e9finition des provisions financi\u00e8res pour risque cyber dans un bilan comptable. Elle ne permet pas non plus d\u2019envisager le transfert du risque tel que la souscription d\u2019une couverture assurantielle, l\u2019identification des triggers. SPICE a \u00e9t\u00e9 nativement con\u00e7ue pour ce faire.&nbsp;<\/p>\n\n\n\n<p>La m\u00e9thode a \u00e9t\u00e9 cr\u00e9\u00e9e pour r\u00e9pondre \u00e0 la demande du Directeur financier de conna\u00eetre son exposition \u00e0 une attaque majeure afin d\u2019objectiver les demandes re\u00e7ues de budgets d\u2019investissement en cyber s\u00e9curit\u00e9 et pour envisager au mieux les solutions de financement du risque. Les questions pos\u00e9es aux DSSI et RSSI par le Risk Manager restant sans r\u00e9ponse, il a fallu inventer et changer de paradigme dans l\u2019approche du risque cyber.&nbsp;<\/p>\n\n\n\n<p>SPICE r\u00e9pond au besoin du Risk Manager de connaitre l\u2019exposition m\u00e9tier au risque cyber afin de d\u00e9finir une strat\u00e9gie de couverture d\u2019assurance qui r\u00e9ponde aux besoins du m\u00e9tiers de son organisation en termes de lignes de d\u2019assurance et de capacit\u00e9s financi\u00e8res bien au-del\u00e0 du produit d\u2019assurance \u2013 aide \u00e0 la gestion de la crise lequel est n\u00e9cessaire mais pas suffisant.<\/p>\n\n\n\n<p>La quantification financi\u00e8re est ainsi l\u2019un des piliers de la d\u00e9marche SPICE. Elle permet notamment de mettre en perspective les enjeux financiers m\u00e9tiers par rapport aux investissements \u00e9ventuels \u00e0 r\u00e9aliser pour r\u00e9duire le niveau de risque d\u2019un point de vue des impacts financiers.<\/p>\n\n\n\n<ol start=\"3\">\n<li><strong>SPICE et <\/strong><strong><em>due diligence<\/em><\/strong><\/li>\n<\/ol>\n\n\n\n<p>&nbsp;En tant qu\u2019outil de communication natif avec le management, la d\u00e9marche SPICE permet de r\u00e9pondre aux besoins de justification (<em>Due Diligence<\/em>) de la prise en compte du risque cyber au m\u00eame titre que la prise en compte des autres risques d\u2019entreprise lors de communication vis-\u00e0-vis des autorit\u00e9s, des investisseurs ou des actionnaires. SPICE contribue \u00e0 la preuve de la pr\u00e9sence d\u2019un processus structur\u00e9 de gestion des risques num\u00e9riques permettant la justification des d\u00e9cisions \u00e9clair\u00e9es par les dirigeants lesquelles sont prises \u00e0 partir d\u2019\u00e9l\u00e9ments financiers objectiv\u00e9s.&nbsp;<\/p>\n\n\n\n<p>SPICE permet l\u2019identification des composantes num\u00e9riques des risques m\u00e9tiers d\u2019entreprise ou des organisations et met \u00e0 disposition des indicateurs utiles \u00e0 la prise de d\u00e9cision. Cela permet \u00e9galement de justifier une potentielle acceptation du risque ou l\u2019adoption d\u2019une strat\u00e9gie privil\u00e9giant la limitation des impacts en cas d\u2019incidents plut\u00f4t qu\u2019orient\u00e9 traditionnellement vers la protection.<\/p>\n\n\n\n<p>Dans le cas de la d\u00e9marche SPICE, la transversalit\u00e9 de l\u2019exercice n\u00e9cessite l\u2019implication de nombreux interlocuteurs non impliqu\u00e9s traditionnellement dans le cadre d\u2019une analyse EBIOS RM. Les m\u00e9tiers sont au c\u0153ur de l\u2019exercice (et son ainsi sensibilis\u00e9s) mais \u00e9galement le Risk Manager Assurance, la Finance et la Direction. SPICE ne d\u00e9multiplie pas la charge des \u00e9quipes IT en interne pour la r\u00e9alisation du projet. En revanche, le livrable SPICE est tr\u00e8s utile pour d\u00e9terminer o\u00f9 d\u00e9cliner une analyse de risque op\u00e9rationnel. Le livrable SPICE permet au DSSI ou RSSI de justifier ses investissements et d\u2019orienter ses plans de mitigation, plans de reprise et de continuit\u00e9 d\u2019activit\u00e9.<\/p>\n\n\n\n<p><strong>A titre conclusif&nbsp;<\/strong><\/p>\n\n\n\n<p>Conduire un exercice SPICE pour un grand groupe, des ETI, des PME et des organismes publics est tout \u00e0 fait possible car les principes de la m\u00e9thode restent les m\u00eames. La m\u00e9thode SPICE est agnostique du type d\u2019activit\u00e9, de la taille de l\u2019organisation et de son sch\u00e9ma organisationnel (pour autant que l\u2019activit\u00e9 soit digitalis\u00e9e).&nbsp;<\/p>\n\n\n\n<p>Elle peut \u00eatre utilis\u00e9e dans le cas o\u00f9 l\u2019organisation ne dispose pas d\u2019une cartographie aboutie de l\u2019\u00e9cosyst\u00e8me et du syst\u00e8me en vue fonctionnelle permettant de positionner les valeurs m\u00e9tiers, de la cartographie et d\u2019un inventaire technique r\u00e9pertoriant les biens support critiques associ\u00e9s aux valeurs m\u00e9tiers&nbsp;et du lien entre la cartographie technique et fonctionnelle permettant de d\u00e9finir les chemins d\u2019attaque.&nbsp;<\/p>\n\n\n\n<p>Elle peut ainsi constituer, le cas \u00e9ch\u00e9ant, un outil d\u2019entr\u00e9e pour une organisation qui souhaiterait engager une appr\u00e9ciation de son exposition au risque cyber d\u2019un point de vue financier et des investissements n\u00e9cessaires et urgents (<em>best effort<\/em>) \u00e0 conduire. Les r\u00e9sultats d\u2019un tel exercice d\u2019analyse financi\u00e8re du risque cyber sont, en effet, des \u00e9l\u00e9ments objectivit\u00e9s et financiers destin\u00e9s \u00e0 une prise de d\u00e9cision. Ils soutiennent le d\u00e9ploiement d\u2019une r\u00e9flexion strat\u00e9gique \u2013 que faire de mon risque, quel est-il, o\u00f9 investir et comment, dans quel d\u00e9lais et face \u00e0 quelle menace. SPICE sera ensuite d\u00e9clin\u00e9e et approfondie en analyses de risques plus op\u00e9rationnels.<\/p>\n\n\n\n<p>A titre de r\u00e9f\u00e9rences, EBIOS RM et SPICE sont d\u00e9ploy\u00e9s chez Airbus via le support de BSSI mais \u00e9galement chez Thales. SCOR, GRDF. Des clients de COVEA ont \u00e9galement b\u00e9n\u00e9fici\u00e9 de la m\u00e9thode SPICE ainsi que la FFA (F\u00e9d\u00e9ration Fran\u00e7aise des Assurances). Un exercice de faisabilit\u00e9 aupr\u00e8s de plus petites organisations (fili\u00e8re a\u00e9ronautique) a \u00e9t\u00e9 \u00e9galement conclusif dans le cadre de travaux de recherche sur le transfert du risque conduits au sein de l\u2019IRT-SystemX entre 2016 et 2019.&nbsp;<\/p>\n\n\n\n<p id=\"_ftnref2\">La logique SPICE est soutenue et promue par l\u2019AMRAE (Philippe Cotelle Administrateur Cyber, Insurance Risk Manager chez Airbus Defence and Space) ainsi que par l\u2019ANSSI &#8211; La ma\u00eetrise du risque num\u00e9rique<sup><a href=\"#_ftn2\">[2]<\/a><\/sup>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p id=\"_ftn1\"><sup><a href=\"#_ftnref1\">[1]<\/a><\/sup> &nbsp;M\u00e9thode EBIOS Risk Manager &#8211; ANSSI<\/p>\n\n\n\n<p><a href=\"#_ftn2\"><sup>[2]<\/sup><\/a> &nbsp;<a href=\"https:\/\/www.ssi.gouv.fr\/actualite\/confiance-numerique-lanssi-et-lamrae-publient-un-guide-sur-la-maitrise-du-risque-numerique-pour-les-dirigeants\/\">https:\/\/www.ssi.gouv.fr\/actualite\/confiance-numerique-lanssi-et-lamrae-publient-un-guide-sur-la-maitrise-du-risque-numerique-pour-les-dirigeants\/<\/a><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les pr\u00e9occupations et les responsabilit\u00e9s du dirigeant face au risque cyber et aux d\u00e9cisions qu\u2019il doit prendre pour prot\u00e9ger la valeur de son entreprise en termes d\u2019investissements cyber et du financement du risque par son transfert du vers l\u2019assurance. Au vu du contexte actuel \u2013 digitalisation des organisations, le t\u00e9l\u00e9travail [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[6,4,5],"_links":{"self":[{"href":"https:\/\/iqcyber.org\/index.php?rest_route=\/wp\/v2\/posts\/37"}],"collection":[{"href":"https:\/\/iqcyber.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iqcyber.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iqcyber.org\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/iqcyber.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=37"}],"version-history":[{"count":5,"href":"https:\/\/iqcyber.org\/index.php?rest_route=\/wp\/v2\/posts\/37\/revisions"}],"predecessor-version":[{"id":48,"href":"https:\/\/iqcyber.org\/index.php?rest_route=\/wp\/v2\/posts\/37\/revisions\/48"}],"wp:attachment":[{"href":"https:\/\/iqcyber.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=37"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iqcyber.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=37"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iqcyber.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=37"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}