{"id":39,"date":"2023-11-06T10:00:00","date_gmt":"2023-11-06T09:00:00","guid":{"rendered":"https:\/\/iqcyber.org\/?p=39"},"modified":"2023-11-07T11:43:00","modified_gmt":"2023-11-07T10:43:00","slug":"fair-spice-seuils-de-decision-strategique-pour-le-decideur-dans-le-management-de-son-risque-cyber","status":"publish","type":"post","link":"https:\/\/iqcyber.org\/?p=39","title":{"rendered":"FAIR \u2013 SPICE Seuils de d\u00e9cision strat\u00e9gique pour le d\u00e9cideur dans le management de son risque cyber"},"content":{"rendered":"\n

Les pr\u00e9occupations et les responsabilit\u00e9s du dirigeant face au risque cyber et aux d\u00e9cisions qu\u2019il doit prendre pour prot\u00e9ger la valeur de son entreprise en termes d\u2019investissements cyber et du financement du risque par son transfert du vers l\u2019assurance.<\/em><\/p>\n\n\n\n

Une attaque cyber peut affecter le d\u00e9veloppement et la cr\u00e9ation de valeur.<\/p>\n\n\n\n

Au vu du contexte actuel \u2013 digitalisation des organisations, t\u00e9l\u00e9travail impos\u00e9 par la crise sanitaire, mont\u00e9e en puissance des attaques cyber, la cyber s\u00e9curit\u00e9 n\u2019est plus une option et l\u2019appr\u00e9hender comme un simple centre de co\u00fbt ni m\u00eame une activit\u00e9 qualifi\u00e9e de cost avoidance<\/em> n\u2019est plus satisfaisant. L\u2019id\u00e9e fait son chemin, les investissements en cyber s\u00e9curit\u00e9 participent au d\u00e9veloppement et \u00e0 la protection de la cr\u00e9ation de valeur<\/em>. Oui mais o\u00f9 investir, dans quelle proportion avec quel retour sur investissement<\/em> dans un environnement budg\u00e9taire contraint tout en sachant que le risque z\u00e9ro en cyber s\u00e9curit\u00e9 n\u2019existe pas et que l\u2019obsolescence de l\u2019investissement cyber est rapide compte tenu de la vitesse de l\u2019\u00e9volution des usages et des technologies ainsi que de la sagacit\u00e9 des attaquants. A un moment, la courbe des investissements cyber devient exponentielle alors que le risque demeure. Que d\u00e9cider, quels sont les seuils de d\u00e9cision. Sur quels indicateurs fonder une d\u00e9cision objectiv\u00e9e<\/em> ?<\/p>\n\n\n\n

<\/p>\n\n\n\n

Le d\u00e9cideur est confront\u00e9 \u00e0 des demandes de validation de budgets massifs en p\u00e9riode d\u2019\u00e9volution critique du syst\u00e8me d\u2019information et, selon la taille de l\u2019organisation, il peut ne pas avoir la vue sur la ventilation du budget de son DSSI ou de son RSSI. A l\u2019inverse, les DSSI et les RSSI peuvent \u00e9prouver de la difficult\u00e9 \u00e0 justifier et valider leurs budgets op\u00e9rationnels. Toutefois, l\u2019interrogation est partag\u00e9e, quel est le co\u00fbt des impacts directs et indirects d\u2019une attaque cyber<\/em>, quel est le niveau d\u2019exposition de l\u2019organisation<\/em>, quels sont les investissements n\u00e9cessaires<\/em> pour que les impacts financiers pour l\u2019entreprise soient minima<\/em>, comment financer le risque<\/em> et quelles en sont les options ? <\/p>\n\n\n\n

Comment puis-je en tant que dirigeant justifier aupr\u00e8s du conseil d\u2019administration<\/em>, des fonds d\u2019investissement qu\u2019il est urgent d\u2019investir sans \u00eatre en mesure de pr\u00e9senter un retour sur investissement et lorsque le risque cyber ne peut pas \u00eatre mat\u00e9rialis\u00e9 en tant que tel dans un bilan comptable ? <\/p>\n\n\n\n

L\u2019autre question du dirigeant est celle de la RCMS<\/em> \u2013 quand est-il de ma responsabilit\u00e9 en tant que mandataire social face au risque cyber?<\/p>\n\n\n\n

A l\u2019heure d\u2019aujourd\u2019hui, aux questions pos\u00e9es, des r\u00e9ponses d\u2019ordre technique sont apport\u00e9es : voici ce qui est d\u00e9pens\u00e9 dans la protection, la d\u00e9tection, le traitement des incidents et la continuit\u00e9 d\u2019activit\u00e9, voici ce qui va permettre d\u2019assurer la confidentialit\u00e9, l\u2019int\u00e9gralit\u00e9 et la disponibilit\u00e9 des donn\u00e9es dans le respect de la r\u00e9glementation (ex. RGDP). L\u2019analyse de risque doit d\u00e9sormais contenir un volet financier comme pr\u00e9conis\u00e9 dans la d\u00e9marche ANSSI AMRAE \u2013 Comprendre son risque num\u00e9rique \u00e9tape 4 ou dans le cadre d\u2019une d\u00e9marche globale d\u2019analyse du risque telle que EBIOS Risk Management. N\u00e9anmoins, les analyses de risque avec un volet Business Impact Assessment<\/em> n\u2019offrent pas une vue holistique pour un risque de niveau Entreprise Risk<\/em>.<\/p>\n\n\n\n

Nous proposons de changer de paradigme et d\u2019aborder le cyber sous l\u2019angle financier par une approche par le risque business (et son corollaire l\u2019opportunit\u00e9) afin de <\/em>le traduire en acceptabilit\u00e9 du risque en ayant connaissance du niveau exposition de l\u2019organisation<\/em>. En l\u2019absence de normes comptables pour les donn\u00e9es intangibles et immat\u00e9rielles, il s\u2019agit de confronter la technique aux enjeux m\u00e9tiers et traduire ces derniers en des termes financiers des impacts directs et indirects pour faciliter la prise de d\u00e9cision.<\/p>\n\n\n\n

Est-ce possible de traduire le risque cyber en des termes financiers ? <\/p>\n\n\n\n

Oui, deux m\u00e9thodes peuvent le faire sur la base de sc\u00e9narios d\u2019attaque rapport\u00e9s au m\u00e9tier et \u00e0 l\u2019activit\u00e9 de l\u2019organisation. La difficult\u00e9 principale de la traduction en termes financiers des cons\u00e9quences financi\u00e8res d\u2019une attaque cyber est essentiellement la probl\u00e9matique de la capacit\u00e9 \u00e0 prendre en compte plusieurs risques en m\u00eame temps<\/em>. De plus, la quantification financi\u00e8re d\u2019un sc\u00e9nario m\u00e9tier n\u2019est pas \u00e9gale \u00e0 la somme des diff\u00e9rentes \u00e9tapes qui composent le ou les sc\u00e9narios. Plusieurs incidents se d\u00e9roulent en parall\u00e8le. Le total des impacts n\u2019est pas \u00e9gal \u00e0 la somme des impacts car certains sont transverses. Ce qui rend complexe la m\u00e9thode de calcul des accumulations<\/em>. <\/p>\n\n\n\n

De m\u00eame, une approche par risque unitaire ne permet pas d\u2019appr\u00e9cier financi\u00e8rement les mesures de mitigation qui permettront de r\u00e9duire l\u2019impact financier sur plusieurs sc\u00e9narios<\/em>. En l\u2019\u00e9tat de l\u2019art, il est impossible de remonter (d\u2019agr\u00e9ger) tous les co\u00fbts unitaires des incidents qui dessinent un sc\u00e9nario d\u2019attaque du niveau Risk<\/em> Entreprise<\/em>.<\/p>\n\n\n\n

En revanche, deux m\u00e9thodes apportent des \u00e9l\u00e9ments de quantification financi\u00e8re \u00e0 partir de sc\u00e9narios m\u00e9tier<\/em>. Compl\u00e9mentaires, elles n\u2019adressent pas le m\u00eame niveau de risque<\/em>. Leur combinaison permet d\u2019avoir une vue correcte sur les impacts financiers. Mais il faudra aller plus loin dans la r\u00e9flexion pour avoir une vue consolid\u00e9e de bout en bout des impacts financiers op\u00e9rationnels et strat\u00e9giques d\u2019un ou plusieurs sc\u00e9narios d\u2019attaque. <\/p>\n\n\n\n

\n\n\n\n

Les m\u00e9thodes FAIR[1]<\/a><\/sup> et SPICE[2]<\/a><\/sup> permettent de quantifier financi\u00e8rement le risque cyber. <\/p>\n\n\n\n