Quantification du risque cyber (CRQ) : déchiffrer l’exposition financière pour mieux prioriser les investissements cyber

Et si le risque cyber se traduisait en euros ou en dollars ? C’est ce que proposent les solutions de quantification du risque cyber (ou CRQ, acronyme de Cyber Risk Quantification). Entre 2010 et 2015, ce marché s’est particulièrement développé (notamment aux États-Unis) alors que cette méthode reste peu connue du grand public en Europe.

La quantification du risque cyber (CRQ) est une méthode qui consiste à mesurer l’impact financier d’un potentiel incident de cybersécurité sur une organisation donnée. Pour modéliser le risque en termes financier, les solutions de CRQ fonctionnent en décomposant le risque en deux composantes principales : la fréquence de l’événement de perte (à quelle fréquence l’attaque est susceptible de se produire et de réussir) et l’amplitude de la perte (combien cela coûterait en dollars ou en euros, incluant les coûts de réponse, les amendes réglementaires et la perte de revenus). En agrégeant les données techniques internes (vulnérabilités, contrôles, CTI) et les données financières de l’entreprise, ces solutions effectuent des simulations probabilistes (comme la méthode de Monte Carlo) pour calculer la perte annuelle espérée (ALE).

Le résultat de ce calcul est l’exposition au risque cyber de l’entreprise, exprimé en valeur monétaire. Le principal objectif de la quantification est de fournir aux professionnels de la cybersécurité des données pour justifier leur budget auprès du COMEX, mais aussi pour prioriser leurs investissements grâce au calcul du RoSI (Return on Security Investment). Cette approche permet d’établir un langage commun et objectif entre les équipes techniques et la direction, faisant du risque cyber une composante mesurable de la gestion des risques de l’entreprise.

Grâce à l’apparition de nombreux acteurs entre 2010 et 2015, le marché de la quantification du risque cyber n’est plus une simple tendance. Il s’agit d’une mutation fondamentale pour la gouvernance des entreprises. Face à l’escalade des menaces et à la pression croissante des assureurs, l’exigence de clarté financière s’impose. Des Pure Players comme Citalid, Axio, KOVRR et DeNexus sont les fers de lance de cette transformation. Il est désormais impératif de cartographier précisément cette offre complexe, d’évaluer comment ces solutions se distinguent des simples outils de scoring, et d’analyser la manière dont elles redessinent le dialogue entre le monde du cyber, de la finance et de l’assurance.

Un outil, plusieurs utilisations

Au-delà de la théorie, la quantification du risque cyber est devenue une nécessité opérationnelle pour plusieurs piliers stratégiques de l’entreprise. L’utilisation initiale de la CRQ est très liée à la cybersécurité interne. Grâce à l’expression du risque en valeur monétaire, la quantification peut être un outil pour aider le RSSI à défendre son budget de cybersécurité auprès de son COMEX. C’est aussi un outil utile à la priorisation des ressources dans ce domaine, puisqu’il permet de les mobiliser vers les risques qui coûtent le plus cher à l’entreprise, comme le montre Bret Laughlin, Fondateur et CEO de Ostrich Cyber Risk : “La création de scénarios quantitatifs permet aux entreprises de se concentrer sur les effets commerciaux néfastes et les coûts commerciaux associéset de quantifier les avantages d’investir dans des contrôles directement liés à la réduction de tels événements.”

Par ailleurs, la CRQ a trouvé des applications dans le domaine de l’assurance, à la fois pour l’assureur et l’assuré. En effet, les assureurs peuvent utiliser la quantification pour tarifer et modéliser les risques agrégés afin de mieux maîtriser leur portefeuille. Maxime Cartan, Co-fondateur et CEO de Citalid explique : “Pour l’assureur, la CRQ est un levier de compétitivité, de rentabilité. Elle lui offre une meilleure transparence sur l’exposition réelle de son client ou prospect, mais aussi au niveau de son portefeuille, des données plus fiables pour tarifer ses polices et in fine permet de renforcer la confiance assuré x assureur qui est parfois mise à mal.” De l’autre côté, la quantification permet de mieux connaître son exposition au risque cyber. Christophe Maira, RSSI de Mutex en témoigne : “Comme de nombreuses entreprises, nous bénéficions d’une cyber assurance. Nous avons voulu challenger sa couverture. La quantification financière du risque cyber étant le meilleur outil pour cela.” Les entreprises peuvent donc négocier leur couverture pour qu’elle soit plus adaptée à leur besoin réel, même si les assureurs n’ont pas encore tous intégré la CRQ comme un levier de discussion avec leurs assurés : “Nous avons essayé de nous en servir dans le cadre de la négociation, mais le cyber assureur n’était pas très réceptif à nos estimations : il avait son propre modèle. Notre courtier a aidé à mettre en valeur nos travaux (que ce soit la CRQ et les actions de protection). C’est l’ensemble qui a permis d’obtenir des baisses de primes et de meilleures garanties.”, explique le RSSI.

La CRQ se révèle également utile pour les entreprises qui sont concernées par des problématiques liées à la supply chain et à la gestion de leurs fournisseurs. La quantification permet une évaluation rapide et monétisée du risque porté par les partenaires, et aide donc à faire des choix dans ce domaine pour mieux maîtriser ses vulnérabilités. Ainsi, cette pratique se révèle particulièrement utile pour les environnements OT. “Les vulnérabilités liées aux tiers se comptent par milliers dans de nombreux réseaux OT, et ce nombre augmente. Beaucoup concernent des équipements hérités (legacy devices) qui ne sont plus supportés, ou des équipements en fin de vie pour lesquels il n’est pas justifié d’investir. De plus, elles sont difficiles (parfois impossibles) à traiter lors des fenêtres de maintenance, qui sont rares et courtes. La CRQ aide à identifier les vulnérabilités qui génèrent réellement du risque et à les séparer des centaines ou des milliers d’autres qui n’en génèrent pas”, affirme Jose M. Seara, fondateur et CEO de DeNexus (une solution de quantification dédiée aux systèmes OT et aux infrastructures critiques).

Enfin, la CRQ peut aussi être une aide à la mise en conformité des entreprises. “Par exemple, dans le monde assurantiel ou bancaire, on a des rapports ORSA à faire et on doit simuler voire déclarer la couverture de risque cyber. Il faut mettre des chiffres dans ce rapport. Maintenant, grâce à la CRQ, on a quelque chose de factuel”, explique Ludovic Barbier, CISO de Garance et adapté de la quantification du risque cyber depuis plusieurs années. Les nouvelles réglementations européennes, comme la directive NIS 2 et le règlement DORA n’exigent pas seulement d’appliquer des mesures de sécurité, mais d’adopter un système de gestion des risques rigoureux et structuré. Les résultats donnés par la quantification peuvent fournir une preuve que l’entreprise a identifié et évalué ses risques de manière exhaustive et non subjective. En quantifiant les risques, l’entreprise peut aussi prouver qu’elle a alloué ses ressources (et donc mis en place les contrôles les plus coûteux) là où le risque financier est le plus élevé. Cela répond à l’obligation de mettre en œuvre des mesures de sécurité proportionnelles au risque encouru.

Petit aperçu des acteurs du marché

NB : La section ci-dessous présente un aperçu non exhaustif du marché des solutions de CRQ. Notre classification des Pure Players a été réalisée selon des critères internes, principalement fondés sur l’analyse de leurs fonctionnalités et leur positionnement stratégique sur l’échiquier concurrentiel.

Entre 2010 et 2015, le marché s’est beaucoup développé et plusieurs pure players ont fait leur apparition. On peut les distinguer en trois catégories, en fonction de leur offre et leur positionnement : méthodologie et gouvernance ; technologie, CTI et priorisation ; assurance, finance et risque agrégé. Cette classification est un point de départ pour appréhender le marché de la CRQ car les frontières entre ces différentes catégories sont de plus en plus poreuses et les acteurs n’hésitent pas à diversifier leurs offres.

La quantification du risque cyber n’est pas uniquement l’affaire des pure players. En effet, des cabinets de conseil et des intégrateurs se sont intéressés ces dernières années à cet outil pour aider leurs clients à l’adopter. En dehors de cabinets déjà connus sur le marché de la cybersécurité (Deloitte, PWC, EY, KPMG, Accenture, Capgemini, Wavestone…), il existe aussi des acteurs spécialisés sur l’intégration de la CRQ, comme Risk Lens ou C-Risk.

Par ailleurs, certains acteurs de la GRC, comme MetricStream, commencent à intégrer les capacités de la quantification du risque cyber à leurs solutions déjà existantes.

Qu’est-ce qui différencie la quantification du risque cyber et le scoring ?

Pour bien saisir la valeur de la CRQ, il est indispensable de la distinguer clairement des offres de Cyber Scoring, dont la finalité et l’usage sont fondamentalement différents.

Les solutions de scoring (à l’image des solutions proposées par Bitsight ou Security ScoreCard) fournissent une note externe (A, B, C ou de 1 à 100) basée sur des données observables (ports ouverts, patch, réputation…). Il offre une évaluation rapide, externe et facilement comparable de la posture de sécurité d’une entité.

Ses utilisations diffèrent donc de celles de la quantification. En effet, le scoring est principalement utilisé dans la gestion du risque tiers car il fournit une vision extérieure qui permet de rendre compte de la résilience d’un partenaire ou d’un fournisseur avant de contractualiser. C’est aussi un outil qui permet aux entreprises de se comparer à leurs pairs ou à leurs concurrents, afin de suivre la progression de leur maturité cyber.

Comme la quantification, le scoring est utilisé dans le monde de l’assurance. Les assureurs cyber utilisent souvent le scoring comme un critère préliminaire pour l’évaluation des risques et la tarification des primes. Une mauvaise note peut entraîner des primes plus élevées ou un refus de couverture.

Par ailleurs, le scoring remplit aussi cette tâche de langage commun, qui est aussi l’apanage de la quantification. Le score étant facile à comprendre, il permet une communication rapide du risque aux équipes non techniques, même s’il manque de détails financiers.

Si le scoring permet de savoir où se trouve un problème, la CRQ est l’outil qui permet de répondre avec précision à la question : « Combien cela coûte-t-il réellement ? ». La quantification pourrait donc être considérée comme l’étape supérieure à l’utilisation du scoring, comme en témoigne David Steng, Director of Cyber Strategy & Performance à Fresenius : “En attribuant des valeurs d’impact financier claires aux risques, plutôt que de s’appuyer sur des évaluations subjectives (élevé/moyen/faible), la quantification du risque cyber élimine l’ambiguïté et permet des conversations plus constructives avec les parties prenantes. Cela les responsabilise également davantage, car elles peuvent mieux se rapporter aux implications financières du risque cyber. Dans l’ensemble, la CRQ a fait passer la cybersécurité d’une préoccupation purement technique à un sujet central de risque commercial et stratégique, favorisant un engagement plus fort et une responsabilité partagée.”

Quel avenir pour la CRQ ?

Une chose est sûre : la quantification du risque cyber n’en est qu’à ses débuts. “Nous observons clairement une adoption croissante. Mon impression est que les États-Unis mènent la tendance, parfois de manière plus superficielle, mais l’Europe et d’autres régions du monde rattrapent également leur retard, reconnaissant la nécessité de s’adapter”, analyse David Steng.

Aujourd’hui, elle est considérée comme un outil de cybersécurité, mais elle pourrait à court-terme devenir un outil incontournable de la gestion d’entreprise. “Il faut que ce soit démocratisé, que les directions financières et juridiques s’appuient dessus, que les directions des achats s’en emparent pour le choix des partenaires et des fournisseurs…”, conseille Ludovic Barbier. Et c’est le même son de cloche du côté de Maxime Cartan :”Il faudrait intégrer la CRQ dans les processus d’entreprise : budget, assurance, reporting, risques, décisions d’investissement… avec la même rigueur qu’on applique aujourd’hui à l’ESG au risque financier. Et c’est là que réside l’avenir de la CRQ : non pas produire “le chiffre parfait”, mais offrir un cadre commun pour piloter le risque cyber comme un risque d’entreprise à part entière – mesurable, comparable et vecteur de performance durable.”

Par ailleurs, dans un monde où les interconnexions sont de plus en plus nombreuses, l’usage de la quantification appliquée aux risques tiers devrait se développer, comme le prédit Christophe Maira : “L’intégration de dispositifs d’évaluation des risques engendrés par les tiers (fournisseurs, partenaires, clients…) aurait toute sa place dans la CRQ.

D’autant plus que l’on assiste à une augmentation des attaques par la chaîne d’approvisionnement (supply chain attack), qui peut avoir des conséquences directes (rebond, contagion) ou indirectes (indisponibilité défaut d’un service ou d’une ressource critique externe).”

Les capacités de la CRQ devraient également s’améliorer et proposer des résultats encore plus fins. “À mesure que l’IA progressera et que les garde-fous s’amélioreront, l’accès aux données pertinentes sera recueilli beaucoup plus efficacement, permettant aux professionnels moins expérimentés de quantifier les risques cyber et opérationnels pour l’entreprise”, déclare Bret Laughlin. Les COMEX n’ont donc pas fini d’entendre parler de CRQ !