FIC 2023 CRQ : comment quantifier les cyber-risques en termes financiers

En matière de gestion et d’évaluation des risques de cybersécurité, il existe plusieurs méthodes possibles : ne pas analyser les risques du tout, les analyser de manière qualitative ou procéder à leur quantification (Cyber Risk Quantification / CRQ).

« Dans les entreprises, les décisions relatives à la cybersécurité reposent, quand elles existent, sur des analyses essentiellement qualitatives. Ces analyses sont soumises aux biais cognitifs, ces schémas mentaux qui nous permettent de prendre des décisions rapides face à des situations que nous croyons avoir déjà vécues ou que nous reconnaissons. Dans la plupart des cas, cette intuition, cette expérience et cette expertise sont très utiles. En revanche, dans des situations vraiment complexes et stratégiques, elles se révèlent souvent mauvaises conseillères », déclare Christophe Forêt, cofondateur et président de C-Risk.

Pour faire face à cette complexité, il existe des modèles qui facilitent, avec plus ou moins de justesse et de facilité, la quantification des risques cyber en termes financiers. « Ces modèles permettent, grâce à l’utilisation de méthodes mathématiques, de peser le pour et le contre et d’aller chercher des avis contradictoires. L’objectif est de dégager des décisions plus objectives, davantage défendables et qui, si elles étaient répliquées par d’autres personnes, amèneraient à des conclusions statistiquement comparables », ajoute Christophe Forêt.

FAIR, un standard mis au point par un RSSI en 2005

Le standard FAIR (Factor Analysis of Information Risk / Analyse des facteurs du risque informationnel) fait partie de ces modèles de CRQ. Il s’agit d’un standard de l’Open Group mis au point en 2005 par Jack Jones, alors RSSI de la compagnie d’assurance Nationwide. Sa taxonomie décrit par le menu quels composants participent à la fréquence d’un sinistre et à l’ampleur des pertes financières à redouter en cas de survenance de ce sinistre.

« Le modèle FAIR permet d’exploiter des informations incertaines grâce à l’utilisation de plages de données estimées et de niveaux de confiance correspondants. La fréquence des sinistres, les contrôles et l’ampleur des sinistres (impact en termes financiers) y sont modélisés », note Christophe Forêt.

Le modèle aide à décomposer le risque en variables qui peuvent être estimées non pas en valeurs discrètes, mais dans des plages correspondant au « minimum », au « plus probable » et au « maximum ». Grâce à l’utilisation des simulations de Monte-Carlo, une même formule peut être évaluée des milliers de fois à l’aide de valeurs sélectionnées parmi les intervalles. Cela permet ensuite de générer une distribution probabiliste des montants des pertes futures potentielles.

« L’avantage avec les plages est de pouvoir dire, par exemple, que le risque lié aux ransomwares représente, pour une entreprise donnée, entre 500 000 et 4 millions d’euros. C’est beaucoup plus précis que des termes comme ‘cela vous coûtera cher’ ou ‘c’est un risque rouge’. Cela permet de définir correctement ce qu’est un risque, c’est-à-dire une perte financière résultant d’un sinistre sur un actif », complète Christophe Forêt.

Des bénéfices multiples pour les entreprises

Un des principaux bénéfices de cette méthode est de pouvoir quantifier un nombre important de scénarios. « Quand nous nous intéressons à un univers de risques, nous procédons dans un premier temps par triage. En quelques heures, nous pouvons donner des ordres de grandeur avant d’aller davantage dans le détail selon les cas d’usage. Et à partir du moment où nous nous apercevons qu’il y a un sinistre, nous essayons d’évaluer s’il peut y avoir des effets dominos, avec à la fois des coûts internes et externes, et des temporalités qui ne sont pas toujours celles des vendeurs de solutions », analyse Christophe Forêt.

La méthode de quantification permet ainsi d’accompagner un directeur des assurances qui cherche à savoir si la couverture qu’il a souscrite correspond à son exposition réelle aux risques cyber. « Parfois, les entreprises se disent qu’elles ont 5 millions d’euros de couverture, avec une franchise de ‘seulement’ 500 000 euros. Mais si nous creusons, nous constatons que les 5 millions d’euros concernent l’ensemble des sinistres sur un cycle fiscal, et que la franchise s’entend par type de perte. Or, grâce à la quantification, nous savons qu’aucun des risques, par catégorie de perte, n’atteindra jamais le niveau de la franchise », détaille Christophe Forêt.

Autre exemple, celui des équipes de sécurité opérationnelles qui, sur la mise en œuvre de certaines solutions de protection, peinent à trouver un terrain d’entente. « Typiquement, sur le chiffrement, ces équipes peuvent ne pas être d’accord sur la méthode à appliquer. Doivent-elles chiffrer les données, la base, l’OS… Et quels vont être les coûts associés ? En descendant plus finement dans la taxonomie, nous pouvons fournir des analyses plus fouillées afin d’éclairer les décideurs. Dans certains grands groupes, cela peut représenter des millions d’euros d’investissement », conclut Christophe Forêt.