La quantification des cyber-risques (CRQ) permet de définir les risques pour la cybersécurité dans des termes objectifs et empiriques, afin d'informer les décisions stratégiques.
Qu'est-ce que la quantification des cyber-risques ?
Les conseils d'administration et les équipes de direction sont de plus en plus tenus pour responsables en cas de violations de cybersécurité, de pertes de données, de violations de la conformité et d'autres impacts. La cybersécurité est donc devenue, plus que jamais, un sujet stratégique. La quantification des cyber-risques (CRQ) est uneméthode permettant d'établir un cadre pour les risques de cybersécurité porteur de sens pour les décideurs.
La CRQ est un pilier majeur dans la gestion de l'exposition aux cyber-risques. Elle aide les organisations à déterminer l'impact potentiel que peuvent présenter les risques pour la sécurité, comme les pertes financières (chiffre d'affaires, temps d'arrêt) et/ou les pertes concurrentielles (comme les parts de marché). Elle aide les organisations à investir dans les points les plus essentiels de la cybersécurité et à déterminer la valeur ou le retour potentiel de ces investissements, justifiant ainsi les dépenses en cybersécurité.
Le modèle FAIR est une méthode répandue pour calculer la CRQ. Développé par le FAIR Institute, son nom est l'acronyme de « Factor Analysis of Information Risk ». FAIR est une norme ouverte internationale pour la CRQ.
Que sont les cyber-risques ?
Le National Institute of Standards and Technology (NIST) définit les cyber-risques comme (ensemble ou séparément) :
- « Le risque de dépendance envers les cyber-ressources (c.-à-d. le risque de dépendre d'un système ou d'éléments de système qui existent dans, ou ont une présence intermittente dans le cyberespace). »
- « Le risque de perte financière, de perturbation opérationnelle ou de dommages, lié à la défaillance des technologies numériques employées pour des fonctions informationnelles et/ou opérationnelles introduite dans un système de fabrication via des moyens électroniques issus de l'accès, de l'utilisation, de la divulgation, de la perturbation, de la modification ou de la destruction non autorisées du système de fabrication. »
Les deux définitions soutiennent la nécessité que les organisations adoptent et mettent en place un cadre de gestion de l'exposition aux cyber-risques proactif.
Pourquoi la CRQ est-elle importante ?
L'adoption d'un modèle de CRQ permet aux organisations d'intégrer des décisions de cybersécurité dans la stratégie d'entreprise globale et dans la définition d'une direction. Elle fait de la cybersécurité une partie essentielle de l'entreprise, et non un élément secondaire.
La CRQ permet aux équipes de cybersécurité et aux chefs de l'entreprise de « parler la même langue » concernant les cyber-risques. Elle facilite la communication entre les équipes de sécurité et commerciales. Elle fournit également un mécanisme pour démonter la conformité aux organismes de réglementation.
Associée à la gestion de l'exposition aux cyber-risques, la CRQ soutient et enrichit les efforts d'une organisation visant à comprendre son exposition totale aux cyber-risques et les vulnérabilités de la surface d'attaque. Elle permet ainsi d'obtenir des réponses plus efficaces et ciblées, tout en utilisant mieux les ressources.
Comment fonctionne la CRQ ?
La CRQ consiste à identifier toutes les cybermenaces potentielles pour une entreprise, à les évaluer et à les hiérarchiser pour déterminer lesquelles sont les plus urgentes et les plus graves, et à calculer l'impact possible sur l'entreprise d'une violation, d'une attaque ou d'une perte.
Elle suit de près les deux premières phases de la gestion de la surface d'attaque : la découverte et l'évaluation. Elle couvre le même spectre de risques numériques, physiques et sociaux/humains, pouvant aller des malware, des mots de passe peu sécurisés et des erreurs de configuration au vol, aux actions d'employés malveillants, à la vulnérabilité au phishing et aux programmes d'usurpation d'identité (BEC, business email compromise), et bien plus.
Découverte
La première étape consiste à identifier toutes les menaces potentielles pouvant infliger des dommages à l'organisation. Elle requiert une vue complète de la surface d'attaque, qui représente la somme de toutes les façons dont les acteurs malveillants peuvent accéder sans autorisation à des données et à des systèmes pour commettre des vols ou lancer des attaques.
Une plateforme de cybersécurité capable d'effectuer des analyses automatiques et continues de l'intégralité de la surface d'attaque s'avère essentielle pour cette étape. Une plateforme prendra en compte tous les actifs, systèmes, applications et points d'accès connus et inconnus, y compris les éléments qui ne sont généralement pas visibles pour les équipes de sécurité, comme les applications de shadow IT, les technologies tierces et les technologies obsolètes ou « oubliées » qui n'ont pas été incluses dans les inventaires précédents.
Évaluation
Grâce à la vue d'ensemble de la surface d'attaque, les équipes de sécurité peuvent ensuite évaluer les points faibles et les vulnérabilités tels que les erreurs de configuration, les logiciels sans correctif, les erreurs de codage, et bien d'autres. D'après ces vulnérabilités, l'évaluation peut également déterminer quels types d'attaques peuvent être utilisés pour les exploiter, aujourd'hui et demain, et quels pourraient être les objectifs de ces attaques (par ex., vol de données, perturbation de l'activité, rançon et extorsion).
Voici quelques considérations clés liées à l'évaluation :
- Idéalement, les risques seront évalués pour chaque partie de l'organisation, des opérations internes au service commercial et au service client, en passant par la chaîne d'approvisionnement, les ressources cloud, les pipelines de développement logiciel (DevOps) et bien plus encore.
- Une fois les étapes de l'évaluation initiale terminées, les équipes de sécurité peuvent hiérarchiser les risques et les actifs, en déterminant lesquels sont les plus importants (à la fois pour l'organisation elle-même et pour les éventuels attaquants), lesquels sont les plus vulnérables aux attaques, et, point essentiel pour la CRQ, la probabilité d'une attaque.
- Dans la CRQ, la probabilité est souvent exprimée sous forme de pourcentage. Par exemple, l'email du PDG d'une société de services financiers peuvent avoir 85 % de chances de subir une attaque BEC, tandis que cette probabilité chute à 12 % pour le responsable de la cafétéria dans cette même entreprise. Cette probabilité est déterminée de manière statistique, à l'aide de simulations basées sur modèle (par ex., simulations de Monte-Carlo). Elle est généralement calculée sur un délai spécifique, comme un trimestre ou l'année calendaire.
Calcul
Les équipes de sécurité s'appuient sur l'évaluation pour estimer, avec les chefs de l'entreprise, la valeur financière ou le coût des cyberattaques potentielles. Cela inclut les pénalités en cas de non-conformité aux lois et réglementations, les pertes financières liées aux temps d'arrêt, à la récupération, à l'extorsion ou au vol, les dommages à la réputation et la perte de position sur le marché, les procès, et d'autres éléments encore. Les facteurs spécifiques varient selon l'organisation et le secteur. Le résultat final est une somme en dollars qui exprimer le risque d'une cyberattaque pour l'entreprise.
Quelle est la différence entre la CRQ et la notation des cyber-risques ?
La quantification des cyber-risques et la notation des cyber-risques offrent des fonctions similaires. Les deux créent un cadre pour les risques de cybersécurité avec des termes objectifs et empiriques, afin d'éclairer les décisions stratégiques.
La CRQ calcule la valeur potentielle en dollars des cyberincidents, c'est-à-dire ce qu'une violation, un piratage ou un vol de données peut coûter à l'entreprise, mais la notation des cyber-risques attribue une note numérique à chaque risque, puis en déduit un score de cyber-risque global pour l'organisation.
En particulier, la notation des cyber-risques comprend un processus en deux étapes pour le profilage des risques. Elle détermine quels sont les risques pertinents et les contrôles nécessaires pour les gérer, puis attribuer des notes à chaque risque d'après son urgence et sa gravité potentielle.
- L'étape de profilage repose sur un processus approfondi de découverte et d'évaluation, qui définit la surface d'attaque globale de l'organisation et identifie les risques et les vulnérabilités sur cette surface. D'après ces déterminations, une organisation peut ensuite déterminer quels contrôles doivent être déployés.
- L'étape de notation estime le niveau de risque et de dommages potentiel pour chaque vulnérabilité identifiée, notamment la probabilité que cette vulnérabilité soit exploitée, l'étendue de l'impact, combien il serait difficile de traiter une attaque réussie, et d'autres éléments encore.
- Les notations des cyber-risques doivent également prendre en compte la veille mondiale sur les menaces (propriétaire ou open source), les notations de sécurité publique et la veille sur la mesure dans laquelle les acteurs malveillants connaissent des vulnérabilités spécifiques, la facilité d'exploitation, la fréquence des exploits et d'autres points de données pertinents.
Il existe de nombreuses méthodes différentes pour calculer les scores de cyber-risques, notamment un cadre mis en avant par le NIST et le modèle FAIR, mentionné précédemment.
La notation des cyber-risques et la CRQ favorisent une bonne gestion de l'exposition aux cyber-risques. Elles impliquant toutes deux des étapes similaires de découverte et d'évaluation pour identifier, évaluer et hiérarchiser les risques de manière proactive.
Alternatives à la CRQ
La CRQ est assez récente. De nombreuses organisations suivent toujours des modèles de gestion des risques basés sur la conformité, comme le Cybersecurity Framework (CSF) du NIST. Dans le cadre d'une approche basée sur la conformité, l'objectif est de maintenir la conformité aux exigences réglementaires. Les outils de CRQ, quant à eux, visent à mettre des chiffres sur les cyber-risques. L'association des deux approches est susceptible de fournir les meilleurs résultats de cybersécurité, dans le cadre d'une stratégie globale de gestion de l'exposition aux cyber-risques inscrite dans une gestion attentive de la surface d'attaque.
Comment pouvons-nous déployer la CRQ ?
La quantification des cyber-risques est une composante clé de la gestion globale de l'exposition aux cyber-risques. Le déploiement de la CRQ requiert une collaboration et une coordination efficaces entre les équipes de cybersécurité de l'entreprise et les chefs de l'entreprise. Ils devront définir des attentes claires, faire régulièrement le point, communiquer ouvertement et définir des processus.
Les organisations devront choisir un modèle de CRQ (FAIR ou une autre approche) et adopter des outils de CRQ pour soutenir les types de simulations et de calculs requis. Ces outils doivent être intégrés dans une plateforme de cybersécurité globale qui peut fournir tout le contexte nécessaire, afin de prendre des décisions informées sur les cyber-risques et leur priorité relative.
En particulier, cela signifie que la plateforme doit être capable de traiter toutes les phases de la gestion de l'exposition aux cyber-risques : découverte, évaluation et atténuation. La plateforme doit inclure des technologies d'opérations de sécurité, comme la gestion des informations et des événements de sécurité (SIEM), la détection et la réponse sur les endpoints (EDR), et la détection et la réponse étendues (XDR), pour une atténuation des menaces rapide et efficace. La XDR est également une source essentielle de données, d'analyses et d'intégrations.
Pour minimiser les risques sur le long terme et renforcer la posture de sécurité d'une organisation, les stratégies Zero Trust complètent parfaitement la CRQ. Le Zero Trust applique le principe du moindre privilège quasiment à tous les aspects de l'environnement IT. Comme son nom l'indique, il ne présume jamais de la confiance à accorder. Les autorisations sont étroitement contrôlées, de sorte que même les utilisateurs autorisés n'ont accès qu'aux ressources dont ils ont besoin directement, à l'endroit et au moment voulus.
Où puis-je obtenir de l'aide concernant la CRQ ?
Trend Vision One™ peut soutenir votre parcours de déploiement des pratiques de CRQ grâce à sa solution Cyber Risk Exposure Management, qui permet aux organisations de quantifier et de communiquer facilement les cyber-risques.
Cela est rendu possible par l'approche révolutionnaire de Trend Vision One qui associe des fonctionnalités clés, comme External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management et Security Posture Management, dans le cloud, les données, l'identité, les API, l'IA, la conformité et les applications SaaS, en une solution unique, puissante et simple d'utilisation. Cela vous permet de protéger votre entreprise de manière proactive, avec contrôle, clarté et confiance.
Cyber Risk Exposure Management peut vous aider concernant la quantification des cyber-risques.