La notation des cyber-risques permet de quantifier les risques pour la cybersécurité. Les organisations peuvent ainsi prendre des décisions objectives et empiriques sur la manière de défendre et de diminuer leur surface d'attaque.
La notation des cyber-risques est une composante importante de tout cadre de gestion des cyber-risques. Elle offre une compréhension partagée et objective des risques relatifs associés aux actifs IT et aux technologies numériques. Elle permet de faire des choix pratiques concernant la priorité à traiter.
Le suivi des scores de cyber-risques au fil du temps permet aux organisations de comparer et de surveiller leur préparation globale en matière de cybersécurité, ainsi que la solidité de leur posture de sécurité.
La notation des cyber-risques s'applique à l'intégralité de la surface d'attaque, comprenant les actifs IT, les données, les systèmes et les ressources internes et externes.
Semblable à la quantification des cyber-risques (CRQ), la notation des cyber-risques est étroitement liée aux deux premières phases de la gestion de la surface d'attaque : la découverte et l'évaluation.
En particulier, elle comprend un processus en deux étapes pour le profilage des risques. Elle détermine quels sont les risques pertinents et les contrôles nécessaires pour les gérer, puis attribuer des notes à chaque risque d'après son urgence et sa gravité potentielle.
Que sont les cyber-risques ?
Le National Institute of Standards and Technology définit les cyber-risquescomme (ensemble ou séparément) :
- « Le risque de dépendance envers les cyber-ressources (c.-à-d. le risque de dépendre d'un système ou d'éléments de système qui existent dans, ou ont une présence intermittente dans le cyberespace). »
- « Le risque de perte financière, de perturbation opérationnelle ou de dommages, lié à la défaillance des technologies numériques employées pour des fonctions informationnelles et/ou opérationnelles introduite dans un système de fabrication via des moyens électroniques issus de l'accès, de l'utilisation, de la divulgation, de la perturbation, de la modification ou de la destruction non autorisées du système de fabrication. »
Les deux définitions soutiennent la nécessité que les organisations adoptent et mettent en place un cadre de gestion de l'exposition aux cyber-risques proactif.
Pourquoi la notation des cyber-risques est-elle importante ?
La notation des cyber-risques, un composant de la gestion de l'exposition aux cyber-risques, permet de déterminer de manière mesurable et objective quels risques constituent la plus grande menace pour une organisation. Cela aide à informer les actions et investissements en matière de cybersécurité.
Tout comme le CRQ, la notation des risques permet de discuter des risques d'une manière compréhensible pour les professionnels de la sécurité et les chefs d'entreprise. Elle constitue donc une aide importante pour la surveillance et la création de rapports sur les performances de l'ESG (critères environnementaux, sociaux et de gouvernance) et/ou la RSE (responsabilité sociétale des entreprises) de l'organisation.
La notation des risques est de plus en plus utilisée en tant que facteur pour déterminer l'éligibilité d'une organisation pour une cyber-assurance. Elle peut également être utilisée pour étudier les projets de fusions et d'acquisitions, dans la gestion de la sécurité de la chaîne d'approvisionnement et dans d'autres domaines d'opérations métier.
Notation des cyber-risques et CRQ
La notation des risques et la CRQ offrent des fonctions similaires. Pour faire simple, l'une est qualitative tandis que l'autre est quantitative. Les deux créent un cadre pour les risques de cybersécurité avec des termes objectifs et empiriques, afin d'éclairer les décisions stratégiques.
La notation des risques attribue un score numérique à chaque risque, puis déduit le score global de cyber-risques pour l'organisation. La CRQ calcule quant à elle la valeur en dollars potentielle des cyberincidents, c'est-à-dire le coût possible d'une violation, d'un piratage ou d'un vol de données pour une entreprise. Ce coût peut inclure des pertes financières (chiffre d'affaires, temps d'arrêt, amendes, procès), des pertes concurrentielles (comme des parts de marché), des dommages à la réputation, une perte de clients et d'autres dommages.
La CRQ calcule la probabilité d'une attaque, souvent exprimée sous forme de pourcentage. Par exemple, l'email du PDG d'une société de services financiers peuvent avoir 85 % de chances de subir une attaque BEC, tandis que cette probabilité chute à 12 % pour le responsable de la cafétéria dans cette même entreprise. Cette probabilité est déterminée de manière statistique, à l'aide de simulations basées sur modèle (par ex., simulations de Monte-Carlo). Elle est généralement calculée sur un délai spécifique, comme un trimestre ou l'année calendaire.
La notation des cyber-risques et la CRQ favorisent une bonne gestion de l'exposition aux risques. Elles impliquent toutes deux des étapes similaires de découverte et d'évaluation pour identifier, évaluer et hiérarchiser les risques.
Comment la notation des cyber-risques fonctionne-t-elle ?
Comme indiqué, la notation des cyber-risques comporte deux parties principales :
- Le profilage des risques
- La notation des risques
L'étape de profilage repose sur un processus approfondi de découverte et d'évaluation, qui définit la surface d'attaque globale de l'organisation et identifie les risques et les vulnérabilités sur cette surface. D'après ces déterminations, une organisation peut ensuite déterminer quels contrôles doivent être déployés.
L'étape de notation estime le niveau de risque et de dommages potentiel pour chaque vulnérabilité identifiée, notamment la probabilité que cette vulnérabilité soit exploitée, l'étendue de l'impact, combien il serait difficile de traiter une attaque réussie, et d'autres éléments encore.
Les notations des cyber-risques doivent également prendre en compte la veille mondiale sur les menaces (propriétaire ou open source), les notations de sécurité publique et la veille sur la mesure dans laquelle les acteurs malveillants connaissent des vulnérabilités spécifiques, la facilité d'exploitation, la fréquence des exploits et d'autres points de données pertinents.
Les scores de cyber-risques individuels sont ensuite cumulés afin d'obtenir un score de cyber-risques global pour l'organisation.
En quoi la notation des risques contribue-t-elle à la gestion de la surface d'attaque ?
La gestion de la surface d'attaque (ASM, attack surface management) est une approche de la cybersécurité qui vise à aider les organisations à défendre leurs données et leurs systèmes, en rendant les menaces plus visibles. Il s'agit de savoir où sont présents les risques, de comprendre leur gravité relative et d'agir pour combler les failles de sécurité liées aux personnes, aux processus et aux technologies.
La notation des cyber-risques est étroitement liée aux deux premières phases de l'ASM : la découverte et l'évaluation.
Le processus de découverte de l'ASM offre une visibilité sur tous les cyber-risques potentiels auxquels une organisation fait face. Ce contexte est nécessaire pour obtenir une notation des cyber-risques précise et complète, car il fournit une vie d'ensemble de la surface d'attaque de l'entreprise.
La notation des cyber-risques contribue à la phase d'évaluation de l'ASM en fournissant un moyen empirique et objectif d'indiquer quels risques et vulnérabilités sont les plus graves, et lesquels pourront être traités ultérieurement.
La notation des cyber-risques est un processus continu. Les scores étant mis à jour régulièrement, les équipes de cybersécurité et les chefs d'entreprise peuvent voir l'évolution du paysage global des risques, notamment quels risques deviennent plus importants et urgents, et lesquels ont bien été atténués.
Méthodes pour calculer les scores de cyber-risques
Il existe de nombreux cadres ou méthodes pour la notation des cyber-risques. Le plus simple consiste à estimer la probabilité d'une attaque, à lui attribuer une valeur, puis à la multiplier par la gravité potentielle de l'attaque, afin d'obtenir un score de risque.
Le cadre du National Institute of Standards and Technology (NIST)
Le NIST offre une solution de notation des cyber-risques qui attribue des catégories de sécurité à tous les composants d'un système et établit une référence de contrôle de sécurité pour chacun : faible, modéré ou élevé. Chaque contrôle reçoit une pondération initiale de 1 à 10, d'après son importance relative pour la sécurité globale et la posture de confidentialité de l'organisation.
Dans le cadre NIST, le profilage des risques aide à déterminer la portée nécessaire des contrôles requis. Des facteurs tels que la confidentialité, l'intégrité et la disponibilité (ou « CIA », confidentiality, integrity et availability) reçoivent une note de 1 à 10 et bénéficient de différents contrôles, selon l'aspect critique des données/informations associées.
Les informations historiques sur les violations passées, les événements connus affectant le secteur de l'organisation, et d'autres contenus contextuels sont également considérés comme fournissant un score prédictif qui indique avec précision le risque potentiel de futurs incidents.
Autres approches
Voici d'autres méthodes pour calculer les scores de cyber-risques :
- Factor Analysis of Information Risk (FAIR) : généralement utilisé pour la notation des risques basée sur l'aspect financier, comme avec la CRQ. Une partie de la méthode FAIR consiste à diviser les risques en sous-composants pour obtenir une grande précision.
- Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) : centré sur les opérations commerciales. Les calculs des risques s'effectuent d'après des menaces spécifiques aux actifs et d'après les vulnérabilités de l'infrastructure.
- La norme ISO/CEI 27005, qui contient des préconisations pour la gestion des risques liés à la sécurité de l'information, en lien avec la définition du contexte de gestion des risques ; l'identification et l'évaluation des risques (dont la probabilité d'une attaque) ; et les mesures d'atténuation (« plans de traitement des risques »).
Le Common Vulnerability Scoring System (CVSS) participe également à la notation des risques. CVSS ne fournit par une notation des risques complète, mais propose un moyen utile de classer la gravité potentielle des vulnérabilités identifiées dans le logiciel. Ces classements peuvent ensuite être utilisés dans le cadre du calcul global de notation des risques.
Qui peut nous aider concernant la notation des risques de cybersécurité ?
Trend Micro a co-développé le Cyber Risk Index (CRI) avec le Ponemon Institute pour aider les organisations à déterminer leur niveau de risque et les failles de cybersécurité éventuelles. Le CRI attribue un score de risque aux organisations d'après une évaluation complète des catégories et des facteurs de risques. L'index comprend des événements de risque qui impactent un large éventail d'actifs, y compris les utilisateurs, les appareils, les applications, les domaines orientés Internet, les adresses IP et les actifs basés sur le cloud.
L'évaluation CRI s'appuie sur les sources de données connectées pour évaluer la manière dont les facteurs de risque affectent l'environnement spécifique d'une organisation. Plus le nombre de sources de données pouvant être intégrées est important, plus les résultats du CRI seront complets et exhaustifs.
Le CRI se met à jour automatiquement toutes les quatre heures, et les modifications du statut des événements à risque est appliqué dans l'heure. Les organisations peuvent recalculer manuellement leur CRI en cliquant sur le bouton Recalculate (Recalculer). Utilisez la calculatrice CRI ici pour déterminer le score de risque de votre organisation.
Trend Vision One™ offre une solution Cyber Risk and Exposure Management (CREM) qui permet aux organisations de découvrir, d'évaluer et d'atténuer les risques de manière proactive, pour réduire leur empreinte de cyber-risques. CREM adopte une approche révolutionnaire en associant des fonctionnalités clés, comme External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management et Security Posture Management, dans le cloud, les données, l'identité, les API, l'IA, la conformité et les applications SaaS, en une solution unique, puissante et simple d'utilisation. Cette solution ne consiste pas qu'à gérer les menaces. Il s'agit de créer une véritable résilience face aux-risques.
Découvrez comment Cyber Risk Exposure Management peut vous aider concernant la résilience face aux risques.