Pourquoi quantifier le cyber risque ?


Icon security

Le cyber-risque est désormais l'une des principales préoccupations des entreprises de toutes tailles.

Icon statistics

Aujourd'hui, la plupart des entreprises n'évaluent pas les risques ou utilisent des méthodes qualitatives subjectives.

Icon globe

Les méthodes de gestion des risques (ISO, NIST, EBIOS,…) orientent les activités mais ne fournissent pas de solution pour quantifier les risques de manière reproductible, cohérente et évolutive afin d'éclairer les décisions clés.

Icon key

Pour s'assurer que les investissements croissants dans les contrôles de sécurité de l'information sont alloués efficacement à la réduction des risques, les services commerciaux doivent:

  • Comprendre et communiquer sur le cyber-risque en termes commerciaux
  • Convenir de l'intérêt de l'entreprise pour le risque cyber et de la manière de gérer les différents scénarios de risque (tolérer, résilier, traiter ou transférer)

Comment quantifier le risque ?


FAIR ™ (Factor Analysis of Information Risk)


Le cadre de référence Value at Risk aide les entreprises à prendre des décisions prenant en compte les risques afin d'améliorer leur cyber résilience. 

component-text-analyse
  • Définit les variables qui composent un scénario de risque, au-delà de la formule habituelle : impact vs probabilité 
  • Utilise des estimations calibrées pour associer des plages de valeurs à chacune de ces variables.
  • Utilise le calcul de probabilité de Montecarlo pour simuler des milliers de scénarios et leurs résultats possibles.
  • Fournit une gamme de pertes financières probables pour un scénario de risque cyber donné.

Qu'est-ce que le Standard FAIR(™) ?


  • FAIR (™) (Factor Analysis of Information Risk (™) ), un standard développé par l’Open Group, est un cadre de référence pratique pour comprendremesurer et analyser les risques afin de permettre des décisions éclairées.
  • L'utilisation de FAIR aide à prioriser les investissements de votre entreprise en matière de management des risques informatiques en facilitant l'évaluation et la quantification des risques en terme financiers.
  • Il complète les cadres de référence existant tels que le cadre de sécurité informatique NIST, la norme ISO/IEC 27005 ou la méthode EBIOS.
ISO 31000 risk mgt process

En poursuivant votre navigation sur ce site, vous acceptez nos CGU ainsi que notre Politique de confidentialité