C-Risk

Les méthodes
d’analyse du risque
cyber
 Sommaire

1- L’analyse des risques

2 - NIST : Guide de la gestion des risques à l’information et à la vie privée

Définition
Les objectifs de ce framework
Le fonctionnement de ce framework
Les avantages et les inconvénients de ce framework

3 - ISO 27005 : La certification pour sa stratégie de cybersécurité

Définition
Les objectifs de ce framework
Le fonctionnement de ce framework
Les avantages et les inconvénients de ce framework

4 - COBIT 5 for Risk de ISACA

Définition
Les objectifs de ce framework
Le fonctionnement de ce framework
Les avantages et les inconvénients de ce framework

5 - EBIOS : La méthode pour la gestion des risques cyber

Définition
Les objectifs de ce framework
Le fonctionnement de ce framework
Les avantages et les inconvénients de ce framework

6 - FAIR : La méthodologie pour quantifier et gérer les risques cyber

Définition
Les objectifs de FAIR
Le fonctionnement de l’analyse FAIR
Les avantages et les inconvénients de cette méthode
1- L’analyse des risques

Toutes les entreprises sont aujourd’hui exposées au risque cyber, devenu ces dernières années un
des tous premiers risques auxquels les entreprises sont confrontées. La gestion de ce risque est
donc capitale pour assurer la pérennité de vos activités. Et l’analyse des risques est une des
étapes.

Selon la norme ISO 31000 (pour la gestion des risques d’entreprise) et la norme ISO 27005, (son
équivalent pour la gestion des risques informatiques), la gestion des risques est le processus par
lequel une entreprise fait face de façon “méthodique” aux risques liés à ses activités.

L’ensemble de la démarche regroupe ainsi à la fois l’identification des risques significatifs pour
l’entreprise, la mise en place de réponses adaptées et la surveillance continue des risques.

Gouvernance des Risques / Supervision de l’organisation

Gestion des Risques

Appréciation des Risques

Identification des Analyse des Evaluation des Traitement des Surveillance des
risques Risques Risques Risques Risques

Selon le standard FAIR qu’on détaille dans le

présent document, une bonne gestion des Gestion des Risques efficace
risques doit permettre de limiter les pertes
futures à un niveau de tolérance acceptable
pour l’organisation et pour un coût optimal.
Décisions informées
Pour ce faire, il s’agit d’identifier et de
comparer, les risques les plus importants –
ceux qui créeraient les pertes financières les
plus conséquentes. Ce sont en effet ceux-là Comparaisons efficaces
qu’il faut traiter en priorité.
Pour les traiter, avec des ressources dont
l’allocation doit être optimale, il faut
également être en mesure de mesurer quelle Mesures Signifiantes
solution de sécurité réduira le plus un risque
donné pour un budget donné.
On voit bien la nécessité d’un modèle formel
comme celui proposé par le standard FAIR : le Modèle Précis
processus de gestion du risque / risk
management stack
Source: “OpenGroup OpenFAIR - O-
Risk Taxonomy - 3.0”

3
1- L’analyse des risques

Il existe de nombreux autres cadres méthodologiques (frameworks) pour la gestion et l’analyse

des risques cyber dont voici quelques exemples :

- Le NIST Guide de la gestion des risques à l’information et à la vie privée : un processus qui
regroupe normes, conseils et bonnes pratiques pour gérer les risques liés à la sécurité, à la
protection de la vie privée et à la chaîne d’approvisionnement. L’approche basée sur les risques
permet de prendre en compte l’efficacité, l’efficience et les contraintes dues aux lois, directives,
décrets, politiques, normes ou règlements applicables pour la sélection et la spécification des
contrôles à mettre en oeuvre pour sécuriser l’information et les données.

- ISO 27005 : la norme pour l’analyse des risques cyber au sein de la famille des normes ISO
27000 qui traitent globalement de la sécurité de l’information et des systèmes informatiques. ISO
27005 décrit les étapes d’une analyse pour identifier les risques cyber, les décrire et enfin les
estimer afin de les hiérarchiser entre eux.

- ISACA COBIT : le framework Control Objectives for Information and Related Technologies
(COBIT) a été publié en 1996 pour aider les auditeurs financiers à mieux comprendre les
environnements informatiques, et leurs contrôles, dans le contexte des métiers. Depuis il a
largement dépassé le cercle du contrôle interne et sa version 5 actuelle intègre notamment un
volet sur la gestion des risques à l’information.

- La méthode EBIOS Risk Manager 2018 : une méthode de gestion des risques liés à la
sécurité des systèmes d’information (SSI). Elle a été créée en 1995 par le Service central de la
sécurité des systèmes d’information (SCSSI), organisme ancêtre de l’ANSSI. La dernière version
comporte quatre phases : définition d’un socle de sécurité informatique ; identification et
évaluation des sources de risques ; construction des scénarios de risques ; évaluation du plan de
prévention.

Ces méthodes de référence permettent de structurer votre analyse de manière satisfaisante. En

revanche, elles présentent toutes une faiblesse majeure : elles ne proposent pas de méthode pour
la quantification des risques. Comme suggéré plus haut, pour prendre les bonnes décisions
stratégiques, une entreprise doit pouvoir se baser sur une mesure précise permettant des
comparaisons efficaces des risques. Si toutes ces méthodes préconisent de quantifier les risques,
aucune ne fournit d’outil fiable pour le réaliser.

C’est pourquoi la méthode FAIR “Analyse des facteurs du risque à l’information” a été créée
pour
proposer une analyse du risque plus objective, plus reproductible. Il s’agit d’une méthode
d’analyse quantitative qui permet d’exploiter des informations incertaines grâce à l’utilisation des
plages de données estimées et des niveaux de confiance correspondante. La fréquence des
sinistres, les contrôles et l’ampleur des sinistres (impact en termes financiers) sont modélisés.
L’utilisation de techniques de simulation Monte Carlo produit ainsi des distributions probabilistes
des montants des pertes futures potentielles. Cela permet de prendre des décisions pour contrôler
les risques cyber.

4
2 - NIST : Guide de la gestion des risques à l’information et à la vie privée

Définition

Dans la prolifique série de standards et guides des bonnes pratiques produites par le NIST (US
National Institute for Standard and Technology), nous utilisons le Cyber Security Framework (CSF).
En revanche, c’est le Guide pour la Gestion des Risques à la Sécurité de l’Information et de la Vie
Privée (Guide to Managing Information Security Risk (SP 800-39)) qui décrit les 4 étapes pour
gérer les risques liés aux systèmes d’information et à la vie privée.

C’est par ailleurs le Guide pour les analyses de risque (Guide For Risk Assessment (SP800-30)) qui
décrit en détail les étapes pour identifier, estimer puis prioriser les risques.

Les objectifs de ce framework

L’objectif de l’analyse des risques est défini comme celui d’informer les décideurs et justifier les
activités de réponses aux risques. Le guide estime en effet que l‘analyse n’est pas une activité
ponctuelle mais doit au contraire être conduite en continu tout au long du cycle de vie du système
et avec des moyens et des ressources proportionnels aux objectifs et périmètre de l’analyse.

Le NIST surveille les processus d’identification des risques, de protection du SI, de détection et de
gestion des failles de cybersécurité, et de reprise. Il va également travailler à l’organisation des
différentes améliorations et à analyser les progrès en cybersécurité.

5
2 - NIST : Guide de la gestion des risques à l’information et à la vie privée

Le fonctionnement de ce framework

Le chapitre 3 du guide décrit le processus de l’analyse proprement dit. Il identifie 4 étapes :

i/ préparer l’analyse des risques

ii/ comment conduire l’analyse
iii/ comment communiquer les résultats de l’analyse au personnel clef de l’organisation
iv/ comment maintenir l’analyse de risque dans le temps.

Les avantages et les inconvénients de ce framework

C’est sans doute l’un des guides théoriques les plus aboutis pour l’analyse de risques. Écrit en
2011, l’ensemble des concepts, définitions et facteurs, à prendre en compte lorsqu’on veut
documenter un modèle de risque, reste pertinent.

Par contre, conçu et écrit par des experts en cybersécurité pour les organisations du secteur
public américain, il fait, comme plusieurs autres guides ou frameworks, un focus important sur les
menaces, et les vulnérabilités au détriment du triptyque menaces/actifs/impacts qui place les
éléments de valeur de l’entreprise au coeur d’une démarche d’analyse. Par ailleurs, ce guide très
académique demeure assez peu pratique car s’il explique bien dans le détail ce qu’il faut faire pour
conduire une analyse, il n’explique pas comment le faire.

Le NIST reste difficile à mettre en place. Son application n’est jamais garantie de par sa
complexité, et dépend de la maturité de l’organisation et de la compréhension par les équipes de
la méthode. Tout cela peut prendre du temps et donc ralentir le processus de cybersécurité.

6
3 - ISO 27005 : La certification pour sa stratégie de cybersécurité

Définition

ISO (International Organisation for Standardisation) est une organisation non gouvernementale
rassemblant 167 organismes nationaux de standardisation qui développent par consensus des
ensembles de normes.

Dans la famille 27000 des normes ISO relatives à la gestion de la sécurité des systèmes
d’information, c’est la norme ISO 27005 qui traite de la gestion des risques. Elle est relativement
importante et propose une série de recommandations sur les activités de gestion des risques
informatiques dans le respect de la norme 27001, qui elle décrit plus globalement les
composantes d’un système de gestion de la sécurité de l’information et aide à préciser « les
exigences relatives aux systèmes de management de la sécurité de l’information (SMSI) ».

Les objectifs de ce framework

ISO 27005 est utilisé par des centaines de milliers d’entreprises dans le monde (plus de 40 000
certifications sont obtenues par an). Cette norme affirme que l’appréciation des risques est une
des parties la plus importante d’un système de gestion de la sécurité informatique. En effet, cette
phase définit quel sinistre pourrait survenir, quelles en seraient les conséquences et aide les
organisations à définir ce qui devrait être fait et quand afin de réduire le risque à un niveau
acceptable.

7
3 - ISO 27005 : La certification pour sa stratégie de cybersécurité

Le fonctionnement de ce framework

ISO 27005 définit l’analyse et l’appréciation des risques sur la base du standard ISO 31000
(gestion des risques d’entreprise - ERM) comme un processus continu en 6 phases :

1 - Établissement du contexte
2 - Identification des risques – que pourrait-il arriver et qui causerait une perte potentielle.
3 - Analyse des risques – quantitative ou qualitative
4 - Évaluation des risques

Ces 4 phases permettent de poser les bases des phases 5 (traitement) et 6 (surveillance) car
l’analyse sert ensuite à décider des meilleures manières de traiter les risques et de constamment
les surveiller et, le cas échéant, réviser les évaluations précédentes. C’est également la base pour
communiquer les risques aux parties prenantes de l’entreprise.

Les avantages et les inconvénients de ce framework

Alors que la définition du risque dans le standard 27001 est très académique et théorique : « effet
de l’incertitude sur les objectifs » et implique qu’un risque puisse avoir des conséquences
positives, le framework 27005 précise la définition du risque et la rend plus proche de celle
communément usitée : « quel événement pourrait produire une perte potentielle ».

D’après une enquête Clusif de 2010, plus de 35% des entreprises françaises réalisant alors des
analyses de risque utilisaient déjà cette norme. Par contre, et tel que précisé en introduction, ISO
27005 reste un ensemble de principes généraux qui ne fournit ni ne prescrit aucune méthode
pour exécuter ce qu’il recommande de faire. Ainsi, il incombe à chaque organisation de définir son
approche de la gestion des risques. ISO 27005 indique ce qu’il faut faire mais sans préciser
comment.

8
4 - COBIT 5 for Risk de ISACA

Définition

ISACA (Information Systems Audit and Control Association) est une association professionnelle à
but non lucratif créée en 1969 pour discuter et produire des recommandations et bonnes pratiques
pour la gestion des systèmes d’information. Elle rassemble plus de 165 000 membres dans 114
pays.

En 1996, ISACA a publié le framework COBIT Control Objectives for Information and Related
Technologies qui est un ensemble de guides et bonnes pratiques pour la gouvernance de
l’informatique dans le contexte des métiers d’une organisation. Depuis 2012, le module COBIT for
Risk traite de la gestion des risques informatiques.

Les objectifs de ce framework

Le cadre méthodologique COBIT 5 a pour objectif d’assister les entreprises dans la gouvernance et
la gestion de leur système d’information afin d’en obtenir le maximum de valeur. La partie relative
au risque a pour objectif de proposer aux analystes de risque et l’ensemble des fonctions, y
compris métiers, de l’entreprise, les principes et recommandations pour optimiser les risques
relatifs aux technologies de l’information.

Le fonctionnement de ce framework

Le cadre distingue 2 perspectives : celle de la fonction risque de l’entreprise dont l’objet

est de décrire ce qui est nécessaire à la mise en place et le fonctionnement de celle-ci.
Celle de la gestion des risques se concentre sur les principaux processus de gestion et de
gouvernance pour optimiser les risques c’est-à-dire au quotidien comment les identifier,
les analyser, y répondre et les communiquer dans l’organisation. Le cadre fourni :

- des recommandations sur la mise en place des fonctions de gouvernance des risques
informatiques, (personnes, compétences requises, etc…)

- les principes pour effectivement gérer les risques (identifier, analyser et répondre aux risques)

-des références à d’autres standards sur lesquels COBIT 5 est aligné (pour l’évaluation en termes
métiers, dès 2009 le COBIT Risk Framework référence le standard FAIR)

En 2021, ISACA décrit comment utiliser le standard FAIR pour la quantification des risques en
termes financiers.

9
4 - COBIT 5 for Risk de ISACA

Les avantages et les inconvénients de ce framework

Grâce aux origines dans l’audit financier de ISACA, le framework COBIT 5 permet de faire
le lien entre les métiers, les objectifs de l’organisation et l’informatique.

Il est un outil important focalisé sur la mise en place de la fonction de gestion des risques dans
l’entreprise puis les principes de fonctionnement de la gestion et la gouvernance des activités qui
s’y rapportent pour maîtriser les risques et optimiser la création de valeur pour toutes les parties
prenantes.

Par contre, il ne traite pas spécifiquement de l’analyse des risques, faisant référence aux
autres normes et standards qui traitent de cette étape dans la gestion des risques, et
notamment FAIR.

10
5 - EBIOS : La méthode pour la gestion des risques cyber

Définition

EBIOS est l’acronyme de « Expression des Besoins et Identification des Objectifs de Sécurité”. C’est
une méthode pour aider à la gestion des risques liés à la sécurité des systèmes d’information (SSI).
Elle est régulièrement mise à jour, si bien qu’elle est aujourd’hui conforme à trois normes ISO : ISO
27000, ISO 27005 et ISO 31000. La version de 2018 (EBIOS “RM”) s’intéresse aux chemins
d’attaque des cybercriminels et se concentre donc sur les cybermenaces d’origine intentionnelle.

Les objectifs de ce framework

EBIOS a été conçue pour permettre aux responsables d’une organisation d’apprécier les risques à
la sécurité des systèmes d’information pour communiquer à leur sujet et permettre de définir les
traitements. Conçue par la Direction Centrale de la Sécurité des Systèmes d’Information en
France, cette méthode est surtout utilisée par le secteur public français.

Le fonctionnement de ce framework

EBIOS aide les organisations à cadrer la gestion des risques cyber sur plusieurs niveaux. Cette
méthode va notamment accompagner les organisations dans l’installation d’un système de
management de la sécurité des données et de l’information ; la mise en oeuvre d’une stratégie
SSI ; l’intégration de la sécurité des systèmes d’information dans divers projets ; la mise en place
d’un référentiel d’exigences applicables aux prestataires d’audit de la SSI.

La méthode EBIOS comporte plusieurs étapes, nommée “ateliers” :

- L’atelier 1, “cadrage et socle de sécurité”, doit permettre de définir le périmètre d’application de

la méthode.

- L’atelier 2 a pour objectif de croiser les sources de risques avec les objectifs visés.

- L’atelier 3 permet d’élaborer des “scénarios” de menace numérique.

- L’atelier 4 doit permettre de définir des scénarios opérationnels détaillant les modes opératoires
des cyber-attaquants.

- Et enfin l’atelier 5 synthétise la globalité des risques passés en revue pour construire une
stratégie.

11
5 - EBIOS : La méthode pour la gestion des risques cyber

Les avantages et les inconvénients de ce framework

La méthode EBIOS a été conçue pour aider les organisations à conduire les activités d’analyse de
risque. Cette méthode se veut pragmatique pour mettre en oeuvre ce que préconise ISO 27005 et
suffisamment flexible pour s’adapter aux différents contextes organisationnels. En revanche,
EBIOS ne formalise pas davantage le vocabulaire de ISO pour définir le risque et les composantes
du risque, laissant ainsi beaucoup de place à l’interprétation par les analystes et les lecteurs des
résultats.

Étonnamment, la méthode ne permet d’analyser que les risques intentionnels, alors qu’on estime
que 40 à 60% des risques cyber résultent d’une défaillance ou une erreur humaine. Surtout, elle
ne prescrit pas de manière d’estimer les risques afin de les comparer et les catégoriser de manière
objective.

Ces 4 méthodes : Le NIST, la norme 27005, Ebios et ISACA COBIT incitent

toutes à la quantification du risque. Mais il n’y a pas de méthodologie formelle
et de nombreuses entreprises confondent menaces, attaques, inquiétudes,
modes de production informatique, etc… avec les risques. Certains de ces
éléments sont le cas échéant des composantes du risques mais pas des risques.

Les entreprises pour lesquelles l’analyse de risque a jusqu’ici obéi d’abord à un

objectif de conformité peuvent s’en satisfaire. Mais, alors que le risque cyber est
maintenant reconnu comme un risque opérationnel majeur qui doit être pris au
sérieux, les organisations doivent démontrer aux intervenants internes et
externes un processus décisionnel cohérent et reproductible en ce qui concerne
les risques cyber.

Ainsi, celles qui placent l’analyse des risques au coeur de leur stratégie de
sécurité informatique ont besoin d’une méthode simple, rigoureuse et
reproductible qui soit utile à la prise de décision. La gestion des risques est une
activité de prise de décisions qui nécessite de comparer des options (entre
risques, entre contrôles de sécurité, etc…) qu’il faut donc pouvoir mesurer de
manière défendable, objective et reproductible.

En complément des normes qui décrivent les grandes étapes de la gestion des
risques, il est utile de pouvoir mesurer objectivement les risques. C’est ce que
permet FAIR, le seul standard pour la quantification en termes financiers des
risques cyber.

12
6 - FAIR : La méthodologie pour quantifier et gérer les risques cyber

Définition

Le standard FAIR (Factor Analysis of Information Risk / Analyse des Facteurs des Risques à
l’Information) est à la fois une taxonomie (un recueil de définitions) et une méthode pour
modéliser des scénarios de risque à l’information et permettre leur quantification. Elle précise des
variables qui contribuent à la fréquence d’un sinistre informatique et à l’ampleur de ses
conséquences. La méthode permet de définir et cadrer des scénarios de risques afin d’identifier
les variables pour lesquelles il conviendra de trouver ou estimer, des plages de données.

Les objectifs de FAIR

Le standard OpenFAIR permet la quantification en termes financiers des risques cyber afin de
servir de support à une bonne gestion des risques. Une bonne gestion des risques doit permettre
d’atteindre et conserver un niveau d’exposition aux risques conforme au niveau de tolérance de
l’organisation. Il faut donc pouvoir identifier objectivement les risques les plus importants – soit en
termes de fréquences, soit en terme d’impact, soit les deux à la fois.

Ainsi, les objectifs de la quantification sont de rendre les appréciations des risques plus objectives,
reproductibles et défendables. À cette condition, on peut effectuer des comparaisons entre
scénarios de risques, entre familles de contrôles et stratégie de traitement et ainsi, servir d’aide à
la décision pour optimiser la sécurité et la résilience informatique de l’organisation.

Il existe de nombreux cas d’usage de la quantification des risques. De nouvelles situations

émergent régulièrement qui rendent utile, voire nécessaire, de recourir à la quantification des
risques cyber en termes financiers.

13
6 - FAIR : La méthodologie pour quantifier et gérer les risques cyber

Voici trois cas régulièrement mis en oeuvre par les organisations ayant adopté FAIR

1 - La communication des risques cyber aux directions métiers et à la

direction générale est toujours un exercice important et difficile. Important car
il s’agit de présenter les informations sur un sujet donné permettant aux
dirigeants de prendre les bonnes décisions pour l’entreprise. Difficile car les
dirigeants ayant beaucoup de sujet différents à traiter, ils ont peu de temps
pour chaque sujet. Il faut donc trouver le juste niveau de concision tout en
étayant suffisamment les propos avec des données objectives. Les dirigeants ne
veulent pas un avis ou une opinion. Ils veulent les informations nécessaires pour
décider

2 - Le dimensionnement et la priorisation du budget sécurité informatique

Dans le domaine de la gestion des risques cyber, les informations présentées
doivent permettre de définir la stratégie de sécurité des systèmes d’information
et des données de l’entreprise.

Toutes les fonctions de l’entreprise, que ce soit les ventes, les ressources
humaines ou encore la production, présentent leurs projets avec des données
chiffrées - on imagine mal un responsable marketing demander un budget
moyen en promettant des retombées importantes dans un scénario de
lancement de produit vraisemblable….
En réalité, ils utilisent des donnes financières prévisionnelles pour défendre leur
projet de lancement de produit et obtenir le budget nécessaire.

Pour la sécurité informatique, c’est la même chose. La quantification des risques

en termes financiers doit permettre aux décideurs d’appréhender la fréquence
probable et l’importance probable des pertes financières résultant de scénarios
de risques. On peut ainsi comparer les scénarios de risques entre eux afin de
décider celui qui doit être traité en priorité, ou encore estimer la réduction de
risque que permettent plusieurs solutions de sécurité afin de sélectionner celle
qui sera la plus efficace pour un budget donné.

3 - L’assurance cyber
Il existe des risques que l’entreprise ne veut pas ou ne peut pas assumer. Elle
peut alors choisir de transférer ce risque en souscrivant une assurance cyber qui
remboursera tout ou partie des pertes financières en cas de sinistre.
Il est donc critique de connaitre quels types de coûts peuvent être couverts ou
non et jusqu’à quel montant. Les frais juridiques, les frais de réparation ou
remise en état des éléments du système informatique, les coûts des experts
chargés des investigations, etc.. Seules des analyses quantitatives permettent
d’estimer et négocier les franchises et montants optimum pour une prime
d’assurance donnée.

14
6 - FAIR : La méthodologie pour quantifier et gérer les risques cyber

Le fonctionnement de l’analyse FAIR

Le standard propose à la fois une taxonomie et une méthodologie pour modéliser les scénarios de
risque dont on veut faire une analyse quantitative.

La taxonomie du standard OpenFAIR définit dans le détail les variables qui participent de la
fréquence des sinistres d’une part (partie gauche de la taxonomie) et celles qui participent de
l’importance des pertes financières d’autre part (partie droite du modèle).

15
6 - FAIR : La méthodologie pour quantifier et gérer les risques cyber

La méthodologie du standard OpenFAIR repose sur quatre étapes successives qui guident
l’analyste

1 - La première étape permet de modéliser des scénarios de risque précisément cadrés et non
ambigus
Afin de pouvoir être quantifié, un scénario de risque doit toujours comporter au moins 3
composantes essentielles :
- L’actif de valeur, au centre de la définition du scénario
- La menace susceptible de nuire à l’actif
- L’impact redouté sur la confidentialité, l’intégrité ou encore la disponibilité de l’actif
(tryptique C-I-A en anglais) en cas de sinistre.

- Un quatrième élément est optionnel et permet de préciser davantage encore certains

scénarios que l’on souhaite quantifier : c’est le mode d’attaque ou le vecteur d’attaque.

Cette première étape est critique, car elle va aider l’analyste à identifier les variables de la
taxonomie FAIR qui seront utiles à l’analyse.

2 – La 2ème étape consiste à identifier les sources et collecter les données pour chacune des
variables pertinentes à l’analyse. Pour chacune, il convient de trouver des données historiques
lorsqu’elles existent en interrogeant les experts de chaque domaine dans l’organisation ou des
sources extérieures de l’industrie considérée. Lorsque ces données n’existent pas, on les estime
grâce à des techniques de calibration statistique.

16
6 - FAIR : La méthodologie pour quantifier et gérer les risques cyber

3 – La 3ème étape met en oeuvre Monte-Carlo, une technique mathématique d’aide à la décision
dans des conditions incertaines. Cette méthode prend en entrées des valeurs aléatoires parmi des
plages de données (minimum et maximum) et à l’issue d’un grand nombre de simulations (milliers
ou dizaine de milliers ) produit une distribution des résultats possibles et leur probabilité
respective.
Cette étape est conduite de manière itérative, les résultats des simulations étant analysés,
discutés et le cas échéant les simulations refaites afin de les affiner.

4 – La dernière étape consiste en l’interprétation des résultats et leur mise en contexte des
objectifs de l’analyse ; est-ce que l’information va aider à la prise de la décision ?, et la
présentation des résultats, des connaissances qu’ils apportent et les recommandations qui en
découlent.

17
6 - FAIR : La méthodologie pour quantifier et gérer les risques cyber

18
6 - FAIR : La méthodologie pour quantifier et gérer les risques cyber

Les avantages et les inconvénients de cette méthode

La quantification financière des cyberrisques est importante pour les entreprises. En effet, La
méthode d’analyse FAIR permet d’obtenir un résultat logique et défendable et reproductible pour
comparer les scénarios de risques, analyser la nature et les montants des pertes potentielles ou
encore mesurer et comparer la performance de solutions de sécurité entre elles. Alors que les
échelles nominales utilisées dans les analyses qualitatives pour classer les risques ne permettent
pas de les comparer, ni d’estimer une perte future.

Pour autant, FAIR ne permet pas de faire des prédictions, il s’agit de prévisions auxquelles restent
naturellement attachées un niveau d’incertitude qu’il faut présenter de manière transparente dans
les résultats. Les analyses FAIR ne prétendent pas non plus être exhaustives en analysant tous les
scenarios possibles. FAIR permet de se focaliser sur les scenarios les plus probables qui impliquent
les actifs les plus critiques au fonctionnement de l’organisation.

Sa démarche top – down facilite la réalisation des premières analyses quantifiées très rapidement
à un haut niveau d’abstraction. Seules de rares analyses justifient de descendre dans la taxonomie
pour une plus grande granularité.

On voit bien que si une bonne gestion des risques doit permettre de limiter des pertes futures à un
niveau de tolérance acceptable par l’organisation et pour un coût optimal, il faut que les risques
soient quantifiés et les décisions prises sur cette base solide.

Depuis plusieurs années, FAIR s’est établi comme le standard pour la quantification financière des
risques cyber car il est le seul dans le domaine public qui précise la définition du risque et propose
une méthode ouverte pour le quantifier. Utilisés par près de 50% des entreprises de la liste du
Fortune 1000, un nombre croissant des standards tels que ISO 27005, NIST ou encore ISACA Cobit
référencent également FAIR comme la méthode pour quantifier de manière plus objective les
risques cyber et opérationnels.

Le FAIR Institute, une organisation professionnelle à but non lucratif qui promeut le standard, a
plus de 13 000 membres, issus de plus de 50% des entreprise du Fortune 1000. Un nombre
croissant….

19
Pour davantage d’informations, rendez-vous sur

C-Risk.com

20