Une vision 360° de la cybersécurité
Au même titre que pour les risques opérationnels et financiers, les dirigeants avaient besoin de comprendre l’incidence des risques cyber sur leur organisation afin de prendre des décisions éclairées pour les traiter et les maîtriser en temps réel. C’est donc ce que propose aujourd’hui notre plate-forme. A notre modèle innovant et automatisé de construction « Bottom-up » de la cartographie des risques cyber, nous adossons une nouvelle fonction « top-down » de quantification financière des risques stratégiques. En créant la première plate-forme permettant la convergence des deux modèles, nous permettons aux dirigeants de disposer d’une vue réelle et objective et d’indicateurs plus performants pour définir leurs stratégies cyber avec davantage de précision. Nous partons de l’existant, de la qualification des risques qui nous paraît essentielle, pour in fine quantifier ces derniers et ainsi obtenir une analyse et une maîtrise de bout en bout.
Cette nouvelle approche permet de connaître son niveau de sécurité (taux d’application des mesures), de disposer d’une vue complète et transversale de l’ensemble des risques auxquels l’organisation est confrontée, et de savoir, de manière plus fine, comment les adresser. En agrégeant tous les risques, les mesures et l’avancement des plans de traitement, les dirigeants bénéficient alors d’une vision 360° de leur cybersécurité.
Aide à la décision et gouvernance par le risque
Chaque mesure de sécurité, quantifiée en termes de coûts et de charges internes, concourt automatiquement à la réduction du risque, schématisée pour une compréhension instantanée du résultat obtenu. Dès lors, il est aisé pour les dirigeants de choisir les mesures les plus efficaces pour couvrir les risques. Grâce aux mesures et plan d’actions agrégés dans notre Vision 360°, la plate-forme délivre sous forme de graphiques la couverture du risque, le coût d’investissement et la réduction des pertes financières probables du risque : cela permet de se projeter sur la situation après traitement, et de maîtriser le montant total à investir pour passer de la situation actuelle à une situation plus acceptable en termes de risques cyber et de pertes financières estimées (appétence aux risques). C’est un outil optimal d’aide à la décision et de gouvernance par le risque qui parle enfin un langage compréhensible par les COMEX.
En adossant ce système intelligent d’aide à la décision à la méthode FAIR™ (Factor Analysis of Information Risk), on passe ainsi dans une dimension de financiarisation (valorisation moyenne des pertes probables) où il est possible de choisir les mesures les plus pertinentes au regard des coûts et investissements qu’elles requièrent et de la réduction du risque qu’elles procurent. Il s’agit de modéliser scientifiquement les données en s’appuyant sur une approche à la fois statistique et méthodique, donc répétable et auditable.
Une fois la liste des mesures établie, différenciant celles déjà appliquées, celles toujours en attente et celles définies comme essentielles, vient l’étape des processus. Les utilisateurs sont responsabilisés dans leur rôle. Chacun devient acteur de la démarche de protection globale de l’entreprise.
La méthode de quantification du risque FAIR™ vient également apporter une brique supplémentaire dans une dimension internationale de maîtrise des risques. Elle permet aux RSSI et aux directeurs cybersécurité de renforcer cette Vision 360° en intégrant les informations économiques et géopolitiques de l’environnement ou des environnements associés. Ces dernières seront traitées et mises en adéquation avec leurs impacts potentiels dans le cyberespace. Les décisions sont prises plus aisément et les actions à réaliser clairement identifiées. Ces éléments alors partagés dans toute la structure permettent d’anticiper les risques et de prémunir les autres filiales internationales du groupe.
Valoriser l’humain
La plate-forme permet ainsi de mettre en lumière comment, grâce à leurs actions, les collaborateurs adressent déjà les risques de l’entreprise. C’est faire le choix d’une démarche valorisante qui permet de fédérer et de susciter l’adhésion à la stratégie cyber de l’entreprise. En mettant en exergue le chemin parcouru, et ce qu’il reste à faire, c’est une approche pragmatique de la cyber que l’on présente avec une vision claire de l’avenir. Les outils de collaboration et de quantification du risque ont aussi cette vocation de responsabilisation et de valorisation de l’humain dans la chaîne de valeur cyber.