La quantification des risques : rendre perceptible l’invisible

Si peu d’entreprises semblent encore capables de chiffrer leur risque cyber, la quantification de ce dernier suscite de nombreuses attentes en complémentarité de la qualification des risques. Mais le sujet reste complexe. Quantifier nécessite une masse conséquente de données, d’informations relatives aux cyber-attaques connues, aux retours d’expériences mais aussi des données internes à l’entreprise. Plus délicat encore, les impacts d’une attaque cyber sont parfois intangibles ou à coûts indirects. Quantifier l’abstrait n’est pas tâche aisée, mais certaines méthodologies et outils entendent bien relever ce défi.

Par Elisabeth de France

Logique d’arbitrage et efficacité économique

Pour répondre à de multiples équations, les RSSI, CISO et directeurs cybersécurité doivent de plus en plus basculer dans une logique d’arbitrage et définir quels risques couvrir et ceux qu’ils acceptent de courir eut égard à l’impact financier ? Que ce soit pour échanger avec les directions générales, les métiers, voire les assureurs, et gagner en pertinence et en légitimité, parvenir à évaluer les risques cyber de la manière la plus objective possible devient une nécessité. « Déployer cette approche globale et concrète permet de convaincre et démontrer lefficacité des investissements auprès des comités exécutifs, de bâtir une relation de confiance avec les instances dirigeantes sur le long-terme » explique Patrick MENEZ, Deputy Group Chief Security Officer AXA.

Aussi, les RSSI doivent-ils bénéficier d’une vision à 360° afin de contextualiser le besoin.Cette démarche permet d’illustrer l’efficacité économique de chaque solution envisagée. « La quantification des risques facilite ainsi la décision pour mettre en place un programme de sécurité proportionné par rapport au risque observable avec un ratio coût/opportunité financiarisé, précieux notamment pour sanctuariser des budgets sécurité. » précise François ZAMORA, Chief Security Officer, Europe division, Orange.

Des difficultés à dépasser

Compte tenu de leur nature intangible, il parait pour autant complexe d’évaluer objectivement certains impacts d’attaques cyber : l’impact sur l’image de marque, sur la réputation d’une entreprise ou encore le préjudice stratégique, et la désorganisation interne. D’autres risques, tangibles eux, sont indirects, comme la perte de parts de marchés ou la baisse de valorisation de l’entreprise sur les marchés, etc. « L’évaluation du risque cyber étant très complexe, la modélisation est essentielle. Ceci est rendu difficile car nous ne disposons pas de suffisamment de données, sans parler du recul sur plusieurs années. Cet élément souvent évoqué d’un point de vue statistique pourrait être utile mais pas suffisant car ce qui se passera en cyber l’an prochain, n’est pas le reflet de ce que nous avons connu ces 5 dernières années. Très évolutif et mouvant, le risque cyber est ainsi volatil… A cela s’ajoute la dimension géopolitique et économique sectorielle, autant que mondiale. » détaille Patrick MENEZ.

Estimer le degré d’exposition d’une entreprise au risque cyber, le manque d’informations disponibles sur les attaques les plus récentes et leur coût complexifient les choses. « Cela va changer avec les règlementations qui obligent à la traçabilité des décisions. Mais c’est bien le partage d’informations et la mise en commun, par exemple sectorielle, d’un benchmark de la sinistralité cyber qui va nous permettre de gagner en maturité sur la quantification objective et le traitement adapté des risques cyber » poursuit François ZAMORA.

La méthode FAIR

A partir des statistiques, la méthodologie FAIR (Factor Analysis of Information Risk), créée en 2001, permet de quantifier le risque en décomposant tout risque cyber en fonction de caractéristiques communes. « Elle permet d’estimer la fréquence et l’impact probables d’un sinistre redouté dans le futur et les montants financiers qui en résulteraient. Et cela afin de calculer les risques définis comme la fréquence probable (prenant en compte la fréquence doccurrence et la vulnérabilité) et l’ampleur probable des pertes. » explique Jean LARROUMETS, président fondateur d’EGERIE.

L’évaluation des impacts prend en compte les pertes directes et indirectes (la perte de part de marché engendrée par la dégradation de l’image de l’entreprise, les coûts de notification d’une attaque via une agence de communication, le paiement d’une amende auprès d’un régulateur ou encore des honoraires d’avocat pour se défendre en justice, etc.).

« Au sein de notre plateforme, nous avons ajouté à notre approche initiale qualitative de lanalyse du risque « bottom-up », une démarche « top-down » qui quantifie les pertes financières possibles. En créant une convergence des deux, nous permettons aux dirigeants de disposer dindicateurs plus performants facilitant la définition de leurs stratégies cyber avec plus de précision. Nous partons de l’existant, de la qualification des risques issus de son existant technique qui nous parait essentielle, pour in fine quantifier ces derniers et ainsi obtenir une analyse et une maîtrise de bout en bout. » explique Jean LARROUMETS.

Le champ de la valorisation et des performances

Véritable chef d’orchestre de la stratégie cyber, le RSSI et ses équipes doivent engager tous les collaborateurs dans la démarche de gouvernance globale des risques pour obtenir des résultats probants. « La plateforme développée et opérée par EGERIE permet de mettre en lumière comment, grâce à leurs actions, les collaborateurs adressent déjà les risques de l’entreprise. C’est une démarche valorisante qui permet de fédérer et de susciter l’adhésion à la stratégie cyber de l’organisation. Présenter une vision claire de l’avenir est devenu vital. » souligne Jean LARROUMETS.

Investisseurs et repreneurs tiennent compte des risques cyber dans l’évaluation des entreprises qu’ils convoitent. Une société mal préparée peut perdre jusqu’à 20 % de sa valeur patrimoniale. Les indicateurs fournis par la quantification du risque cyber et les mesures prises pour remédier à la crise vont devenir des éléments stratégiques en matière de due diligence. « Une entreprise bien protégée, dotée d’une approche globale et structurée, va augmenter sa valeur de 10 à 15 % », souligne Philippe TROUCHAUD, partner PwC.

Des enjeux ESG en devenir

Bien que la cybersécurité soit principalement considérée comme un enjeu technologique, « elle est maintenant considérée comme une préoccupation environnementale, sociale et de gouvernance (ESG) clé, qui relève du pilier « social ». » souligne JP Morgan. « Considérer la cybersécurité comme une mesure des facteurs ESG est encore une position relativement nouvelle, mais toutes les données probantes indiquent un intérêt continu dans l’ensemble. »

Le futur de l’analyse et de la quantification de risques se pense en matière d’automatisation et d’amélioration de la modélisation des risques cyber. D’un point de vue de l’appréciation des risques, la régulation et la règlementation européenne seront des effets de levier cruciaux. La quantification des risques semble vouée à se démocratiser, s’imposant comme un axe stratégique autant pour les entreprises que pour les Etats.