70 % des organisations ont connu au moins deux événements de risque critiques au cours de l'année passée. Plus de 40 % en ont connu au moins trois, et près de 20 % ont subi six incidents ou plus, selon un rapport de 2023 par Forrester et Dataminr.

Gérer les risques en cybersécurité ne consiste pas seulement à déployer des pare-feu ou à mettre en place des pratiques de mot de passe robustes. Il s'agit d'adopter une approche globale et proactive pour protéger vos actifs d'information contre les menaces spécifiques à votre organisation. De la même manière que les météorologistes composent avec des facteurs incertains comme les modèles de vent, les fluctuations de température et les conditions atmosphériques, les gestionnaires de risques font face à leurs propres défis lorsqu'ils tentent de déterminer la valeur numérique du risque.

Un score de risque quantifie le niveau de risque associé à une décision, une activité ou une menace spécifique, afin que les organisations puissent prioriser et atténuer les risques de manière efficace. Dans cet article, nous allons plonger plus profondément dans les composants d'un score de risque et examiner quelques méthodologies populaires pour calculer le risque en cybersécurité.

Comprendre les scores de risque

Un score de risque est une valeur numérique qui représente la gravité potentielle et la probabilité de survenance d'un événement négatif. Ce score aide les organisations à prioriser les risques, leur permettant d'allouer des ressources et de mettre en œuvre des contrôles efficaces pour se protéger contre les risques critiques.

Essentiellement, un score de risque traduit les dimensions complexes du risque en un simple chiffre facile à interpréter. Pour comprendre et calculer un score de risque, il faut considérer deux composants fondamentaux : la probabilité du risque et l'impact du risque.

• Probabilité du risque : Ce composant évalue la probabilité du risque. La probabilité peut être mesurée à l'aide de valeurs numériques telles que 1-5, de pourcentages ou de descripteurs qualitatifs (par exemple, rare, probable, presque certain). Pour déterminer la probabilité du risque, considérez les données historiques, consultez des experts internes, examinez les tendances de l'industrie et évaluez la robustesse de vos contrôles existants.
• Impact du risque : Ce composant tient compte des conséquences de l'événement de risque s'il se matérialise. Pour évaluer l'impact, considérez la perte financière potentielle, les dommages à la réputation et les implications légales et de conformité. Comme pour la probabilité, l'impact peut être quantifié à l'aide de valeurs numériques ou de descripteurs qualitatifs, allant de minime à catastrophique.

Calcul du score de risque : La formule de base

Une formule simple pour calculer un score de risque est une combinaison de la probabilité et de l'impact du risque :

Ce calcul de base permet aux organisations d'obtenir rapidement une vue d'ensemble des différents risques pour une comparaison et une priorisation faciles. Un score de risque plus élevé indique bien sûr un niveau de risque plus grand, nécessitant des efforts d'atténuation plus urgents.

Par exemple, considérez un scénario où la probabilité d'une violation de données est évaluée à 4 sur une échelle de 1 à 5 et l'impact potentiel est évalué à 5. En utilisant la formule, le score de risque pour une violation de données serait :

Score de risque = 4 (Probabilité) × 5 (Impact) = 20

Pendant ce temps, la probabilité d'une panne de serveur est évaluée à 2 sur 5 et l'impact à 4 sur 5. Le score de risque pour cette possibilité serait :

Scores de risque = 2 (Probabilité) × 4 (Impact) = 8

Ces scores aident les organisations à comparer facilement les risques et à déterminer comment allouer les ressources pour des stratégies de réponse aux risques optimales.

Qu'est-ce qu'une analyse quantitative des risques ?

Il existe deux manières fondamentales d'évaluer le risque. Une approche qualitative, telle qu'une matrice d'évaluation des risques, repose sur l'expertise et l'expérience pour attribuer une note de risque comme « très probable » ou « critique ». Une approche quantitative utilise des calculs mathématiques et des données mesurables pour attribuer des scores de risque numériques comme « probabilité de 37 % » et « perte annuelle de 20 000 $ ».

Bien que le niveau de précision offert par l'analyse de risque quantitative donne aux organisations une idée plus claire et plus spécifique de leur exposition au risque, il est également plus difficile et coûteux à réaliser.

Analyse de risque quantitative vs analyse de risque qualitative.

En fonction de facteurs tels que les objectifs stratégiques et les ressources disponibles, les organisations peuvent pencher pour un type d'évaluation des risques plutôt qu'un autre.

Quand utiliser les évaluations de risque qualitatives :

• Ressources limitées : l'analyse quantitative peut être gourmande en ressources, nécessitant l'accès à des données fiables, à des outils analytiques et à une expertise interne. Les petites organisations ou celles disposant de ressources limitées peuvent initialement opter pour des évaluations qualitatives.
• Environnement de cybersécurité incertain : dans des environnements très complexes ou pour certains types de risques, les données quantitatives peuvent être rares. Les évaluations qualitatives peuvent offrir des perspectives précieuses lorsque les informations requises pour quantifier les risques ne sont pas disponibles.

Quand utiliser les évaluations de risque quantitatives :

• Besoin de précision : les évaluations quantitatives sont particulièrement utiles lorsque vous devez prendre des décisions financières précises, comme justifier des investissements en cybersécurité ou déterminer une couverture d'assurance. Ils fournissent une analyse coût-bénéfice plus claire pour évaluer différentes stratégies d'atténuation des risques.
• Exigences réglementaires et de conformité : certains secteurs et cadres réglementaires peuvent impliquer des évaluations de risque quantitatives pour se conformer aux normes et aux exigences de rapport. Par exemple, la conformité SOX implique des évaluations de risque quantitatives pour les contrôles financiers. Bien que la norme NIST 800-53 ne l'exige pas spécifiquement, le cadre encourage les méthodes quantitatives comme un moyen d'informer et d'améliorer les décisions de gestion des risques.
• Plus grande maturité GRC : les organisations ayant des pratiques GRC et de gestion des risques plus matures évoluent souvent vers des méthodes quantitatives à mesure qu'elles accumulent des données historiques et développent une compréhension plus approfondie de leur environnement de risque.

7 approches populaires pour calculer le risque de cybersécurité

Il existe plusieurs approches et méthodologies pour quantifier et gérer les risques. Ci-dessous, nous expliquerons 7 approches et formules courantes utilisées pour calculer le risque de cybersécurité et partagerons un exemple pour chacune d'entre elles.

1. Espérance de perte annuelle (ALE)

L'ALE quantifie la perte financière potentielle qu'une organisation peut attendre en un an à la suite d'incidents ou de menaces de sécurité spécifiques. Cette formule est particulièrement précieuse pour les organisations cherchant à prioriser leurs investissements et stratégies de cybersécurité en identifiant quelles menaces posent le plus grand risque financier.

• SLE (Single Loss Expectancy): La perte monétaire estimée ou l'impact d'une occurrence unique d'une menace.
• ARO (Annual Rate of Occurrence): La fréquence attendue d'une menace survenant au cours d'une année.

En calculant l'ALE pour diverses menaces de cybersécurité, les organisations peuvent prendre des décisions éclairées concernant l'allocation des ressources aux menaces ayant l'ALE le plus élevé, offrant ainsi une justification plus claire pour les budgets et les investissements en cybersécurité. En démontrant l'impact financier potentiel des risques non atténués, les responsables de la sécurité peuvent présenter un argument convaincant pour le budget nécessaire à la mise en œuvre de mesures de sécurité efficaces.

En comparant le coût de mise en œuvre d'un contrôle de sécurité à la réduction de l'ALE qu'il apporte, les responsables de la gestion des risques peuvent également prendre des décisions éclairées concernant les contrôles offrant le meilleur retour sur investissement. Pour les risques qui ne peuvent pas être complètement atténués par des contrôles, l'ALE peut être une métrique précieuse pour déterminer le niveau approprié de couverture de cybersécurité, garantissant que l'organisation est adéquatement protégée contre les pertes financières potentielles.

Exemple : Comment utiliser l'ALE pour calculer le risque

1. Identifier le risque : Commencez par identifier un risque spécifique auquel votre organisation est confrontée. Cela peut aller d'une attaque d'ingénierie sociale à une panne de matériel.
2. Calculer le SLE :
3. Évaluer la valeur de l'actif : Cela peut être la valeur des données, du matériel ou de toute autre ressource.
4. Déterminer le facteur d'exposition (EF) : Estimez le pourcentage de perte que le risque identifié causerait s'il se produisait. Par exemple, si un événement à risque entraînerait une perte de 50 % de la valeur d'un actif, l'EF est de 0,5.
5. Calculer le SLE : SLE = Valeur de l'actif × EF
6. Estimer l'ARO : Estimez combien de fois le risque identifié est susceptible de se produire en un an, en fonction des données historiques, des références de l'industrie ou du jugement d'expert.
7. Calculer l'ALE : Multipliez le SLE par l'ARO pour obtenir l'ALE.

Par exemple, supposons qu'une organisation évalue le risque d'une violation de données et détermine que le SLE est de 400 000 $, en tenant compte des réponses aux incidents, des amendes potentielles, des coûts de notification de violation et des dommages à la réputation. En fonction du paysage des menaces de l'organisation et des données historiques, l'ARO est estimé à 0,2 (indiquant une occurrence tous les cinq ans).

ALE = 400 000 $ × 0,2 = 80 000 $

Cela signifie que l'organisation peut s'attendre à perdre en moyenne 80 000 $ par an en raison des violations de données.

2. L'analyse factorielle du risque d'information (FAIR)

FAIR est un cadre pour quantifier le risque d'information en termes financiers, décomposant le risque en facteurs tels que la fréquence des événements menaçants, la vulnérabilité et l'ampleur des pertes.

FAIR divise le risque en deux grandes catégories, chacune avec plusieurs sous-composants :

• Fréquence des événements de perte (LEF) : La fréquence à laquelle un événement de perte spécifique est attendu, en tenant compte de :
• Fréquence des événements menaçants (TEF) : La fréquence à laquelle un événement menaçant est susceptible de se produire.
• Vulnérabilité : La probabilité qu'un événement menaçant devienne un événement de perte.
• Amplitude de perte probable (PLM) : La plage des pertes potentielles pour chaque événement, en tenant compte de :
• Perte primaire : Les pertes financières directes résultant d'un événement.
• Perte secondaire : Les pertes indirectes, y compris les dommages à la réputation, les coûts de réponse, etc.

Exemple : Comment utiliser FAIR pour calculer le risque

Bien que FAIR n'offre pas de formules spécifiques pour chaque étape, les organisations utilisent souvent des simulations de Monte Carlo ou d'autres modèles statistiques pour calculer le LEF et le PLM.

1. Définir le périmètre du scénario de risque: Définissez clairement le scénario de risque que vous souhaitez analyser, y compris les actifs impliqués, les menaces potentielles et le contexte.
2. Identifier les facteurs pertinents: Décomposez le scénario en ses composants FAIR. Identifiez les menaces pertinentes, les vulnérabilités des actifs impliqués et les impacts potentiels (primaires et secondaires).
3. Collecter les données: Rassemblez des données historiques sur les incidents, des références de l'industrie, des avis d'experts et toutes autres informations pertinentes pour le scénario de risque.
4. Analyser les données: Pour le LEF, combinez vos données sur la fréquence des événements menaçants et les vulnérabilités pour estimer le nombre de fois qu'un événement de perte est susceptible de se produire. Pour le PLM, estimez l'éventail des pertes potentielles, en tenant compte des impacts primaires et secondaires.
5. Quantifier le risque: Utilisez les données collectées et les analyses pour estimer le risque en termes financiers. FAIR exprime généralement le risque sous la forme d'une plage pour tenir compte de l'incertitude inhérente à l'analyse des risques. Cela implique de calculer la plage probable des fréquences des événements de perte et des magnitudes de perte probable pour obtenir une estimation globale du risque.

Supposons qu'une organisation soit préoccupée par le risque d'attaques de phishing. Le scénario de risque spécifique qu'ils définissent est une violation de données causée par un employé partageant par inadvertance des informations sensibles en raison d'une attaque de phishing.

1. Estimer le TEF: L'organisation analyse les incidents passés et les références de l'industrie pour déterminer que les employés reçoivent en moyenne 5 tentatives de phishing sophistiquées chaque année.
2. Évaluer la vulnérabilité: Basé sur la formation à la sensibilisation à la sécurité et le filtrage des e-mails, l'organisation estime qu'il y a 10% de chances qu'un employé tombe dans le piège d'une tentative de phishing.
3. Calculer le LEF: LEF = 5 (TEF) × 0.1 (Vuln) = 0.5 événements par an. Donc en moyenne, une attaque de phishing réussie entraînant une violation de données pourrait se produire une fois tous les deux ans.
4. Estimer la probabilité de perte probable (PLM): Sur la base des incidents passés et des références de l'industrie, les coûts directs pourraient varier de 50 000 à 200 000 dollars par violation et les coûts indirects sont estimés entre 100 000 et 500 000 dollars. En combinant les coûts directs et indirects, la magnitude totale des pertes pourrait varier de 150 000 à 700 000 dollars par violation.
5. Aggréger les estimations de risque: Étant donné le LEF de 0,5 et la plage de PLM, l'organisation peut s'attendre à une perte annuelle moyenne (ALE) de 75 000 à 350 000 dollars en raison des violations de données induites par le phishing.

3. Le système de notation des vulnérabilités communes (CVSS)

Le CVSS fournit un cadre pour classer la gravité des vulnérabilités logicielles, en évaluant des aspects tels que l'exploitabilité et l'impact pour attribuer une note de 0 à 10.

Les scores CVSS sont calculés à l'aide de plusieurs métriques, qui sont regroupées en trois catégories principales :

1. Métriques de base : Ces métriques représentent les qualités intrinsèques d'une vulnérabilité qui sont cohérentes dans le temps et entre les environnements utilisateurs. Cela inclut :

• Vecteur d'attaque : Comment la vulnérabilité est exploitée (par exemple, accès local, réseau adjacent, réseau).
• Complexité de l'attaque : La complexité de l'attaque nécessaire pour exploiter la vulnérabilité.
• Privilèges requis : Le niveau de privilèges d'accès qu'un attaquant doit posséder avant d'exploiter la vulnérabilité avec succès.
• Interaction de l'utilisateur : Si l'exploitation de la vulnérabilité nécessite une action de l'utilisateur.
• Champ d'application : Si la vulnérabilité affecte des composants au-delà de son champ de sécurité.
• Métriques d'impact : L'impact de l'exploitation de la vulnérabilité sur la confidentialité, l'intégrité et la disponibilité des données.

2. Métriques temporelles : Ces métriques représentent les aspects d'une vulnérabilité qui peuvent changer dans le temps mais pas entre les environnements utilisateurs. Cela inclut :

• Maturité du code d'exploitation : La disponibilité du code ou des techniques d'exploitation.
• Niveau de remédiation : Le niveau de correction disponible.
• Confiance dans le rapport : Le degré de confiance dans le rapport de vulnérabilité.

3. Métriques environnementales : Ces métriques tiennent compte de l'impact spécifique de la vulnérabilité sur une organisation, en considérant des facteurs tels que :

• Exigences de sécurité : L'importance de la confidentialité, de l'intégrité et de la disponibilité pour le système affecté.
• Métriques de base modifiées : Ajustements aux métriques de base pour tenir compte des atténuations qui réduisent l'exploitabilité ou l'impact dans l'environnement de l'utilisateur.

Exemple : Comment utiliser le CVSS pour calculer le risque.

1. Calcul du score de base : Commencez par les Métriques de base pour calculer un score de base entre 0 et 10.
2. Calcul du score temporel : Ajustez le score de base en fonction des Métriques temporelles, si des données pertinentes sont disponibles. Cela peut augmenter ou diminuer le score en fonction de facteurs tels que la maturité du code d'exploitation et le niveau de remédiation.
3. Calcul du score environnemental : Faites des ajustements supplémentaires au score en fonction des Métriques environnementales pour adapter le score au contexte spécifique d'une organisation. Cela prend en compte la criticité du système affecté et les contrôles de sécurité en place qui peuvent atténuer l'impact.

NIST fournit un calculateur CVSS qui automatise ce processus. Vous saisissez les valeurs pour chaque métrique et le calculateur produit les scores de base, temporel et environnemental.

À titre d'exemple, supposons qu'une équipe de sécurité découvre une vulnérabilité dans une de ses applications web. Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire sur le serveur où l'application est hébergée, entraînant potentiellement le vol de données, la corruption de données ou l'accès non autorisé à des systèmes sensibles.

L'équipe évalue la vulnérabilité en utilisant ces métriques CVSS et détermine :

• Vecteur d'attaque : La vulnérabilité est exploitable à distance via le réseau.
• Complexité de l'attaque : L'attaque a une faible complexité ; aucun accès ou condition spécialisée n'est requise.
• Privilèges requis : L'attaquant n'a pas besoin de privilèges d'accès spéciaux.
• Interaction de l'utilisateur : Aucune interaction de l'utilisateur n'est nécessaire pour l'exploitation.
• Champ d'application : La vulnérabilité n'affecte pas d'autres ressources au-delà du composant vulnérable.
• Impact : La vulnérabilité a un impact élevé sur la confidentialité, l'intégrité et la disponibilité du système.

Sur la base de ces évaluations, le calculateur CVSS attribue les scores suivants :

• Score de base : 9,8 (Critique)
• Score temporel : 8,8
• Score environnemental : 7,5

Avec un score de base critique, cette vulnérabilité à haut risque est priorisée pour une remédiation immédiate, et l'entreprise alloue des ressources pour une correction ou une solution de contournement urgente. Le score CVSS est également documenté à des fins de conformité et utilisé dans les rapports de risque à la direction et aux autres parties prenantes.

4. Analyse de l'arbre des attaques

Cette méthode consiste à créer un modèle graphique des chemins d'attaque potentiels qui pourraient être utilisés pour compromettre un système. Elle aide les membres de l'équipe de gestion des risques à visualiser les différentes manières dont un système pourrait être attaqué à travers un diagramme arborescent, avec l'objectif principal ou l'attaque comme le tronc et les différentes méthodes pour atteindre cet objectif comme les branches.

• Noeud racine : Représente l'objectif principal de l'attaque ou la menace principale évaluée.
• Noeuds intermédiaires : Représentent les sous-objectifs ou les étapes intermédiaires qu'un attaquant pourrait suivre pour atteindre l'objectif principal. Ces étapes peuvent se diviser en étapes plus détaillées.
• Noeuds feuilles : Ce sont les points finaux de l'arbre, représentant des techniques ou actions d'attaque spécifiques pouvant être entreprises pour atteindre les sous-objectifs au-dessus d'eux.

Exemple : Comment utiliser l'analyse des arbres d'attaque pour calculer le risque

1. Définir l'objectif principal : Commencez par la menace ou l'objectif de sécurité principal de l'attaquant potentiel comme racine de l'arbre.
2. Identifier les sous-objectifs : Décomposez l'objectif principal en objectifs intermédiaires ou étapes qu'un attaquant devrait atteindre pour atteindre l'objectif principal. Ceux-ci deviennent les branches dérivant de la racine.
3. Détailler les méthodes d'attaque : Pour chaque étape intermédiaire, identifiez les méthodes ou actions d'attaque spécifiques qu'un attaquant pourrait utiliser. Celles-ci deviennent les noeuds feuilles de l'arbre.
4. Attribuer des valeurs : Attribuez des valeurs à chaque noeud feuille pour représenter le coût, la difficulté ou la probabilité de cette méthode d'attaque.
5. Calculer le risque : Agrégez les valeurs des noeuds feuilles en remontant dans l'arbre pour déterminer le risque global associé à l'objectif principal.
6. Analyser et prioriser : Utilisez l'arbre d'attaque complété pour identifier quels vecteurs d'attaque sont les plus probables ou auraient le plus grand impact, et priorisez les mesures de sécurité pour atténuer ces risques.

Bien que les arbres d'attaque fournissent un moyen structuré de visualiser et d'analyser les vecteurs potentiels d'attaque, quantifier le risque à travers les arbres d'attaque peut être aussi simple que d'identifier le chemin de moindre résistance (coût le plus bas ou probabilité la plus élevée pour l'attaquant) ou aussi complexe que d'appliquer des modèles probabilistes à chaque noeud pour estimer le risque global.

À titre d'exemple, considérez une organisation évaluant le risque d'accès non autorisé à ses systèmes. L'objectif racine est "Obtenir un accès non autorisé au réseau interne."

Les noeuds de branche pourraient inclure "Exploiter une vulnérabilité logicielle", "Attaque d'ingénierie sociale pour obtenir des identifiants" et "Accès physique au réseau."

Les noeuds feuilles sous "Exploiter une vulnérabilité logicielle" pourraient inclure des vulnérabilités spécifiques dans les logiciels utilisés par l'entreprise, chacune avec une valeur numérique représentant la difficulté d'exploitation.

En évaluant la probabilité et l'impact potentiel de chaque chemin, l'organisation peut prioriser quelles vulnérabilités corriger en premier, ajuster la formation à la cybersécurité des employés ou décider quelles mesures de sécurité physique renforcer.

5. Réseaux Bayesiens

Les réseaux bayésiens sont un modèle graphique probabiliste qui peut être utilisé pour prédire la probabilité d'événements de cybersécurité spécifiques en fonction de divers facteurs de risque. Les réseaux bayésiens sont basés sur :

• Noeuds : Ceux-ci représentent des variables telles que les vulnérabilités du système, les occurrences de menaces ou les contrôles de sécurité.
• Arêtes : Les arêtes dirigées (flèches) relient les noeuds pour représenter les relations entre les variables. La direction de la flèche indique le sens de l'influence.
• Tables de probabilité : Chaque noeud est associé à une table de probabilité qui quantifie la probabilité des résultats du noeud.

Exemple : Comment utiliser les réseaux bayésiens pour calculer le risque

1. Définir le problème et les variables : Commencez par définir clairement le scénario de risque que vous analysez. Identifiez toutes les variables pertinentes qui pourraient influencer le résultat, y compris les menaces, les vulnérabilités, les contrôles, les impacts et tout autre facteur pertinent.
2. Structurer le réseau bayésien : Organisez les variables sous forme de nœuds et utilisez des flèches pour représenter les relations entre elles.
3. Attribuer des probabilités : Pour chaque nœud, créez une table de probabilité conditionnelle qui quantifie la probabilité de chaque résultat possible.
4. Effectuer une inférence : Une fois le réseau construit et les probabilités attribuées, utilisez un calculateur d'inférence bayésienne pour déterminer les probabilités dans tout le réseau en fonction des états connus de certains nœuds (par exemple, si une vulnérabilité spécifique est présente ou si un contrôle de sécurité est en place).
5. Analyser : Ces probabilités mises à jour peuvent vous aider à évaluer la probabilité de différents scénarios de risque et à évaluer l'efficacité de diverses stratégies d'atténuation. En observant les effets du changement de certaines variables (par exemple, ajout de contrôles de sécurité), vous pouvez prendre des décisions éclairées sur la manière de gérer et d'atténuer efficacement les risques.

Par exemple, imaginez une entreprise évaluant le risque d'une violation de données. Le réseau bayésien pourrait inclure des nœuds pour des facteurs tels que "Intégrité du pare-feu", "Formation à la sécurité des employés", "Probabilité d'attaque par hameçonnage", "Chiffrement des données" et "Impact de la violation". Les arêtes représenteraient l'influence de ces facteurs les uns sur les autres, et les tables de probabilité quantifieraient ces relations.

Les réseaux bayésiens peuvent également être mis à jour avec de nouvelles informations pour maintenir le modèle pertinent. Si l'entreprise observe des preuves d'une attaque par hameçonnage, elle peut mettre à jour le réseau pour recalculer les probabilités. Cette probabilité mise à jour peut aider l'entreprise à décider si ses mesures de sécurité actuelles sont adéquates ou si des actions supplémentaires, comme l'amélioration de la formation des employés ou le renforcement des protocoles de chiffrement, sont nécessaires pour atténuer le risque.

6. Formule de risque ISACA

L'Information Systems Audit and Control Association (ISACA) définit une formule de risque dans le cadre de son Risk IT framework.

• Fréquence de la menace : La fréquence à laquelle une menace spécifique est censée se produire dans un intervalle de temps donné. Cela pourrait être une estimation basée sur les incidents passés, les références du secteur ou les rapports de renseignement sur les menaces.
• Vulnérabilité : La probabilité qu'une vulnérabilité soit exploitée, basée sur les contrôles de sécurité existants.
• Valeur de l'actif : L'importance ou la valeur des actifs susceptibles d'être affectés par la menace. Cela peut inclure des actifs tangibles comme le matériel et des actifs intangibles comme les données et la réputation. La valeur peut être évaluée en termes de coûts de remplacement, d'impact sur les opérations, voire d'implications légales et réglementaires.

Exemple : Comment utiliser la formule de risque ISACA pour calculer le risque

1. Identifier les actifs : Énumérez tous les actifs qui sont vitaux pour les opérations de votre organisation.
2. Évaluer la valeur des actifs : Définissez la valeur de chaque actif. Cela peut impliquer des évaluations financières, l'impact de la perte sur les opérations ou la réputation, et les conséquences juridiques ou réglementaires.
3. Identifier les menaces : Pour chaque actif, identifiez les menaces potentielles qui pourraient causer des dommages ou des pertes. Cela pourrait aller des cyberattaques aux catastrophes naturelles, en fonction de la nature de l'actif.
4. Évaluer la fréquence des menaces : Estimez à quelle fréquence chaque menace identifiée pourrait se produire. Cela peut être basé sur des données historiques, des rapports du secteur ou des jugements d'experts.
5. Évaluer les vulnérabilités : Évaluez la vulnérabilité de chaque actif aux menaces identifiées. Considérez les mesures de sécurité existantes et leur efficacité à atténuer ces menaces.
6. Calculer le risque : pour chaque menace pesant sur chaque actif, multipliez la fréquence de la menace par la vulnérabilité et la valeur de l'actif pour obtenir la valeur du risque.

Par exemple, disons qu'une organisation a identifié les attaques par hameçonnage comme une menace importante pour sa sécurité informatique. L'équipe d'analyse des risques doit évaluer l'impact potentiel des attaques par hameçonnage et quantifier le risque afin de pouvoir prioriser les efforts d'atténuation.

• Fréquence des menaces : sur la base de rapports sectoriels et de données historiques, l'équipe estime que les employés seront confrontés en moyenne à 50 tentatives de hameçonnage par an.
• Vulnérabilité : étant donné les filtres de messagerie actuels et la formation des employés à la sensibilisation à la sécurité, l'équipe estime qu'il y a 5 % de chances qu'une tentative de hameçonnage réussisse.
• Valeur de l'actif : les données accessibles via les comptes de messagerie des employés sont extrêmement précieuses, contenant des informations exclusives et des données personnelles de clients. L'équipe estime la valeur de ces actifs à 2 000 000 $.

En utilisant la formule ISACA, ils calculent :

50 (Fréquence des menaces) × 0,05 (Vulnérabilité) × 2 000 000 $ (Valeur de l'actif) = 5 000 000 $ (Risque)

Sur la base de ce calcul de risque, l'organisation décide de mener une formation de sensibilisation à la sécurité des employés tous les six mois au lieu d'une fois par an afin de réduire la vulnérabilité et l'impact potentiel.

7. Secureframe Comply AI pour les Risques

Au lieu de calculer manuellement les risques à l'aide de ces différentes formules, les équipes de gestion des risques peuvent également utiliser des outils pour éliminer les lourdes tâches et le potentiel d'erreur humaine. La plateforme de sécurité et de conformité de Secureframe automatise le processus d'évaluation des risques et produit un score de risque inhérent, un traitement suggéré et un score de risque résiduel.

Comply AI pour les risques utilise l'intelligence artificielle pour évaluer les risques au sein de votre environnement spécifique. Remplissez une description des risques et un propriétaire, ou importez une description des risques à partir de la bibliothèque de risques Secureframe, puis utilisez Comply AI pour calculer les scores de risques inhérents, les traitements suggérés et les scores de risques résiduels.

Une fois que vous avez calculé les scores de risque, vous pouvez utiliser des tableaux de bord pour visualiser et suivre les risques de votre organisation. Visualisez vos données de risque sous forme de cartes thermiques, tableaux récapitulatifs, graphiques de tendances, etc., afin de surveiller l'état général de votre programme de gestion des risques et de rendre facilement compte aux dirigeants, auditeurs et autres parties prenantes.