Définition et objectif

FAIR fournit un modèle pour comprendre, analyser et quantifier les risques cybernétiques et opérationnels dans un langage que les dirigeants d'entreprise comprennent : l'argent. L'objectif du cadre FAIR est d'aider les organisations à prendre de meilleures décisions en matière de sécurité et de risques opérationnels, fondées sur une compréhension solide de la fréquence et de l'impact des événements de risque.

Organisation de régulation

Le cadre FAIR a été initialement développé par Jack Jones et est maintenant maintenu et promu par le FAIR Institute, une organisation experte à but non lucratif qui vise à diffuser les connaissances et les meilleures pratiques du modèle FAIR.

Dernière mise à jour

Le cadre FAIR a été développé en 2005. Le FAIR Institute continue de développer et de peaufiner les directives et les supports de formation.

S'applique à

FAIR est indépendant du secteur et peut être appliqué à divers secteurs. Il est bénéfique pour toute organisation qui a besoin de comprendre, analyser et quantifier les risques d'information. Cela inclut, mais sans s'y limiter, les services financiers, les soins de santé, la fabrication, le commerce de détail et les entités gouvernementales.

Contrôles et exigences

FAIR n'a pas de liste traditionnelle de contrôles mais se concentre plutôt sur les facteurs qui contribuent aux risques. Lors de la réalisation d'une analyse FAIR, vous définiriez, mesureriez et analyseriez généralement les facteurs suivants :

• Fréquence des événements de menace : Fréquence probable des événements de menace.
• Fréquence de contact : Interaction entre les menaces et les actifs.
• Probabilité d'action : Probabilité qu'une action de menace entraîne une perte.
• Vulnérabilité : Probabilité qu'un actif soit incapable de résister aux actions d'un événement de menace.
• Magnitude des pertes : Impact ou perte potentielle d'un événement de menace, qui peut inclure des pertes primaires et secondaires.

Veuillez consulter la documentation officielle de l'Institut FAIR pour des détails sur les contrôles et exigences.

Type d'audit, fréquence et durée

Les audits dans le contexte de FAIR impliquent une évaluation des processus de gestion des risques de l'organisation, en particulier la manière dont les risques sont identifiés, analysés et quantifiés. La fréquence des évaluations FAIR est généralement basée sur la politique de gestion des risques de l'organisation, les changements dans l'environnement commercial ou en réponse à des incidents.

La durée d'une évaluation FAIR peut varier considérablement en fonction de l'étendue des scénarios de risque analysés et de la complexité des opérations de l'organisation.