50 questions pour chiffrer les cyber-risques
L'ANSI et l'Internet Security Alliance ont publié un questionnaire de 50 questions, dans une approche pluridisciplinaire impliquant l'ensemble de l'entreprise, afin d'identifier les risques et leur coût financier net.
L'organisme de standardisation américain, l'ANSI (American National Standards Institute) et l'association Internet Security Alliance se sont associés pour concevoir un guide destiné à assister les entreprises dans le calcul des risques et des coûts des failles de sécurité. Ce document se présente sous la forme de 50 questions mettant à contribution les différentes fonctions de l'entreprise.
L'évaluation des risques et de leur coût n'est pas une problématique technique, insiste l'ANSI et l'Internet Security Alliance. Par conséquent, ce projet, d'entreprise, faisant appel à la pluridisciplinarité, ne relève pas de la seule responsabilité des services IT, conformité et sécurité. Et pour cause, puisqu'il convient notamment aux différents métiers d'identifier leurs risques.
Les 50 questions du guide se répartissent donc entre cinq grandes fonctions de l'entreprise que sont : le directeur juridique, le responsable conformité (ou compliance), les opérationnels et équipes IT (DSI, RSSI, directeur technique et de production), la communication et le management de crise, ainsi enfin que le risk manager en charge de l'assurance.
Coût net d'un risque = fréquence x probabilité x criticité - assurance
L'assurance, soit le recours à un tiers pour couvrir financièrement des risques, entre en effet directement en compte dans le calcul du coût financier net d'un risque. La règle de calcul est ainsi le produit de la fréquence d'un risque, de la probabilité d'occurrence et de sa criticité. Au résultat de cette multiplication, il convient ensuite de soustraire la part externalisée du risque, c'est-à-dire couvert par une assurance.
Les responsables de l'IT et de la sécurité (au sens large) sont sollicités par le biais de plusieurs questions dont les réponses doivent permettre d'évaluer les risques à couvrir et leur niveau de criticité. Le responsable de la conformité devra ainsi lister les réglementations auxquelles l'entreprise est soumise, mais aussi identifier un certain nombre d'actifs, dont ceux hébergeant les données concernées par ces réglementations, et les utilisateurs y ayant accès.
L'ensemble des questions visent à étudier les contraintes légales pesant sur l'entreprise et les moyens mis en place, soit le réalisé, afin de pouvoir définir ensuite les axes d'amélioration à adopter pour couvrir des risques ignorés ou insuffisamment couverts. L'activité des entreprises reposant de plus en plus sur l'informatique, les opérationnels de l'IT sont bien entendu sollicités.
Ils le sont notamment afin d'évaluer, d'un point de vue technologique ou sécurité, la principale vulnérabilité, mais aussi pour estimer le niveau d'exposition à des attaques dirigées contre la confidentialité, l'intégrité et la disponibilité des données et des systèmes. La continuité d'activité est ici essentielle et l'IT doit pouvoir chiffrer le temps de rétablissement des pans du SI impactés, mais aussi définir les circonstances dans lesquelles, il est préférable de ne pas les remettre en ligne (par exemple lors de la compromission d'un réseau).
Les questions adressées à l'IT couvrent également les aspects liés à la sécurité physique, aux plans de continuité, aux réponses après incident, au degré d'exposition au risque des prestataires de l'entreprise, ou encore la maturité du programme de classification de l'information.
A la manière d'un document de normalisation comme ISO 27 001, le guide de l'ANSI fournit aux entreprises un plan de route pour leur permettre d'apprécier leurs risques, leur prise en compte et les solutions (dont l'assurance), proportionnées, à adopter.