Publié le 20 juillet 2020

la méthode FAIR d’analyse de risque cyber [podcast NoLimitSecu]

Écrit par
Marc-Antoine LEDIEU - Avocat associé - Constellation

Encore une méthode d’analyse de risque cyber ?

A quoi ça sert ?

Est-ce vraiment utile ?

Ben oui !

Parce qu’aujourd’hui, il devient nécessaire de quantifier son risque cyber… son risque de cyber attaque…

Christophe Foret, co-président du Chapitre parisien du FAIR Institute est venu nous expliquer ce que cette méthode d’analyse de risque cyber peut apporter aux entreprises.

L’épisode #278 du podcast NoLimitSecu est accessible depuis ce lien.

L'analyse du risque cyber avec la méthode F.A.I.R. ? 

F.A.I.R. est l’acronyme de Factor Analysis of Information Risk.

Pour modéliser et quantifier en termes financiers les risques cyber (#InfoSec) et les risques opérationnels (#OPSec).

C’est un des intérêts de FAIR, complémentaires avec d’autres méthodes d’analyse de risque (ISO, eBiosRM, etc.) : apprécier les risques en termes financiers !

Pour que les DSI / RSSI puissent traduire aux fonctions « métiers » de l’entreprise de manière bien concrète les risques liés au système d’information et à ses inévitables vulnérabilités (bien que le terme n’ait pas été beaucoup prononcé pendant l’épisode).

C'est quoi, le risque cyber pour les juristes ?

Pour nous, juristes, le risque cyber, c’est la crainte des vulnérabilités et des malwares

Combinés, ils permettent les cyber attaques.

Donc, les violations de données, l’espionnage, les rançongiciels, etc.

Nous allons réfléchir aux incriminations civiles et/ou pénales, chercher des responsabilités, relire nos contrats et refaire certaines de nos clauses…

Pour les décideurs DSI / RSSI, les pro se pencherons sur la cartographie de leur SI, et l’analyse de la nature des data stockées, traitées, etc.

La méthode FAIR, elle, permet de mettre des prix sur l’ensemble de ces problématiques, de sorte que le risque cyber soit chiffrable, quantifiable pour des DAF, par exemple.

L’intérêt de cette méthode est évident, notamment pour ses conséquences en matière d’assurance.

D’une part, l’assureur pourra constater que l’entreprise a pris le soin d’analyser son risque (ce n’est pas encore si fréquent que cela…).

D’autre part, l’entreprise pourra apprécier le montant de sa prime d’assurance cyber au regard du montant d’indemnisation proposé par l’assureur.

 

et pour ces quelques slides en BD, on dit merci qui ?

Contactez-nous

Nous écrire un mail