L'évaluation quantitative des risques offre une approche objective de l'analyse des risques. Cependant, comprendre les risques ne suffit pas. Cet article explique comment interpréter les résultats et comment les traduire en décisions pertinentes dans un environnement réel.

(Bien que l'article n'explique pas comment réaliser une analyse quantitative des risques, vous trouverez les détails de ce processus dans notre guide d'évaluation des risques axée sur les données.)

Comprendre la quantification des risques

Pour commencer, qu'est-ce que l'évaluation quantitative des risques ?

Qu'est-ce que la quantification des risques ?

L'évaluation quantitative des risques (parfois abrégée QRA) attribue une valeur monétaire à chaque cyber-risque selon son impact potentiel et sa probabilité de survenance. Elle pose la question suivante : Que nous coûtera un incident si cet actif est exposé via cette vulnérabilité ? Contrairement aux méthodes qualitatives qui classent les risques par gravité, l'approche quantitative fournit une image objective.

Pourquoi est-ce important ? L'évaluation qualitative des cyber-risques laisse souvent une large place à l'interprétation. En traduisant les risques en termes financiers (avec des données chiffrées en euros), on permet aux dirigeants extérieurs au département Sécurité de comprendre ce qu'est réellement un risque « élevé », en contexte.

Comment la quantification des risques s'inscrit-elle dans la stratégie de cybersécurité globale ?

La quantification des risques est un outil essentiel pour gérer l'exposition, mais ce n'est pas l'objectif final. Le but est plutôt de créer de bonnes bases pour prendre des décisions pertinentes sur la façon d'atténuer ces risques.

Supposons par exemple que vous souhaitiez présenter l'exposition aux risques posée par un fournisseur, vous allez dire  « Ce fournisseur expose potentiellement l'entreprise à 1,5 million d'euros de dommages potentiels, car il utilise des communications Cloud non chiffrées ». Il devient alors bien plus facile de décider de la réponse apportée. Nous en reparlerons plus loin dans cet article.

Interprétation de l'analyse quantitative des risques : concepts clés

Pour interpréter correctement les résultats, il est crucial de maîtriser les concepts essentiels de l'analyse quantitative des risques :

  • Valeur des actifs (AV) : estimation monétaire de l'importance d'un actif.
  • Facteur d'exposition (EF) : pourcentage de la valeur de l'actif susceptible d'être compromis si le risque se matérialise.
  • Taux d'occurrence annualisé (ARO) : fréquence prévisible avec laquelle un risque pourrait survenir au cours d’une année. (Ce chiffre peut être inférieur à 1 pour les risques qui se manifestent moins d'une fois par an.)

Ces éléments servent à calculer des métriques fondamentales :

  • La perte simple estimée (SLE) : la perte financière lors d'un événement unique. Cette valeur se calcule avec la formule AV x EF.
  • La perte annuelle estimée (ALE) : les pertes financières annuelles que l'entreprise subirait si le risque se concrétisait. Cette valeur se calcule avec la formule SLE x ARO.
  • ALE résiduelle : les pertes financières annuelles si le risque se concrétisait après que des mesures d'atténuation aient été appliquées. Ces mesures réduisent l'EF, l'ARO ou les deux, mais le calcul reste identique.

Quelle est la métrique à prendre en compte pour l'analyse des risques ? C'est tout simplement l'ALE. Cet indicateur vous permettra de choisir la réponse adaptée aux risques. Toutefois, ce n'est pas un chiffre magique, car étant basé sur des estimations, il porte une part d'incertitude.

Les valeurs AV, EF et ARO sont toutes des estimations. Elles sont toutefois très proches de la réalité parce qu'elles reposent sur des études minutieuses. Le niveau de confiance que vous devez avoir en ces estimations est généralement représenté par un niveau de confiance (ex. : 80 %) suivi d'une liste d'inconnues.

Le moment de vérité : la réponse aux risques

Jusqu'ici, nous avons parlé de la façon d'interpréter une évaluation quantitative des risques. Il ne faut pas oublier que votre but ultime est de décider de la réponse que vous allez apporter face à un risque.

Les réponses aux risques peuvent être classées en quatre catégories : évitement, acceptation, transfert ou atténuation.

L'évitement

Pour éviter le risque, il faut éliminer totalement l'exposition. C'est la seule réponse qui réduit vraiment le risque à zéro. En pratique, cela implique d'arrêter le processus ou le système qui présente un risque.

L'évitement est une solution radicale, rarement applicable. Par exemple, vous pouvez éliminer entièrement le risque d'hameçonnage en cessant tout échange par e-mail externe. Si vous travaillez dans la sécurité nationale, cela peut effectivement valoir la peine. Pour les autres, cela entraînerait un arrêt brutal des activités de l'entreprise.

Votre analyse des risques peut encourager cette réponse dans deux situations : l'ALE est tellement extrême qu'aucune stratégie d'atténuation ne peut la réduire à un niveau acceptable, ou bien il existe une alternative 1:1 au processus ou au système qui présente un risque, et elle réduirait l'EF ou l'ARO à zéro.

L'acceptation

Accepter le risque c'est choisir de ne rien faire. Cela semble déraisonnable de prime abord, mais c'est une option à envisager sérieusement.

Il existe une situation très simple où la meilleure option consiste à accepter le risque : c'est le cas lorsque le coût de l'atténuation est supérieur à l'ALE résiduelle (ALE après atténuation). Les dépenses nécessaires pour protéger l'entreprise dépassent alors ce qu'elle risque de perdre.

Toutefois, l'acceptation peut se justifier dans des situations plus nuancées. C'est notamment le cas lorsqu'on prend en compte le coût d'opportunité de l'atténuation du risque, qu'il soit étroitement concentré sur l'équipe Sécurité ou qu'il concerne toute l'entreprise.

Aucune équipe de sécurité ne dispose de ressources illimitées. L'acceptation est un choix raisonnable (bien qu'inconfortable) si atténuer le risque implique de détourner des ressources qui pourraient servir à corriger une exposition plus inquiétante. C'est d'autant plus vrai lorsque la stratégie d'atténuation repose sur des processus manuels et chronophages. Il convient alors de se demander si des tâches plus importantes sont mises de côté pour apporter une réponse.

Il faut aussi s'intéresser au coût d'opportunité plus global : quelles opportunités l'entreprise devrait-elle sacrifier pour atténuer ou éviter le risque ? Autrement dit, l'acceptation devient pertinente si la valeur de l'opportunité dépasse l'ALE. Supposons par exemple que vous ouvriez un centre de données à l'étranger pour fournir des services Cloud sur un nouveau marché. Cela créera de nouveaux risques de sécurité, mais en contrepartie, ce centre de données constituera un avantage certain pour l'entreprise.

Le transfert

Transférer le risque signifie en confier la charge à une autre partie prenante, généralement l'assurance cybersécurité. En général, transférer le risque à l'assurance est une option lorsque cette assurance coûte moins cher que votre ALE... mais prenez garde à plusieurs choses.

D'abord, l'assurance couvre uniquement le coût financier d'un incident de sécurité. Cependant, les incidents de sécurité engendrent aussi des coûts juridiques et une perte de réputation. Si vous avez tenu compte de ces dommages pour calculer l'ALE et que vous leur avez attribué une valeur monétaire (dans l'idéal, c'est ce qu'il faut faire), vous devrez alors ventiler ce montant pour prendre uniquement en compte les coûts financiers immédiats. Transférer le risque s'avère judicieux si le risque financier est élevé, mais que les risques juridiques et réputationnels sont faibles.

Ensuite, l'assurance va sûrement vous imposer de mettre en place des contrôles de sécurité, et elle risque de ne plus vous couvrir en cas d'incidents récurrents. Vous devez par conséquent ajouter le coût de ces contrôles au coût de l'assurance, ce qui peut changer votre calcul. Cela signifie également que le transfert du risque à l'assurance ne peut être qu'une mesure temporaire pour les risques à fort ARO.

L'atténuation

L'atténuation est la réponse la plus proactive. Elle consiste à réduire votre exposition en appliquant des contrôles de sécurité, des correctifs de vulnérabilités, des corrections en cas d'erreur de configuration, etc.

L'atténuation ne supprime pas l'exposition. La seule façon d'y parvenir est d'éviter totalement le risque. Mais l'atténuation diminue les risques, car vous prenez des mesures pour réduire l'EF, l'ARO ou les deux. Vous pouvez alors calculer une nouvelle ALE, appelée ALE résiduelle.

En général, l'atténuation est la meilleure option si la différence entre l'ALE d'origine et l'ALE résiduelle dépasse le coût de l'atténuation.

Prise en compte de l'appétence au risque (ou comment gérer les cas limites)

Certains scénarios ne s’inscrivent pas dans ces catégories de manière évidente. Cela peut se produire dans des situations ambiguës, notamment lorsque la marge entre deux options est très mince ou bien lorsque le niveau d'incertitude est très élevé. Dans ces cas limites, l'appétence au risque peut servir de boussole en offrant un cadre qui vous aidera à interpréter cette analyse.

(Si votre entreprise n'a pas encore documenté son appétence au risque, vous pouvez utiliser comme point de départ ce modèle de déclaration d'appétence au risque personnalisable.)

L'appétence au risque est le niveau de risque qu'une entreprise est prête à accepter pour atteindre ses objectifs. Une appétence au risque élevée reflète une volonté d'accepter des risques plus importants dans le but d'en tirer des bénéfices supérieurs, tandis qu'une faible appétence au risque traduit une préférence pour la prudence. L'appétence au risque a plusieurs dimensions : vous pouvez accepter un risque opérationnel élevé mais avoir une faible appétence au risque de non-conformité.

Dans chacune de ces dimensions (risques de sécurité, risque de non-conformité, risque pour l'innovation, etc.), vous devez tenir compte de plusieurs facteurs essentiels :

  • La capacité de risque est le niveau maximal de risque que l'entreprise peut supporter. Elle dépend généralement des ressources financières, des capacités opérationnelles et des contraintes réglementaires.
  • La tolérance aux risques représente l'écart acceptable par rapport aux objectifs.
  • Les seuils de risque définissent les limites acceptables au-delà desquelles un changement de stratégie est nécessaire.

Le seuil qui sépare la tolérance de la capacité, ou même les différents degrés de tolérance, vous aide à clarifier les zones d'incertitude, là où la réponse la plus appropriée au risque n'est pas immédiatement évidente.

Transformer les résultats en actions efficaces

L'évaluation quantitative des risques n'est pas une fin en soi. Elle n'a de sens que si elle débouche sur des actions efficaces. Que vous choisissiez d'éviter le risque, de l'accepter, de le transférer ou de l'atténuer, l'objectif est le même : trouver le juste équilibre entre les risques de sécurité et les priorités stratégiques de l'entreprise pour transformer les résultats obtenus en actions.