HS 29 : La méthode FAIR avec Vincent MILETTE et Nicolas-Loïc FORTIN | La cybersécurité expliquée à ma grand-mère

Description

Episode consacrée à la méthode FAIR (Factor Analysis for Information Risk) avec Vincent MILETTE, instructeur accrédité FAIR, et Nicolas Loïc, consultant stratégique, pour découvrir cette méthodologie qui traduit les risques cyber en langage financier. Au programme : pourquoi passer d'une approche qualitative (matrices rouge-orange-vert) à une approche quantitative, les six catégories de pertes, la simulation de Monte Carlo, et comment FAIR cohabite avec des référentiels comme ISO 27005 ou EBIOS RM. Un épisode essentiel pour quiconque doit défendre un budget cybersécurité devant un comité de direction.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. J'ai fait beaucoup d'épisodes en parlant de méthodologie. Certains épisodes ont été consacrés à ISO 27000, j'en ai fait un sur NIST, on a parlé aussi des bios CRM. Mais il y a une méthodologie dont je n'ai pas parlé parce que je ne suis pas un grand spécialiste de cette méthodologie. La méthodologie s'appelle FAIR et j'ai trouvé deux spécialistes de la méthodologie. J'ai invité à rejoindre ma grand-mère pour justement en parler. J'ai la chance de les accueillir dans cet épisode de la cybersécurité expliquée à ma grand-mère. C'est Vincent et Nicolas Loïc. Alors Nicolas Loïc a déjà participé à un épisode précédent. Donc pour les auditeurs les plus assidus, vous le connaissez déjà. Par contre, Vincent, c'est un nouveau. Donc Vincent, est-ce que tu veux bien te présenter ?
Speaker #1
Oui, absolument. D'abord, merci de m'accueillir. Donc, mon nom est Vincent. Je suis un... l'instructeur accrédité de la méthodologie FAIR avec le FAIR Institute, qui est basé aux États-Unis, mais qui essaie de prendre plus d'ampleur à travers le monde. Donc, ça fait environ un an que je suis instructeur, mais ça fait plus de, je vais dire, sept ou huit ans que je gravite autour de la méthodologie. Donc, comme toi, j'ai lu le livre. de Jack Jones. J'ai rencontré Jack à quelques reprises d'ailleurs. Voilà. Moi, ça fait 20 ans que je suis dans le domaine de la cybersécurité, de la GRC, donc gouvernance, risque et conformité. Mais j'ai commencé, quand je suis sorti de l'école, j'étais très technique, donc je faisais de l'administration de système. Aujourd'hui, je suis plus une personne stratégique, donc je donne des Je fais plus du service conseil à des exécutifs et à travers les organisations pour lesquelles je travaille. Voilà.
Speaker #0
D'accord, parfait. Nicolas Loïc, si tu veux bien te présenter aussi.
Speaker #2
Oui, moi, je fais du conseil stratégique. Je n'ai pas le mérite de Vincent d'être aussi calé que ça en faire. Je suis peut-être un fan fini de la métaux, mais pas autant connaissant que Vincent. Ça va être lui qui va prendre plus la place que moi. Moi, je m'y intéresse déjà depuis plusieurs années, notamment à l'ULIV. J'étais allé aux États-Unis à un événement, j'ai suivi la formation. Donc, je m'y connais quand même un peu. Je le mets un peu en pratique chez mes clients, mais jamais de façon puriste. C'est-à-dire qu'on est vraiment dans un cas d'adaptation. Je suis plus dans un cas où je m'adapte à la situation, puis je déploie généralement des principes partiels de faire dans ce que j'ai à opérer, en l'occurrence.
Speaker #0
D'accord. OK. En tout cas, merci de votre présence pour qu'on puisse justement discuter et découvrir cette méthodologie. Alors moi, personnellement, j'en ai déjà entendu un peu parler auparavant. Je fais quand même du risque un peu tous les jours et puis surtout, je travaille dans le milieu financier, donc j'ai pas mal de collègues qui utilisent d'autres modèles de risque. D'ailleurs, on va rentrer peut-être un petit peu dans le détail. plus tard. Mais ce qui m'intéressait un petit peu dans cette méthodologie, c'est qu'en cybersécurité, tôt ou tard, il faut parler d'argent et essayer de factualiser les choses, surtout quand on a parlé à un board de directeurs, parce que leur dire on a des CVSS 9.8, bon, nous, ça nous parle, mais pour beaucoup, c'est plutôt abstrait. Et ce qu'ils comprennent, par contre, c'est les chiffres et surtout l'argent, combien ça coûte. quels sont les profils de risque. En plus de ça, ils ont souvent des cultures qui sont proches du risque des risques métiers, avec des modèles de risque quantitatifs. On va peut-être parler de la méthode de Monte Carlo aussi. Donc les modèles de risque, ce n'est pas quelque chose qu'il aura inconnu. Et je trouvais que quelque chose, ce qui était assez intéressant dans cette méthode, c'est que ça réutilise finalement un certain nombre de concepts. Alors je vais peut-être dire des bêtises parce que finalement, je ne suis pas un spécialiste, je ne fais que découvrir. J'ai ma ceinture blanche à peine. Je vais peut-être passer la ceinture jaune. Et donc, je découvre un petit peu ça avec un regard un peu naïf. Ma première question, c'est déjà sur la définition du risque. C'est-à-dire, quelle est la définition précise du risque selon faire, selon la méthodologie ? Et quelle est la différence par rapport à une définition classique ? Parce que, commençons par le début, qu'est-ce qu'est un risque selon cette méthodologie ?
Speaker #1
Oui, très bonne question et c'est très important. Selon FAIR, on connaît la combinaison traditionnelle, je vais dire en cybersécurité, où on parle souvent de menaces plus vulnérabilité plus impact égal quelque chose. Bon, il y a des fois, c'est des multiplicateurs, peu importe. Ça, c'est la définition traditionnelle. La définition de FAIR, c'est plutôt qu'un... quelle est la fréquence probable d'un événement, d'une perte et de sa magnitude, de son ampleur, qu'elle pourrait avoir. Toujours probable. Donc, c'est ça l'équation de FAIR. Donc, ce n'est vraiment pas associé à la vulnérabilité ou à… à la menace qu'on voit dans la définition traditionnelle. Ce que je vous donne, c'est la définition pure de FAIR. Donc, c'est vraiment la fréquence d'une perte probable et son ampleur.
Speaker #0
D'accord. Alors, justement, sur les aspects un petit peu, on va dire plutôt métriques, qui sont pris en compte, Pourquoi finalement, dans la méthodologie, on utilise une approche qui est plutôt quantitative plutôt que qualitative ? C'est-à-dire quantitative, vraiment avec des éléments chiffrés, plutôt que qualitative, comme on l'a souvent en risque, on estime un risque qui est high, medium, low. Ce n'est pas forcément des choses qui sont hyper quantifiables. Déjà, pourquoi ? J'ai un embryon de réponse, mais j'aimerais bien avoir la voix du spécialiste et comprendre pourquoi on a une approche qui est un peu plus quantitative.
Speaker #1
Je dirais que c'est pour éliminer la subjectivité ou réduire, je me reprends, c'est réduire la subjectivité. On n'élimine jamais la subjectivité, mais c'est pour la réduire, pour arriver à avoir les réponses dont tu mentionnais tantôt, quand on va aller voir un board, eux, ils veulent savoir de manière quantitative combien ça va me coûter, combien je risque de perdre et pourquoi je le ferais. Donc, avec la méthodologie quantitative, plus en mesure d'aligner les conversations et d'apporter cette aide à la décision dont ils ont besoin.
Speaker #0
D'accord.
Speaker #2
Je vais rajouter sur la subjectivité, parce que la méthode est très intéressante, puis le livre, on parle beaucoup. La façon d'estimer l'électeur, de celui-ci, il y a quand même une approche rationnelle sur la façon d'arriver à évaluer. les différents éléments et il y a beaucoup d'insistance d'ailleurs sur la façon qu'on arrive à donner ou à essayer de trouver la bonne valeur pour essayer d'estimer. Donc oui, le subjectivité est là, mais il y a quand même une approche rationnelle et quantitative qui nous aide le plus possible à évacuer ça de la réflexion. Puis c'est très intéressant comment l'approche met ça de l'avant d'ailleurs. Puis pour la lecture, je les trouve qui étaient très insistants. mais ça a beaucoup de valeur sur la qualité des informations qu'on est capable de sortir de ça. Et on n'est plus dans des cartes de chaleur, mais on est vraiment avec des données beaucoup plus faciles à défendre aussi, puisqu'on a réussi à calibrer, je pense que c'est le terme qui est utilisé dans la littérature, calibrer correctement les données qu'on rentre dans le calcul qu'on fait.
Speaker #0
D'accord, très bien. Alors, un autre élément aussi qui est important, donc il y a beaucoup de méthodologies, on va parler un petit peu brièvement du... des différents modèles de risque, mais par exemple au niveau ORM, donc en termes opérationnels, enfin pour tout ce qui est operational risk management, on parle souvent d'ORE, c'est-à-dire les operational risk events. Dans la méthode O-Fair, il y a ce qu'on appelle les lost events. Donc est-ce que vous pourriez un petit peu expliquer ce que c'est que cet événement, à quoi il sert et pourquoi finalement c'est un peu un élément cardinal de la méthodologie ?
Speaker #1
L'événement de perte, en fait, souvent on va parler de phishing ou de vulnérabilité. Tu as mentionné la vulnérabilité tantôt. Une vulnérabilité, ce n'est pas une perte tant et aussi longtemps qu'elle n'a pas été abusée ou utilisée. Donc, c'est cet événement-là qu'on veut quantifier. Et c'est cet événement qu'on regarde. J'espère que j'ai bien compris la question.
Speaker #0
C'est tout à fait ça. Pour bien comprendre, la méthodologie se base sur des événements passés. parce que tu viens de dire, par exemple, la vulnérabilité, tant qu'elle n'est pas exploitée, il n'y a pas de perte. Effectivement, tu as raison. Ça reste qu'un risque qui n'a pas été réalisé. En revanche, c'est-à-dire que la méthodologie se base principalement sur des événements passés pour essayer de modéliser le risque qui est pris. Si je résume ce que tu viens de dire.
Speaker #1
Ça peut être des événements passés, oui, mais ça pourrait être des événements qui ne se sont jamais produits. C'est très possible. Pensons entre autres au modèle d'intelligence artificielle. On voit dans les nouvelles maintenant des événements qui se produisent qu'il y a cinq ans, on n'aurait jamais imaginé. Aujourd'hui, un analyste qui utilise la méthodologie FAIR peut s'inspirer de ces événements-là. Par contre, rien n'empêche un analyste aujourd'hui de réfléchir à quels autres types de pertes pouvons-nous avoir à cause de l'intelligence artificielle, entre autres. Mais je pourrais prendre l'informatique quantique comme exemple. C'est applicable aussi.
Speaker #0
D'accord, ok. Parfait. Donc ça, c'est un petit peu, on va dire, l'événement de base qui permet quand même de… de démarrer la méthodologie et le process. Alors, il y a deux autres facteurs aussi qui sont importants que j'ai repérés. Donc, ce serait bien peut-être d'expliquer un peu la différence. C'est la différence entre le loss event frequency et le loss magnitude. Donc, bon, un petit peu déjà, rien qu'avec les définitions, en l'entendant, on comprend quelle est la différence entre les deux, mais à quoi ça correspond exactement dans la méthodologie et comment on les intègre.
Speaker #1
Oui, donc le loss event frequency représente le nombre de fois qu'un événement de perte va se produire durant une certaine période de temps. Normalement, on va utiliser une année. C'est la fréquence la plus courante, mais ça pourrait être trimestriel.
Speaker #0
Et alors, du coup, si on donne un exemple concret... parce que généralement dans les entreprises il y a toujours la perte des laptops, ça c'est un grand classique, donc on perd régulièrement, on sait que dans une année on va perdre peut-être 1 ou 2% du parc parce qu'ils sont volés, perdus ou autres, donc ça on sera plutôt sur la fréquence, puis la magnitude dans ce cas-là ce sera plutôt simplement le prix du laptop. heureusement les laptops sont sécurisés avec des disques chiffrés qui fait qu'on ne peut pas les exploiter. Donc si je me repositionne un petit peu dans la méthodologie, c'est ce type d'événements que tu vas essayer de quantifier. C'est bien ça.
Speaker #1
Oui et non. Le gros problème que je vois dans ce que tu viens de dire, l'exemple que tu nous donnes est très bien parce que c'est un exemple courant qu'on voit. L'événement de perte, c'est la perte du laptop. Je suis d'accord. Par contre, le scénario et la portée de ton scénario n'ont pas identifié l'actif réel que tu prévois perdre. Tu as mentionné le coût du laptop. Donc, il y a l'actif physique et il y a l'actif intangible, les données qui sont sur ce laptop. Ce n'est pas la même analyse, ce n'est pas le même scénario. Et évidemment, n'a pas le même coût. Si tu perds ton ordinateur personnel, ça n'a pas le même coût que si tu perds ton ordinateur de travail à cause des données. Pourtant, c'est peut-être le même modèle.
Speaker #0
D'accord.
Speaker #1
Donc, elle est là la différence. Il faut faire attention à, je pense en français, le bon mot, c'est la portée du scénario que l'on analyse. D'accord. Donc, l'événement de perte est important, oui. mais il faut regarder le scénario dans son entièreté pour pouvoir arriver à une réponse défendable et justifiable.
Speaker #0
D'accord. Donc, en réalité, quand tu parles d'une perte avec cette méthodologie, tu vas évaluer ce qui est entre guillemets tangible et intangible, donc la perte matérielle en tant que telle, intangible et donnée, éventuellement la perte… de rendement, entre guillemets, de service qui a été, puisque la personne ne pourra peut-être pas travailler pendant une journée. Et ça veut dire aussi que tu vas essayer de prendre en compte différents, enfin, essayer d'avoir les scénarios les plus fins possibles pour évaluer finalement le mieux possible l'impact pour l'entreprise, si je résume un petit peu ce qui vient d'être dit. D'accord.
Speaker #1
Parce qu'encore une fois, le scénario Il contient plusieurs informations. Il contient l'actif visé, l'acteur. Il contient la fréquence à laquelle tu crois que l'événement va se produire et son impact.
Speaker #0
D'accord.
Speaker #1
Donc, il y a plusieurs éléments à regarder.
Speaker #0
D'accord. Et juste en tant que praticien de la méthodologie, comment tu commences finalement ? Si tu dois implémenter cette méthodologie, donc là, on a fait un petit peu l'introduction de la méthode O. Qu'est-ce que tu vas faire en premier ? Tu vas demander, tu vas essayer de récupérer des statistiques. comment tu vas... Quelles sont tes questions ? Comment tu vas cadrer finalement ta mission pour essayer de démarrer la méthodologie ?
Speaker #1
La première étape, c'est vraiment la portée, donc le scope, en bon anglais, le scoping du scénario qu'on veut évaluer. Si je reviens à ton exemple de laptop perdu, tu disais qu'il y avait environ 1 à 2 % de laptops perdus dans chaque organisation, par exemple. Donc, tu as déjà la donnée en tête. Par contre, ton scénario, c'est là qu'il manquait un peu de détail. C'est-à-dire que tu veux évaluer la perte potentielle de, je crois, des données qui sont sur l'ordinateur suite à un employé qui est peut-être malveillant ou inattentif. La plupart du temps, je pense que c'est plus inattentif si on perd son ordinateur. je ne sais pas moi, en allant travailler dans un café ou quelque chose comme ça. Ce n'est pas nécessairement malveillant plus qu'insouciant peut-être. Donc, il faut vraiment scoper le scénario pour pouvoir, après ça, poser les bonnes questions. Le 1 % de laptops perdus, est-ce qu'il est toujours associé à ce type d'événement-là ? Et quel est le résultat de la perte lors de ces événements-là ? va devenir un élément clé. Donc, la première étape, c'est vraiment le scoping avant d'aller chercher les données. Ensuite, pour la cueillette de données, il y a plusieurs sources d'informations, il y a plusieurs endroits où on peut regarder ça. On pourra rentrer peut-être dans ce détail-là plus tard. Une fois qu'on a les données, là, on peut faire l'analyse en tant que telle ou la simulation Monte Carlo dont tu parlais tantôt. Une fois qu'on a le résultat de la simulation, on va vouloir interpréter le résultat de la simulation. Il ne faut pas juste copier un graphique. Il faut regarder les données que ça nous donne. Et finalement, je dirais la présentation de ces données interprétées à notre auditoire cible. Donc, est-ce que c'est un board ? est-ce que c'est euh des gestionnaires d'affaires, etc.
Speaker #0
D'accord. Parfait. Alors, si j'ai bien compris, il y a six catégories de pertes qui sont dans la méthode O. Est-ce que tu pourrais justement nous expliquer un peu à quoi ça correspond, ces catégories, à quoi ça sert ? Je pense que ça doit correspondre plus ou moins à une taxonomie peut-être, mais est-ce que tu peux nous éclairer sur cet aspect ? Oui, absolument. Donc, en tout, il y a six catégories ou types de pertes. La méthodologie,
Speaker #1
je pense qu'il parle de pertes directes ou indirectes. Ça n'a pas vraiment d'importance, je dirais, dans l'application. Il faut regarder chaque type de perte, à savoir si dans le scénario que l'on regarde, si ces pertes sont possibles. Donc, la première, c'est la perte de productivité. Tu mentionnais tantôt dans ton exemple, quelqu'un perd son laptop, il ne pourra pas travailler le temps qu'il n'aura pas obtenu un remplacement. Est-ce que ça prend 24 heures, une semaine ? Donc, c'est le type d'informations qu'on va vouloir identifier. Ensuite, il y a la réponse. C'est une catégorie qui permet d'identifier le coût associé. Donc, c'est une chose de remplacer l'actif, mais la personne qui a perdu son laptop doit appeler probablement le service technique. Il va peut-être avoir des recherches à faire. Il va peut-être avoir des personnes à informer. Comment ces personnes doivent être informées ? Est-ce que c'est des courriels ou c'est des lettres par la poste ? Il y a un coût associé à ces communications potentiellement. Donc, le coût de réponse doit être identifié. Ensuite, je mentionnais le coût de remplacement de l'actif. Si c'est un actif physique, c'est peut-être un peu plus facile à quantifier. Si c'est intangible, là, il faut aller chercher peut-être un peu plus d'informations. Ensuite, les coûts légaux, il y a peut-être des contraventions des coûts légaux qui vont être associés. Donc, ça, c'est la quatrième forme de perte. Et les deux dernières, c'est la réputation et l'avantage compétitif. Donc, on les appelle plus indirects, ces deux types de pertes-là. Mais elles sont là, puis on peut les regarder.
Speaker #0
D'accord, OK. Alors oui, ça semble… Alors, ce qui est marrant quand même, parce que ça semble juste être du bon sens finalement, parce que… tous les éléments dont tu parles effectivement quelqu'un perd son apport ça nécessite d'avoir des gens qui vont s'en occuper donc mobiliser des ressources donc les pertes effectivement s'il y avait des données qu'il y avait à l'intérieur on les a perdues ça peut avoir une certaine valeur normalement c'est quand même mitigé par tout un ensemble de choses mais ça peut arriver les coûts de réputation ça me fait ça me fait rapporteurs Ça me rappelle une anecdote un peu avant les Jeux Olympiques de Paris, où un des responsables de la sécurité avait perdu son laptop dans le train avec les plans de sécurité de l'organisation des JO. Donc là, effectivement, en termes de réputation, et même de sécurité directement, il y avait un sacré impact. C'est vrai qu'on n'y pense pas souvent à évaluer ces coûts, mais ils existent pourtant, et parfois ça peut être assez coûteux. Alors, comment on fait juste, parce que parfois il manque des données, on n'a pas forcément toutes les données, comment on fait pour faire une estimation un peu du minimum, du maximum, de la probabilité ? Peut-être éventuellement aussi d'autres éléments comme les quart-types, est-ce que c'est très volatile ou pas ? Comment on peut justement traiter cet aspect-là quand on manque de données historiques ? Comment on peut traiter cet aspect dans la méthodologie ?
Speaker #1
La première approche que tu as, tout le monde utilise, je crois, peut-être même sans s'en rendre compte, c'est les informations publiques que l'on retrouve dans les différents rapports, les différents sites Internet que l'on consulte, les magazines, peu importe les sources. Donc, à tort ou à raison, ces informations peuvent être utiles dépendamment de la source, dépendamment de... de la méthodologie qui a été utilisée pour produire ces informations. Donc, c'est très important de regarder la méthode et la provenance de la donnée. Mais je dirais que c'est quand même la plus fréquente. La deuxième, ce serait d'interroger des experts, donc d'aller voir des gens qui ont peut-être une connaissance plus poussée sur le sujet ou sur le domaine qui nous intéresse. Et ça ne veut pas nécessairement dire d'aller voir des experts Loin de nous, quand je dis ça, je fais référence en fait aux experts à l'intérieur de nos organisations. On a des gens qui manipulent ou gèrent des systèmes informatiques ou des environnements qui produisent des données auxquelles on n'a peut-être pas accès quotidiennement, mais auxquelles ces experts peuvent nous donner peut-être une visibilité et peut-être que les questions qu'on va leur poser, Bien qu'ils n'ont pas la donnée maintenant, peut-être qu'ils vont être en mesure de la produire. Donc, je vous dirais d'aller voir les experts dans vos organisations. Puis, à la dernière, dernière étape que bien des gens sous-estiment, c'est tout simplement de se poser la question nous-mêmes et de porter un jugement. J'ai fait, pendant une des formations que je donnais sur la certification FAIR, je prenais un exemple, c'était l'estimation du nombre, le nombre de pertes humaines qu'il y avait en une année causées par des attaques de requins. Aucune personne dans le cours est un expert en espèces marines. En attaques de requins. Ou d'attaque de requins. Et je disais à tous les étudiants, vous n'avez pas le droit d'utiliser votre ordinateur, pas le droit d'utiliser votre téléphone. On ne fait que discuter tous ensemble. Comment arriver à un estimé ? Et là, on avait le début d'un débat sur une attaque de requins. Où ça se produit, une attaque de requins ? À la plage, dans des pays de tel continent, etc. On en entend parler des gens là-bas.
Speaker #3
Vidéo sur Youtube messieurs dames qui existent, vous tapez vidéo requin Algérie Dans tous les pays du monde, lorsqu'un requin arrive aux abords d'une plage Les gens sortent de l'eau par réflexe de peur aquatique Cependant il subsiste un pays répondant au doux nom d'Algérie Où vous pouvez voir dans cette vidéo un requin qui arrive aux abords d'une plage algérienne Et il y a un algérien qui est en train de bronzer, qui voit le requin, qui regarde tout Les plagistes algériens qui leur disent Venez dans l'eau, il y a un requin ! Venez ! Ils rentrent dans l'eau, ils sortent, le requin, même le requin, il est choqué. C'est quoi ce bordel ? On n'est pas en Sardaigne, qu'est-ce que c'est que ce bordel ? Ouais, ils m'avaient dit Sardaigne. Lâchez-moi la joie, lâchez-moi la joie
Speaker #1
Ausha droite, donc on commence à sortir des informations que les gens vont débattre et certaines personnes vont donner le commentaire, oui, je suis d'accord, non, je ne suis pas d'accord avec ce que tu viens de dire. Donc, il y a toute une démarche. qui est faite et malgré le fait qu'on n'est pas des experts, on peut tirer des leçons, on peut tirer des résultats qui sont utiles. Ils ne seront pas parfaits, mais ils seront utiles à faire les calculs de la simulation. Et après l'exercice, Là, je permettais aux gens de faire une recherche. Ça existe des sites qui recensent les attaques de requins dans le monde. Et très rapidement, on trouve la réponse. Et on était en mesure de voir que notre réponse était très proche de la réalité, même si on n'est pas des experts en la matière. Et je faisais d'autres exercices comme ça qui ne sont pas reliés à la cybersécurité, qui ne sont pas... qui n'était pas relié à l'expertise des gens dans la salle. Et je reviens à ce que Nicolas Loïc disait tantôt sur la calibration. On a tendance à se sous-estimer, nous, en tant qu'êtres humains. Évidemment, chaque être humain peut avoir des biais cognitifs, des préconceptions, des jugements, etc. Donc, c'est important de débattre. C'est important d'amener son apport à la conversation, mais la méthodologie est faite pour avoir cette incertitude. Donc, il ne faut pas s'attarder trop longtemps sur ces débats. Il faut simplement se calibrer tout un chacun pour dire à quelqu'un, peut-être que tu sous-estimes ou tu surestimes tel élément. Pour telle raison, est-ce qu'on est majoritaire à poursuivre la conversation malgré cela ? Et c'est là qu'un analyste en risque, je crois, a toute son importance, car il doit jouer le rôle de modérateur dans ses débats. C'est souvent une des problématiques que l'on voit lorsqu'on fait des analyses. C'est les débats interminables. Ce sont les personnes qui disent, parce que tu n'as pas l'information X, le résultat ne peut pas être valide, ce qui n'est pas le cas. L'objectif de la méthodologie n'est pas d'être précis, c'est d'être, en anglais, ils disent accurate, donc c'est d'être dans le bon, je vais dire, dans la bonne cible. Je pense que l'exemple qui est utilisé dans le livre à plusieurs reprises, c'est le golf. Un bon joueur de golf, il ne fera pas un swing avec un trou d'un coup.
Speaker #0
C'est très rare un coup d'un coup. Donc, l'objectif, ce n'est pas d'arriver à faire ça, c'est de réduire le nombre de coups pour arriver à mettre la balle dans le trou. Donc, c'est vraiment de se rapprocher le plus possible du drapeau. Ce n'est pas de l'atteindre exactement à chaque fois. Les méthodologies quantitatives sont probabilistiques. Donc, ce sont des probabilités. C'est comme la météo. Certains diront, oui, mais la météo, 50% du temps, la météo, ils se trompent.
Speaker #1
Oh, tu t'y vas de cul avant
Speaker #2
Putain, là, là, mate un peu Un autochtone en train de pelter Place-toi à côté,
Speaker #1
mon chéri, je vais prendre une photo
Speaker #2
Bah c'là, qu'est-ce que vous faites les marrons ?
Speaker #1
Oh la vache T'as vu son accent de demeurer ? C'est trop marrant Nous sommes des touristes On vient de Paris Bah, il manquait plus rien que ça Deux mots, t'as dit « Tahouin français »
Speaker #3
Oh boy
Speaker #2
Oh, mais qu'est-ce qu'il dit ? Qu'est-ce qu'il dit ?
Speaker #1
Nous sommes venus visiter votre magnifique pays pour découvrir les joies de l'hiver canadien. Faire du traîneau à chien, dormir dans des igloos, faire du patin sur les trottoirs, le total, quoi. Ils sont où, les igloos ? Ils sont où, les igloos ? Attends une minute, attends une minute, là. Vous avez décidé de passer vos vacances à venir vous geler le cul au Québec. Hé, ça va pas dans le cocon, les bonzons Vous trouvez ça cul au pays exotique, nos hivers ? On va aller faire du traîneau à chien, on va y dormir dans les igloos. Attendez d'avoir les pieds trempés dans le gadou et le foulard plein de mordres. Il n'y a rien de plaisant à passer une demi-heure, toi, et mater à déterrer son char. Puis quand t'es fini, tu te rends compte que t'as pas déterré le pont. Ici, là, sais-tu pourquoi nos balles ne sont comme trois étages ? Parce qu'on n'a pas encore fini de ramasser la neige l'année passée.
Speaker #0
Leur objectif, c'est d'améliorer leur probabilité, leur prédiction de la météo. C'est la même chose avec les évaluations de risque. C'est d'arriver avec le temps à des prévisions, à des probabilités qui sont plus proches de la réalité.
Speaker #3
D'accord. Pour résumer, l'idée, c'est plutôt d'avoir les grandes tendances des résultats, pas forcément d'avoir un résultat précis à la troisième décimale après la virgule, mais plutôt d'avoir quelque chose qui est une tendance générale. qui soit vrai. Nicolas Loïc, tu voulais peut-être rajouter quelque chose ?
Speaker #2
Oui, je vais rajouter. C'est une approche itérative. Le premier tour qu'on va faire, il est sûr que les valeurs qu'on va y mettre vont être beaucoup plus loin de la réalité. Et à la deuxième année ou à la troisième année qu'on va rouler ça, on va avoir acquis de l'expérience et les données qui nous manquent pour nous amener plus loin. Donc, c'est important de ne pas fixer sur justement la... précision des données, mais se fixer sur une portée qui est exacte, une cible, je pense que c'est le terme qui est utilisé, qui est le plus proche possible, et de se donner la marge de manœuvre, de dire « ok, c'est correct de pas être trop, d'être super précis, parce que le deuxième cycle va nous amener plus loin et va nous amener de façon beaucoup plus précise où on veut aller, et nous aider à prendre des décisions éclairées. Donc, c'est un peu comme Vincent disait, on voit des débats interminables. Parce qu'il y a des gens qui vont insister sur des choses qui, à terme, n'ont pas tant de valeur que ça, surtout sur le premier cycle qu'on fait. Les suivants, après, on va en gagner de l'expérience, mais il faut vraiment évacuer ça de la discussion en partant d'être très précis.
Speaker #3
D'accord. Donc, le conseil, c'est dégrossir la pierre, mais sans forcément entrer dans le détail, puisque ça n'a pas forcément d'intérêt, puisque le but n'est pas d'avoir une précision absolue, mais plutôt d'avoir une tendance globale. Il y a quelque chose auquel tu as fait référence plusieurs fois, c'est la simulation, particulièrement la méthode de Monte Carlo. Pour les non-initiés, la méthode de Monte Carlo s'est très utilisée en finance pour faire de la modélisation de risques. On imagine plein de scénarios et on les simule justement pour en tirer des conclusions. Comment, justement, la méthode de Monte-Carlo, la simulation de Monte-Carlo est utilisée dans la méthode d'eau ? Comment vous l'utilisez ? Comment ça se passe techniquement ?
Speaker #0
De nos jours, il existe des outils qui vont faire le calcul. C'est beaucoup plus facile maintenant, ou il y a plus d'outils maintenant qui le font. À l'époque, lors de mes premiers belbussiments avec la méthodologie, on utilisait un simple chiffrier Excel, qui selon moi est encore une bonne façon de commencer à utiliser la méthodologie. Donc, il y a des possibilités de faire ça dans Excel. Dans le fond, la simulation Monte Carlo... Si je peux la simplifier très rapidement, c'est tout simplement une façon de simuler des milliers de scénarios possibles avec les données qu'on a mises à l'intérieur de chacun des facteurs de la méthodologie. On n'a pas parlé de la méthodologie ou de, moi j'appelle ça l'arbre de la méthodologie.
Speaker #3
Effectivement. On va peut-être remettre les choses dans l'ordre et commencer par là. parce que c'est vrai que je... J'étais impatient de parler de Monte Carlo et de mathématiques, mais on va faire un petit peu machine arrière. Et si tu veux bien, effectivement, nous, d'abord, revenir aux éléments de base de la méthodologie et nous expliquer cette partie-là qui est super importante, effectivement.
Speaker #0
Absolument. En fait, on a parlé des éléments individuels. Donc, on a parlé de la fréquence des pertes, donc le LEF, le Lost Event Frequency. On a parlé de Lost Magnitude. complet. l'ampleur de la perte. Donc, ça, c'est le premier, moi, j'appelle ça le premier niveau. On est ensuite très rapidement allé au deuxième niveau où là, on a parlé de la fréquence des événements de menaces. Donc, on a parlé de la perte des portables. C'est quoi la menace dans ce scénario-là ? La vulnérabilité ou la susceptibilité maintenant est le bon terme, pardon. Donc, la susceptibilité que cet événement ou que la menace se produise, c'est toujours du côté du « lost event frequency » . Donc, j'ai mon arbre en tête, puis en fait, je regarde au-dessus de mon écran parce que j'ai le fameux tableau devant les yeux. Ça, c'est les deux facteurs sous « lost event frequency » . En dessous de « loss magnitude » ou de l'ampleur de la perte, j'ai mes facteurs primaires, mes facteurs secondaires qu'on a parlé tantôt, donc la réputation, le remplacement, la productivité, etc. Je vous dirais que le côté droit, c'est le plus simple. Là où on a tendance à se perdre, c'est vraiment le côté gauche. Donc, le côté gauche, on peut encore une fois descendre d'un niveau et avoir d'autres facteurs qui sont plus détaillés. Je ne vais pas rentrer dans le détail de chacun des facteurs. J'invite ton auditoire, au besoin, à aller chercher l'information sur le site de FAIRS. C'est un poster qui est très facile à trouver. En tant qu'instructeur, je recommande toujours à mes étudiants de rester au premier ou au deuxième niveau. La complexité ou la difficulté d'aller au troisième niveau, je crois... À ce stade-ci, ou en tout cas dans des analyses peut-être plus manuelles, donc qui n'utilisent pas un outil technologique pour y arriver, je crois que c'est suffisant d'avoir des ateliers avec nos interlocuteurs, avec nos intervenants, et d'obtenir les informations voulues pour les facteurs de premier et deuxième niveau. Normalement, on commence au premier niveau. Si on n'a pas les données ou les informations nécessaires pour le premier niveau, là, on descend au deuxième niveau. Mais je ne recommande pas d'aller au troisième niveau, tout simplement pour ne pas compliquer les choses. Je pense que ce n'est pas nécessaire dans la plupart des cas.
Speaker #3
Nicolas Loïc ?
Speaker #2
Oui, je vais rajouter, surtout la partie de gauche, à réflexe, si on arrive à d'autres méthodologies, on va tendance à descendre très, très bas, très rapidement, parce que par réflexe, on le fait. Et c'est très mal parce que le faire n'a pas une approche de la même façon qu'on a dans les autres. Donc, de descendre très bas n'apporte pas une valeur si grande que ça, même si ça nous donne un certain plaisir intellectuel d'y aller. L'arrêter, on se perd, on va… Détourner l'analyse sur des choses qui n'apportent pas tant de valeur et c'est très couteux en temps. Plus on descend dans la méthodologie, surtout quand c'est manuel, quand c'est fait comme ça, quand on débute. Donc, c'est vraiment de rester. Puis, mon instructeur aussi m'avait mentionné, rester au premier niveau, descendre au deuxième, surtout du côté gauche parce que là, on a un peu plus de matière. Mais, n'aller jamais, jamais, jamais plus loin que ça, à moins d'en être très expérimenté. et de pratiquer très régulièrement la méthodologie, sinon, il n'y allait pas.
Speaker #0
Absolument. Je crois que ça prend une maturité avancée pour aller au dernier niveau de la méthodologie. Parce qu'il ne faut pas oublier que pour chacun de ces facteurs, si on revient à la simulation Monte Carlo, pour chacun des facteurs, vous devez trouver le minimum, le maximum et la valeur probable. Pour chaque facteur, il y a trois données qu'il faut identifier et estimer pour pouvoir faire la simulation Monte Carlo.
Speaker #3
Très bien. Alors, juste si on continue dans le déroulé de la méthodologie. Donc, vous avez parlé de cet arbre avec les deux branches, la partie gauche et la partie de droite. Donc, avec un certain nombre de... Comment dire... de prudence à avoir au niveau de la profondeur de l'analyse. Et ensuite, comment on continue dans la méthodologie ? C'est quoi l'étape suivante ?
Speaker #0
Je disais tantôt qu'une fois qu'on a roulé la simulation, il faut interpréter les données. Donc, on va obtenir une distribution. Et on va vouloir regarder, par exemple, la médiane. On va vouloir peut-être regarder le 5 %, le 90, 95 %. Donc, il faut interpréter les données que ça nous donne. On va peut-être vouloir ajuster nos données d'entrée. Donc, pour chacun des facteurs, possiblement qu'on va vouloir modifier le minimum, le maximum, etc. quel impact ça aurait ou que cela aura sur la distribution. Donc, c'est le travail d'analyse qui est nécessaire après la simulation.
Speaker #3
D'accord. Donc là, le but du jeu, c'est plutôt exploiter les données pour dire, voilà, avec un niveau de confiance de 95 %, par exemple, je sais que mon profil de risque ne dépassera pas tel montant. C'est un peu ça l'idée. Je pense que surtout dans le but d'aller présenter ce type d'informations au board pour avoir une... pour donner une vision du risque plus quantitative et plus factuel d'un point de vue financier.
Speaker #0
Exact. Je reviens à ton exemple de perte de laptop, où on pourrait prendre le phishing comme exemple. Ce sont des événements, ce ne sont pas des événements de perte, mais ce sont des événements qui surviennent. Donc, Je vais prendre le phishing parce que je pense que je peux compléter le tableau quand même assez rapidement. Quand je dis tableau, c'est les différents facteurs. Chaque organisation reçoit des courriels. On pourrait demander combien de courriels par jour ou par année est-ce que l'on reçoit sur nos systèmes de courrier électronique. Sur ce nombre de courriels, combien sont des... attaques de phishing. On peut facilement trouver des sources sur Internet qui vont vous dire que 99% des courriels qui sont traités par les serveurs de courriel sont des courriels frauduleux ou des courriels d'hameçonnage. Donc, on a déjà deux informations ou deux données que l'on peut essayer de retrouver. Évidemment, on peut aller voir notre… technicien informatique pour lui demander est-ce que tu as ces informations ? Peut-être qu'il les aura, peut-être qu'il ne les aura pas. S'il ne les a pas, ce n'est pas grave. On peut encore là estimer de d'autres façons avec d'autres sources. Ensuite, évidemment, on veut savoir combien de courriels d'hameçonnage vont réussir à pénétrer nos défenses. Notre système de courrier électronique va probablement éliminer, encore là, 99% des courriels. Certains vont arriver dans la boîte courriel de nos utilisateurs. Dans la plupart des entreprises, on fait de la sensibilisation pour ne pas que nos utilisateurs se fassent avoir. Combien de ces utilisateurs-là vont effectivement cliquer sur le lien d'hameçonnage et finalement, combien de ces utilisateurs vont fournir des informations ? C'est une chose de cliquer, c'est une autre chose de fournir l'information. Déjà là, je vous ai identifié plusieurs données qu'on peut aller chercher pour ce scénario de perte de données causée par un hameçonnage. Il serait important d'identifier quel type de données qu'on pense perdre. et finalement arriver à quelle fréquence que l'événement va avoir. Donc, je résume. Admettons qu'on estime le nombre d'événements par année à deux événements par année de perte. Donc, de perte. Ce n'est pas juste des courriels qui passent les mailles de notre serveur de courriel et de la protection. C'est vraiment quelqu'un a… est tombé dans le panneau d'un courrier d'hameçonnage et il y a eu une perte associée. Peu importe la perte. L'impact, évidemment, c'est le coût associé à cette perte-là. Donc, admettons, on dit 500 000 $ ou 1 million de dollars pour ces deux événements-là. Donc, la perte annualisée d'un phishing, donc deux événements à 1 million de dollars. c'est 2 millions annualisés. C'est aussi simple que ça. Mais il faut se donner, puisque c'est des probabilités, puisque la méthodologie nous demande le minimum, maximum et le plus probable, en réalité, on pourrait, dans la méthodologie, on va devoir rentrer beaucoup plus d'informations. C'est-à-dire qu'on pourrait dire, j'ai un minimum d'un événement par année. J'ai un maximum peut-être de cinq événements par année, mais le plus probable, c'est deux événements par année. Même chose au niveau de la perte monétaire. On va prendre chacun des facteurs ou chacune des formes de perte, réputation, coût de remplacement, etc., etc. Et on va faire encore le minimum, maximum et le plus probable pour arriver à des résultats dans la simulation. qui vont nous permettre d'arriver à cette perte annualisée.
Speaker #3
Très bien. Parfait. En tout cas, oui, c'était une explication très claire. Alors maintenant, je me repositionne juste deux minutes dans la peau d'un ciseau. J'ai déjà pas mal de contrôles en place. J'ai implémenté du NIS SFV2. J'ai déjà une méthodologie d'évaluation du risque qui est... compatible avec l'ISO 27005, comment je peux rendre compatible cette approche, cette méthodologie avec ce que j'ai déjà ? Je pense qu'il y a déjà un point commun, c'est que tu as défini des scénarios. Souvent, dans les méthodologies de risque, que ce soit l'ISO 27005 ou alors EBIO CRM aussi, elles sont entre guillemets compatibles l'une de l'autre, mais il y a souvent des scénarios à définir. Donc, c'est déjà un point commun, mais selon toi, quels sont les points communs ? Comment on peut unifier ces deux approches ?
Speaker #0
Dans le fond, la méthodologie FAIR s'intègre à l'intérieur des cadres existants ISO, NIST. Donc, ce n'est pas incompatible. Au contraire, c'est complémentaire. et une méthodologie qui serait un... place dans une organisation aujourd'hui avec des, je pense, Nicolas Loé qui t'a parlé de cartes de chaleur. Je pense que c'est la première fois que j'utilise le terme français. Les cartes de chaleur peuvent être remplacées par la méthodologie FAIR quand même assez simplement. Je pense que c'est plus une question de culture d'entreprise aujourd'hui qui fait que ça n'arrive pas. Pour moi, la méthodologie FAIR, elle est complémentaire. Tu as parlé de l'impact, en fait, qu'on a déjà des contrôles en place. Et tout de suite, ça m'a fait penser à un débat que j'ai très fréquemment avec des experts en risque. Dans les méthodologies de risque standard, on parle souvent de risque inhérent et de risque résiduel. La méthodologie FAIR n'utilise pas ce langage et ne prend pas en considération la définition de risque inhérent tel que la plupart des méthodologies qu'on connaît. C'est-à-dire que souvent, on va dire le risque inhérent, c'est le risque s'il n'y avait aucun contrôle en place. Et là, il y a toutes sortes de débats qui surviennent entre est-ce qu'on… Est-ce qu'on évalue le risque inhérent, le risque actuel ou le risque résiduel ? Donc, il y a toutes sortes de lignes de pensée par rapport à la méthodologie FAIR et qu'est-ce qu'elle fait ou qu'est-ce qu'elle devrait faire. Mais honnêtement, si tu lis le livre, je pense qu'il y a un chapitre sur le sujet d'inérant versus résiduel versus ce que FAIR tente de faire. Je pense que c'est un débat interminable, en fait. FAIR prend en compte les contrôles et va évaluer, avec les contrôles en place, c'est là que tes données sont pertinentes. Quand tu évalues ton risque, tantôt on parlait de phishing, ton serveur de courriel, il est présent. Ton serveur de courriel a plusieurs contrôles en place pour éliminer le phishing, qui fait que lorsque tu demandes à ton administrateur système ou à la personne en charge du courrier électronique, tu es en mesure de demander combien de personnes dans l'organisation ont cliqué sur un lien. dans un courriel d'hameçonnage. Donc, les contrôles sont là. Le nombre d'événements, lui, que les contrôles soient là ou pas, l'événement se produit. Donc, si tu es en mesure d'arriver avec l'information, j'ai un nombre précis ou un nombre d'événements annuellement que tu dises que tu évalues le risque inhérent ou actuel. pas d'importance, mais c'est la première chose qui m'est venue en tête lorsque tu as parlé de contrôle en place. Encore une fois, la méthodologie FAIR n'est pas... En fait, il y a plusieurs éléments qui ont été créés à travers les années qui gravitent autour de la méthodologie FAIR, mais qui ne sont pas la méthodologie FAIR. Donc, si vous allez sur le site du FAIR Institute, vous allez voir FAIR CAM, FAIR MAN et autres. Et autres documents, il y a des white papers et autres. Ce n'est pas obligatoire d'utiliser FairCam et FairMAM. Donc, FairCam, c'est relié au contrôle. Donc, c'est comme une structure ou un cadre de référence sur les contrôles et comment ces contrôles sont appliqués ou comment ils impactent ou affectent un événement, un risque. Donc, c'est sûr que ça peut faciliter le travail de l'analyste s'il utilise FairCam. Et FairMAM est un peu dans le même principe, mais du côté de la matérialité du risque. Tout ça dans le but de créer un cadre de gestion de risque complet. Si quelqu'un n'a pas la méthodologie, par exemple, d'ISO en place, ils pourraient utiliser FairCam, FairMem. et FAIR ensemble pour développer sa méthodologie complète. Ce sont des blocs, c'est modulaire en fait, donc ça peut faciliter le travail d'implantation dans une organisation.
Speaker #3
Ok. Alors je te confirme qu'effectivement, il peut y avoir des débats infinis sur risque inhérent, risque résiduel, qualité du contrôle. Est-ce qu'on prend le worst case ou pas ? Est-ce que les contrôles sombrero sont efficaces jusqu'à quel niveau ? Et ainsi de suite. Donc oui, effectivement, c'est des discussions que je pense tous les gens qui gèrent le risque ont et continueront d'avoir, c'est assez sûr, parce que ça fait partie effectivement des discussions immuables au traitement des risques. Nicolas-Loi, tu voulais rajouter quelque chose ?
Speaker #2
Oui, puis je trouve ça intéressant cette forme de débat. Vincent a vraiment bien couvert plus vers la fin de son propos. Pour l'avoir vu dans des très grandes organisations, FAIR va vivre de façon concurrente avec d'autres méthodologies de risque, tout dépendant des secteurs de l'entreprise ou d'autres choses, mais ils vivent bien ensemble dans un écran, un écosystème, et ils vont s'alimenter mutuellement. L'exemple que j'ai le plus récent, c'est du EBIOS et du FAIR dans la même organisation, et les deux sont utilisés pour des scénarios différents, pour des usages différents, et finissent à terme par se réalimenter l'un et l'autre, puisque le... public qui utilise un et pas le même public que l'autre et dans ce cas-ci dans l'organisation du Jeux d'Abbé comme exemple, c'est plus le côté financier qui était très intéressant du côté de FAIR quand EBIAS et RM étaient utilisés exclusivement du côté de TI et était vraiment très cloisonné à cet univers-là quand que l'autre avait une portée organisationnelle et encore là quand on propose ces éléments-là dans la gestion des risques organisationnels. Ça devient intéressant de s'arrimer justement à beaucoup plus haut niveau et à mon sens, FAIR est beaucoup plus capable de parler avec la très haute direction qu'un EBIACRM va être capable de véhiculer le message vers le haut. Donc, dans cette organisation-là, il avait utilisé le juste équilibre entre les deux avant de descendre FAIR beaucoup plus bas dans l'organisation, mais il vivait dans les deux environnements de façon hydride et de façon très en symbiose essentiellement.
Speaker #3
C'est vrai que les biocermes, tous les workshops, les ateliers qui sont organisés dans le cadre des biocermes, impliquent souvent des gens plutôt sur les aspects techniques, parce qu'on va avoir des DSI, éventuellement des CISO, des choses comme ça. Donc ça reste effectivement plus du côté IT, alors que mon sentiment, encore une fois, parce que je ne suis pas du tout un spécialiste de la méthode O, En tout cas, faire sembl... plus orienté effectivement pour le management. Dans toute méthodologie, même si c'est la meilleure du monde, il y a quand même à un moment donné des limitations, des choses qui ne sont pas compatibles, enfin qui ne permettent, avec lesquelles on ne peut pas traiter certains cas. Selon vous, quelles sont justement ces limitations en termes de la méthodo ? C'est-à-dire, ce qu'on peut faire avec, on vient de le décrire, Donc, ça, c'est super. Mais par contre, il y a des choses qu'on ne peut pas faire avec, forcément, puisqu'il n'y a pas de méthode universelle. Selon vous, qu'est-ce qui n'est pas vraiment compatible avec la méthode ?
Speaker #0
Je trouve que, personnellement, ça peut être dangereux d'utiliser la méthodologie à toutes les sauces et croire que la méthode peut répondre à toutes les questions. Il faut faire attention aux extrêmes, en fait. Donc, je reviens au scoping des scénarios. un peu plus tôt, si on se pose la question « quel est mon risque relié au cloud ? » Ce scénario-là est trop vague et trop large pour que la méthodologie apporte une valeur ajoutée. À l'inverse, si le scénario que l'on regarde est trop spécifique et potentiellement très peu probable, les gens vont être désintéressés par l'analyse. Donc, l'objectif, ce n'est pas de faire 5000 analyses pour couvrir tous les risques, c'est de faire des analyses qui sont pertinentes et qui amènent, encore une fois, une valeur ajoutée pour la prise de décision. Voilà. Donc, je pense que la méthodologie permet aux analystes, mais aussi aux intervenants, dans l'organisation d'amener leur justificatif pour cette prise de décision. Et je crois que tout le monde ici, on a vu des situations où un projet est mis de l'avant pour corriger une certaine situation. Un CISO, un chef des SI, pardon, va décider de mettre... un million de dollars pour implanter un nouveau système informatique qui, soit disant, va réduire notre risque et après le projet, finalement, on réalise qu'on n'a pas atteint l'objectif. La méthodologie FAIR est là pour essayer d'amener ces arguments et ces justificatifs. Par contre… Merci. Ce que je vois très souvent, c'est qu'on passe beaucoup de temps à débattre sur le scénario, à débattre sur les données, et très peu de temps sur quel est le contrôle sur lequel je dois m'attarder, que je devrais prioriser. Quel est le montant ou la valeur de réduction de perte que je vais obtenir avec cette amélioration ou avec ces ajustements. Qu'est-ce que je pense que ce contrôle va venir réduire dans mon équation ? Est-ce que ça réduit la fréquence ? Est-ce que ça réduit mon impact, donc ma perte, donc l'ampleur, etc. ? On passe beaucoup de temps sur le scénario et, bon, tantôt, on parlait des laptops perdus. Il y en a à chaque année, comme tu le mentionnais, des ordinateurs qui sont perdus. Est-ce que... C'est un événement qui aujourd'hui, l'organisation se soucie. Tu mentionnais que tous les ordinateurs sont encryptés. Si les ordinateurs sont encryptés, est-ce que je me préoccupe de la perte de données ? Il faut se poser la question, si j'amène ce risque à un board ou à un exécutif, un manager, Est-ce que je vais avoir son attention ou s'il va très rapidement mettre ça de côté ? Sans nécessairement rentrer dans le vif de la méthodologie et de faire le calcul réel, des fois, on est en mesure d'arriver à la conclusion que c'est peut-être pas la priorité de l'organisation aujourd'hui. Par contre, il y a certaines situations qu'on veut faire l'analyse pour identifier est-ce que ça vaut la peine ou pas. Est-ce que c'est valable ou pas ? Peut-être parce qu'on a des débats justement avec des collègues, mais je pense qu'il ne faut pas trop s'attarder sur le scénario plus que sur la réponse et l'impact de notre réponse à ça. Donc, d'avoir une analyse vraiment bout en bout, qui ne va pas juste dire, « Ah, j'estime qu'on va avoir 4 millions de dollars de pertes » , et là dire que… Comme ça, tel contrôle va venir régler la situation, puis ça va réduire de un million, et le justificatif n'est peut-être pas derrière notre présentation. Donc, on passe souvent beaucoup de temps sur l'analyse, mais pas assez sur la réponse et les justificatifs reliés à la réponse.
Speaker #1
Ça, c'est quand même quelque chose d'assez spécial. spécifique, je pense, au risque appliqué à la cybersécurité. C'est que moi, j'ai souvent le sentiment, surtout quand on parle d'argent, parce que tout à l'heure, on parle d'argent, quand on négocie un budget sur un projet, etc., arrive souvent la tendance de dire « ça coûte X, mais vous allez le faire pour 80% de X » . Et la question qui arrive tout de suite, c'est de dire « finalement, quel va être l'impact de cette réduction ? » Donc, on réduit de 20%. Mais est-ce que le résultat attendu va être réduit de 20% ou de 50% ? Ou même peut-être de 80% ? C'est-à-dire le fait de ne pas mettre l'intégralité du budget fait qu'on ne va pas réaliser les contrôles à la hauteur auxquels on devrait les réaliser. Et donc, on va forcément peut-être un peu moins mitiger le risque, mais on le mitige moins de combien ? Et ça, c'est une question presque philosophique parce que... comment finalement optimiser ces investissements en matière de cybersécurité pour que ce soit qu'on puisse mitiger au maximum les risques pour le minimum d'investissement, parce qu'au final c'est ça le jeu et effectivement sans cette méthodologie et c'est la raison pour laquelle je suis intéressé un petit peu à comment ça fonctionne donc dans les exemples que tu as donnés c'est exactement ça, c'est le fait de pouvoir dire, en utilisant la méthodologie déjà pour factualiser des scénarios qui sont importants pour la société. Effectivement, perdre des laptops, c'est embêtant, mais ce n'est pas ça qui va faire couler la boîte. Donc ça, c'est un premier aspect que tu as très bien expliqué. Et un deuxième qui était un petit peu en filigrane, c'était aussi l'évaluation, c'est-à-dire, une fois qu'on a fait un cycle, est-ce que les décisions qu'on a prises étaient les bonnes ? Est-ce que l'investissement qu'on a pris d'investir un million pour réduire le risque, est-ce que ça a réellement porté ses fruits ou pas ? Et là, effectivement, il y a la notion des contrôles, la réévaluation des contrôles qui permet de voir si, oui ou non, on a pris la bonne décision.
Speaker #0
Oui, et cette réévaluation permet d'amener plus de précision. On parlait de la précision de nos analyses tantôt. Donc, on veut se rapprocher du drapeau, si je reviens à l'analyse ou à l'image du golf. Le premier cycle que l'on fait, on ne sera peut-être pas capable de le mesurer aussi bien. Par contre, il faut accepter cette imperfection. Dans certains cas, j'ai eu des collègues, par exemple, qui disaient, on a un système de détection de courriel frauduleux d'hameçonnage avec nos systèmes et ils voulaient changer de fournisseur. Ils disaient, la solution X est bien meilleure. Ça va régler tous nos maux de tête et ça a un coût, ces transformations, ces changements de solutions. Donc, l'analyse de FAIR permet de dire aujourd'hui, je suis à ce niveau de perte annualisée avec ce nouveau système. Où est-ce que je crois que je vais me rendre ? Et évidemment, très souvent, on est inconfortable dans ce deuxième aspect de l'analyse parce qu'il faut aller voir le fournisseur et lui poser la question, par rapport à ton compétiteur, combien… Comment d'efficacité je vais aller chercher ? Est-ce que, je disais tantôt dans mon exemple de phishing, je prévois que la probabilité, je vais avoir deux événements par année. En changeant de solution, est-ce que je vais atteindre zéro ? Est-ce que je vais atteindre un ? C'est là qu'il faut se poser la question, est-ce que c'est valable ? Est-ce que ça mérite d'être changé, d'être remplacé ? La plupart du temps, dans des analyses, lorsqu'on pose les bonnes questions, les gens sont inconfortables.
Speaker #1
C'est ça qu'on voit une bonne méthodologie. C'est quand les gens ne sont pas à l'aise, c'est que c'est des questions à poser.
Speaker #0
Oui. Si les gens sont trop confortables, c'est parce que vous ne posez pas les bonnes questions.
Speaker #1
C'est une technique d'auditeur, ça, je pense. Oui. Très bien. Parfait. Peut-être un mot de la fin, quelque chose que vous... que vous avez envie de rajouter par rapport à la méthode O ou quelque chose qui vous semble pertinent pour la compréhension ?
Speaker #0
Oh, je te donne l'honneur, Nicolas et Loïc.
Speaker #2
De faire ça. Si j'ai un mot de la fin là-dessus, c'est qu'il faut y aller par étapes, il faut y aller doucement, il faut y aller avec les premiers niveaux en haut en premier, se garder très léger, parce que l'exercice lui-même n'est pas censé être très long quand on commence. Il va devenir complexe avec le temps, mais de vraiment y aller doucement. et de s'approprier la méthodologie, quitte à la faire vivre de façon concurrente avec d'autres méthodologies que vous avez dans votre organisation, parce qu'il y a un bénéfice à ça, et de l'intégrer à plus haut niveau après, mais y aller vraiment doucement. Une fois que ça se fait, les habitudes se placent et les gens prennent du confort à agir. On a plus d'espace à poser des questions inconfortables, comme disait Vincent. Au début, les questions inconfortables sont plus restreintes, donc de vraiment y aller doucement. Et les bénéfices sont réels. Une fois qu'on a commencé à cibler la méthodologie, on a vraiment beaucoup. plus de retours et de capacités à agir de façon concrète sur l'organisation et de la faire maturer en cybersécurité. Je passe la main.
Speaker #0
Oui, bien, moi, je dirais aux gens de… Bien, le premier réflexe, je pense que tu l'avais, Nicolas, c'était de lire le livre. C'est une référence… Bon, il y a une nouvelle version qui est sortie récemment. Il y a… Il y a plusieurs personnes qui ont sorti des livres sur la méthodologie depuis, et quelques-uns sont très bons. Il y en a un dernièrement qui est sorti, il s'appelle « From Heat Maps to Histogram » , d'un ancien employé de Netflix qui a intégré ou implanté la méthodologie FAIR chez Netflix. Très brillant. très brillant auteur. Il est instructeur avec moi à l'Institut. C'est un livre que je recommande. Évidemment, Jack Jones, son livre, sa nouvelle version est aussi très recommandée. C'est lui qui a créé la méthodologie, donc je vous le recommande. Il y a aussi maintenant des... Avec les outils d'intelligence artificielle, des agents qui existent ou qui peuvent être créés par les utilisateurs. Donc, j'invite les gens peut-être à regarder ce qu'ils peuvent trouver. Jack Jones a publié lui-même un agent qui est disponible sur ChatGPT, mais il a aussi donné... la recette. Donc, si jamais votre organisation utilise une autre solution d'intelligence artificielle comme Copilote ou Cloud ou autre, il est possible de reprendre la recette et de créer un agent qui vous permettrait d'utiliser la méthodologie en posant des questions et là, la méthodologie ou la réponse de l'agent vous permettrait de cadrer vos scénarios, de... d'identifier les contrôles. Donc, je pense que c'est un assistant qui est pertinent, surtout pour quelqu'un qui commence, pour s'aider dans son travail.
Speaker #1
Sans vouloir faire de mauvais jeux de mots, il n'y a plus qu'à faire.
Speaker #0
Exactement.
Speaker #1
Très bien. En tout cas, je vous remercie beaucoup. pour toutes ces informations. Je pense que c'est une méthodologie qui a le mérite de répondre à des questions assez fondamentales, je pense, en cybersécurité quand on est vraiment dans le monde professionnel et quand on doit interagir avec des boards et autres ex-co. Puisque c'est toujours compliqué de transformer en chiffres et surtout en montants et en budget des efforts à réaliser. pourquoi on les fait et quel est le bénéfice attendu. Le fameux retour sur investissement dont tu parlais, Vincent. voilà donc j'invite vraiment mes auditeurs à s'intéresser à ça, je pense que c'est vraiment quelque chose qui au moins sur le principe peut amener de nouvelles idées et j'espère en tout cas que ça aura peut-être éclairé certains d'entre vous, peut-être encore mieux inspiré Voilà, encore merci Vincent et Nicolas Loïc d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. Et comme je le dis souvent, pour certains, la cybersécurité est un objet de mort bien plus sérieux que ça. Merci.

Description

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. J'ai fait beaucoup d'épisodes en parlant de méthodologie. Certains épisodes ont été consacrés à ISO 27000, j'en ai fait un sur NIST, on a parlé aussi des bios CRM. Mais il y a une méthodologie dont je n'ai pas parlé parce que je ne suis pas un grand spécialiste de cette méthodologie. La méthodologie s'appelle FAIR et j'ai trouvé deux spécialistes de la méthodologie. J'ai invité à rejoindre ma grand-mère pour justement en parler. J'ai la chance de les accueillir dans cet épisode de la cybersécurité expliquée à ma grand-mère. C'est Vincent et Nicolas Loïc. Alors Nicolas Loïc a déjà participé à un épisode précédent. Donc pour les auditeurs les plus assidus, vous le connaissez déjà. Par contre, Vincent, c'est un nouveau. Donc Vincent, est-ce que tu veux bien te présenter ?
Speaker #1
Oui, absolument. D'abord, merci de m'accueillir. Donc, mon nom est Vincent. Je suis un... l'instructeur accrédité de la méthodologie FAIR avec le FAIR Institute, qui est basé aux États-Unis, mais qui essaie de prendre plus d'ampleur à travers le monde. Donc, ça fait environ un an que je suis instructeur, mais ça fait plus de, je vais dire, sept ou huit ans que je gravite autour de la méthodologie. Donc, comme toi, j'ai lu le livre. de Jack Jones. J'ai rencontré Jack à quelques reprises d'ailleurs. Voilà. Moi, ça fait 20 ans que je suis dans le domaine de la cybersécurité, de la GRC, donc gouvernance, risque et conformité. Mais j'ai commencé, quand je suis sorti de l'école, j'étais très technique, donc je faisais de l'administration de système. Aujourd'hui, je suis plus une personne stratégique, donc je donne des Je fais plus du service conseil à des exécutifs et à travers les organisations pour lesquelles je travaille. Voilà.
Speaker #0
D'accord, parfait. Nicolas Loïc, si tu veux bien te présenter aussi.
Speaker #2
Oui, moi, je fais du conseil stratégique. Je n'ai pas le mérite de Vincent d'être aussi calé que ça en faire. Je suis peut-être un fan fini de la métaux, mais pas autant connaissant que Vincent. Ça va être lui qui va prendre plus la place que moi. Moi, je m'y intéresse déjà depuis plusieurs années, notamment à l'ULIV. J'étais allé aux États-Unis à un événement, j'ai suivi la formation. Donc, je m'y connais quand même un peu. Je le mets un peu en pratique chez mes clients, mais jamais de façon puriste. C'est-à-dire qu'on est vraiment dans un cas d'adaptation. Je suis plus dans un cas où je m'adapte à la situation, puis je déploie généralement des principes partiels de faire dans ce que j'ai à opérer, en l'occurrence.
Speaker #0
D'accord. OK. En tout cas, merci de votre présence pour qu'on puisse justement discuter et découvrir cette méthodologie. Alors moi, personnellement, j'en ai déjà entendu un peu parler auparavant. Je fais quand même du risque un peu tous les jours et puis surtout, je travaille dans le milieu financier, donc j'ai pas mal de collègues qui utilisent d'autres modèles de risque. D'ailleurs, on va rentrer peut-être un petit peu dans le détail. plus tard. Mais ce qui m'intéressait un petit peu dans cette méthodologie, c'est qu'en cybersécurité, tôt ou tard, il faut parler d'argent et essayer de factualiser les choses, surtout quand on a parlé à un board de directeurs, parce que leur dire on a des CVSS 9.8, bon, nous, ça nous parle, mais pour beaucoup, c'est plutôt abstrait. Et ce qu'ils comprennent, par contre, c'est les chiffres et surtout l'argent, combien ça coûte. quels sont les profils de risque. En plus de ça, ils ont souvent des cultures qui sont proches du risque des risques métiers, avec des modèles de risque quantitatifs. On va peut-être parler de la méthode de Monte Carlo aussi. Donc les modèles de risque, ce n'est pas quelque chose qu'il aura inconnu. Et je trouvais que quelque chose, ce qui était assez intéressant dans cette méthode, c'est que ça réutilise finalement un certain nombre de concepts. Alors je vais peut-être dire des bêtises parce que finalement, je ne suis pas un spécialiste, je ne fais que découvrir. J'ai ma ceinture blanche à peine. Je vais peut-être passer la ceinture jaune. Et donc, je découvre un petit peu ça avec un regard un peu naïf. Ma première question, c'est déjà sur la définition du risque. C'est-à-dire, quelle est la définition précise du risque selon faire, selon la méthodologie ? Et quelle est la différence par rapport à une définition classique ? Parce que, commençons par le début, qu'est-ce qu'est un risque selon cette méthodologie ?
Speaker #1
Oui, très bonne question et c'est très important. Selon FAIR, on connaît la combinaison traditionnelle, je vais dire en cybersécurité, où on parle souvent de menaces plus vulnérabilité plus impact égal quelque chose. Bon, il y a des fois, c'est des multiplicateurs, peu importe. Ça, c'est la définition traditionnelle. La définition de FAIR, c'est plutôt qu'un... quelle est la fréquence probable d'un événement, d'une perte et de sa magnitude, de son ampleur, qu'elle pourrait avoir. Toujours probable. Donc, c'est ça l'équation de FAIR. Donc, ce n'est vraiment pas associé à la vulnérabilité ou à… à la menace qu'on voit dans la définition traditionnelle. Ce que je vous donne, c'est la définition pure de FAIR. Donc, c'est vraiment la fréquence d'une perte probable et son ampleur.
Speaker #0
D'accord. Alors, justement, sur les aspects un petit peu, on va dire plutôt métriques, qui sont pris en compte, Pourquoi finalement, dans la méthodologie, on utilise une approche qui est plutôt quantitative plutôt que qualitative ? C'est-à-dire quantitative, vraiment avec des éléments chiffrés, plutôt que qualitative, comme on l'a souvent en risque, on estime un risque qui est high, medium, low. Ce n'est pas forcément des choses qui sont hyper quantifiables. Déjà, pourquoi ? J'ai un embryon de réponse, mais j'aimerais bien avoir la voix du spécialiste et comprendre pourquoi on a une approche qui est un peu plus quantitative.
Speaker #1
Je dirais que c'est pour éliminer la subjectivité ou réduire, je me reprends, c'est réduire la subjectivité. On n'élimine jamais la subjectivité, mais c'est pour la réduire, pour arriver à avoir les réponses dont tu mentionnais tantôt, quand on va aller voir un board, eux, ils veulent savoir de manière quantitative combien ça va me coûter, combien je risque de perdre et pourquoi je le ferais. Donc, avec la méthodologie quantitative, plus en mesure d'aligner les conversations et d'apporter cette aide à la décision dont ils ont besoin.
Speaker #0
D'accord.
Speaker #2
Je vais rajouter sur la subjectivité, parce que la méthode est très intéressante, puis le livre, on parle beaucoup. La façon d'estimer l'électeur, de celui-ci, il y a quand même une approche rationnelle sur la façon d'arriver à évaluer. les différents éléments et il y a beaucoup d'insistance d'ailleurs sur la façon qu'on arrive à donner ou à essayer de trouver la bonne valeur pour essayer d'estimer. Donc oui, le subjectivité est là, mais il y a quand même une approche rationnelle et quantitative qui nous aide le plus possible à évacuer ça de la réflexion. Puis c'est très intéressant comment l'approche met ça de l'avant d'ailleurs. Puis pour la lecture, je les trouve qui étaient très insistants. mais ça a beaucoup de valeur sur la qualité des informations qu'on est capable de sortir de ça. Et on n'est plus dans des cartes de chaleur, mais on est vraiment avec des données beaucoup plus faciles à défendre aussi, puisqu'on a réussi à calibrer, je pense que c'est le terme qui est utilisé dans la littérature, calibrer correctement les données qu'on rentre dans le calcul qu'on fait.
Speaker #0
D'accord, très bien. Alors, un autre élément aussi qui est important, donc il y a beaucoup de méthodologies, on va parler un petit peu brièvement du... des différents modèles de risque, mais par exemple au niveau ORM, donc en termes opérationnels, enfin pour tout ce qui est operational risk management, on parle souvent d'ORE, c'est-à-dire les operational risk events. Dans la méthode O-Fair, il y a ce qu'on appelle les lost events. Donc est-ce que vous pourriez un petit peu expliquer ce que c'est que cet événement, à quoi il sert et pourquoi finalement c'est un peu un élément cardinal de la méthodologie ?
Speaker #1
L'événement de perte, en fait, souvent on va parler de phishing ou de vulnérabilité. Tu as mentionné la vulnérabilité tantôt. Une vulnérabilité, ce n'est pas une perte tant et aussi longtemps qu'elle n'a pas été abusée ou utilisée. Donc, c'est cet événement-là qu'on veut quantifier. Et c'est cet événement qu'on regarde. J'espère que j'ai bien compris la question.
Speaker #0
C'est tout à fait ça. Pour bien comprendre, la méthodologie se base sur des événements passés. parce que tu viens de dire, par exemple, la vulnérabilité, tant qu'elle n'est pas exploitée, il n'y a pas de perte. Effectivement, tu as raison. Ça reste qu'un risque qui n'a pas été réalisé. En revanche, c'est-à-dire que la méthodologie se base principalement sur des événements passés pour essayer de modéliser le risque qui est pris. Si je résume ce que tu viens de dire.
Speaker #1
Ça peut être des événements passés, oui, mais ça pourrait être des événements qui ne se sont jamais produits. C'est très possible. Pensons entre autres au modèle d'intelligence artificielle. On voit dans les nouvelles maintenant des événements qui se produisent qu'il y a cinq ans, on n'aurait jamais imaginé. Aujourd'hui, un analyste qui utilise la méthodologie FAIR peut s'inspirer de ces événements-là. Par contre, rien n'empêche un analyste aujourd'hui de réfléchir à quels autres types de pertes pouvons-nous avoir à cause de l'intelligence artificielle, entre autres. Mais je pourrais prendre l'informatique quantique comme exemple. C'est applicable aussi.
Speaker #0
D'accord, ok. Parfait. Donc ça, c'est un petit peu, on va dire, l'événement de base qui permet quand même de… de démarrer la méthodologie et le process. Alors, il y a deux autres facteurs aussi qui sont importants que j'ai repérés. Donc, ce serait bien peut-être d'expliquer un peu la différence. C'est la différence entre le loss event frequency et le loss magnitude. Donc, bon, un petit peu déjà, rien qu'avec les définitions, en l'entendant, on comprend quelle est la différence entre les deux, mais à quoi ça correspond exactement dans la méthodologie et comment on les intègre.
Speaker #1
Oui, donc le loss event frequency représente le nombre de fois qu'un événement de perte va se produire durant une certaine période de temps. Normalement, on va utiliser une année. C'est la fréquence la plus courante, mais ça pourrait être trimestriel.
Speaker #0
Et alors, du coup, si on donne un exemple concret... parce que généralement dans les entreprises il y a toujours la perte des laptops, ça c'est un grand classique, donc on perd régulièrement, on sait que dans une année on va perdre peut-être 1 ou 2% du parc parce qu'ils sont volés, perdus ou autres, donc ça on sera plutôt sur la fréquence, puis la magnitude dans ce cas-là ce sera plutôt simplement le prix du laptop. heureusement les laptops sont sécurisés avec des disques chiffrés qui fait qu'on ne peut pas les exploiter. Donc si je me repositionne un petit peu dans la méthodologie, c'est ce type d'événements que tu vas essayer de quantifier. C'est bien ça.
Speaker #1
Oui et non. Le gros problème que je vois dans ce que tu viens de dire, l'exemple que tu nous donnes est très bien parce que c'est un exemple courant qu'on voit. L'événement de perte, c'est la perte du laptop. Je suis d'accord. Par contre, le scénario et la portée de ton scénario n'ont pas identifié l'actif réel que tu prévois perdre. Tu as mentionné le coût du laptop. Donc, il y a l'actif physique et il y a l'actif intangible, les données qui sont sur ce laptop. Ce n'est pas la même analyse, ce n'est pas le même scénario. Et évidemment, n'a pas le même coût. Si tu perds ton ordinateur personnel, ça n'a pas le même coût que si tu perds ton ordinateur de travail à cause des données. Pourtant, c'est peut-être le même modèle.
Speaker #0
D'accord.
Speaker #1
Donc, elle est là la différence. Il faut faire attention à, je pense en français, le bon mot, c'est la portée du scénario que l'on analyse. D'accord. Donc, l'événement de perte est important, oui. mais il faut regarder le scénario dans son entièreté pour pouvoir arriver à une réponse défendable et justifiable.
Speaker #0
D'accord. Donc, en réalité, quand tu parles d'une perte avec cette méthodologie, tu vas évaluer ce qui est entre guillemets tangible et intangible, donc la perte matérielle en tant que telle, intangible et donnée, éventuellement la perte… de rendement, entre guillemets, de service qui a été, puisque la personne ne pourra peut-être pas travailler pendant une journée. Et ça veut dire aussi que tu vas essayer de prendre en compte différents, enfin, essayer d'avoir les scénarios les plus fins possibles pour évaluer finalement le mieux possible l'impact pour l'entreprise, si je résume un petit peu ce qui vient d'être dit. D'accord.
Speaker #1
Parce qu'encore une fois, le scénario Il contient plusieurs informations. Il contient l'actif visé, l'acteur. Il contient la fréquence à laquelle tu crois que l'événement va se produire et son impact.
Speaker #0
D'accord.
Speaker #1
Donc, il y a plusieurs éléments à regarder.
Speaker #0
D'accord. Et juste en tant que praticien de la méthodologie, comment tu commences finalement ? Si tu dois implémenter cette méthodologie, donc là, on a fait un petit peu l'introduction de la méthode O. Qu'est-ce que tu vas faire en premier ? Tu vas demander, tu vas essayer de récupérer des statistiques. comment tu vas... Quelles sont tes questions ? Comment tu vas cadrer finalement ta mission pour essayer de démarrer la méthodologie ?
Speaker #1
La première étape, c'est vraiment la portée, donc le scope, en bon anglais, le scoping du scénario qu'on veut évaluer. Si je reviens à ton exemple de laptop perdu, tu disais qu'il y avait environ 1 à 2 % de laptops perdus dans chaque organisation, par exemple. Donc, tu as déjà la donnée en tête. Par contre, ton scénario, c'est là qu'il manquait un peu de détail. C'est-à-dire que tu veux évaluer la perte potentielle de, je crois, des données qui sont sur l'ordinateur suite à un employé qui est peut-être malveillant ou inattentif. La plupart du temps, je pense que c'est plus inattentif si on perd son ordinateur. je ne sais pas moi, en allant travailler dans un café ou quelque chose comme ça. Ce n'est pas nécessairement malveillant plus qu'insouciant peut-être. Donc, il faut vraiment scoper le scénario pour pouvoir, après ça, poser les bonnes questions. Le 1 % de laptops perdus, est-ce qu'il est toujours associé à ce type d'événement-là ? Et quel est le résultat de la perte lors de ces événements-là ? va devenir un élément clé. Donc, la première étape, c'est vraiment le scoping avant d'aller chercher les données. Ensuite, pour la cueillette de données, il y a plusieurs sources d'informations, il y a plusieurs endroits où on peut regarder ça. On pourra rentrer peut-être dans ce détail-là plus tard. Une fois qu'on a les données, là, on peut faire l'analyse en tant que telle ou la simulation Monte Carlo dont tu parlais tantôt. Une fois qu'on a le résultat de la simulation, on va vouloir interpréter le résultat de la simulation. Il ne faut pas juste copier un graphique. Il faut regarder les données que ça nous donne. Et finalement, je dirais la présentation de ces données interprétées à notre auditoire cible. Donc, est-ce que c'est un board ? est-ce que c'est euh des gestionnaires d'affaires, etc.
Speaker #0
D'accord. Parfait. Alors, si j'ai bien compris, il y a six catégories de pertes qui sont dans la méthode O. Est-ce que tu pourrais justement nous expliquer un peu à quoi ça correspond, ces catégories, à quoi ça sert ? Je pense que ça doit correspondre plus ou moins à une taxonomie peut-être, mais est-ce que tu peux nous éclairer sur cet aspect ? Oui, absolument. Donc, en tout, il y a six catégories ou types de pertes. La méthodologie,
Speaker #1
je pense qu'il parle de pertes directes ou indirectes. Ça n'a pas vraiment d'importance, je dirais, dans l'application. Il faut regarder chaque type de perte, à savoir si dans le scénario que l'on regarde, si ces pertes sont possibles. Donc, la première, c'est la perte de productivité. Tu mentionnais tantôt dans ton exemple, quelqu'un perd son laptop, il ne pourra pas travailler le temps qu'il n'aura pas obtenu un remplacement. Est-ce que ça prend 24 heures, une semaine ? Donc, c'est le type d'informations qu'on va vouloir identifier. Ensuite, il y a la réponse. C'est une catégorie qui permet d'identifier le coût associé. Donc, c'est une chose de remplacer l'actif, mais la personne qui a perdu son laptop doit appeler probablement le service technique. Il va peut-être avoir des recherches à faire. Il va peut-être avoir des personnes à informer. Comment ces personnes doivent être informées ? Est-ce que c'est des courriels ou c'est des lettres par la poste ? Il y a un coût associé à ces communications potentiellement. Donc, le coût de réponse doit être identifié. Ensuite, je mentionnais le coût de remplacement de l'actif. Si c'est un actif physique, c'est peut-être un peu plus facile à quantifier. Si c'est intangible, là, il faut aller chercher peut-être un peu plus d'informations. Ensuite, les coûts légaux, il y a peut-être des contraventions des coûts légaux qui vont être associés. Donc, ça, c'est la quatrième forme de perte. Et les deux dernières, c'est la réputation et l'avantage compétitif. Donc, on les appelle plus indirects, ces deux types de pertes-là. Mais elles sont là, puis on peut les regarder.
Speaker #0
D'accord, OK. Alors oui, ça semble… Alors, ce qui est marrant quand même, parce que ça semble juste être du bon sens finalement, parce que… tous les éléments dont tu parles effectivement quelqu'un perd son apport ça nécessite d'avoir des gens qui vont s'en occuper donc mobiliser des ressources donc les pertes effectivement s'il y avait des données qu'il y avait à l'intérieur on les a perdues ça peut avoir une certaine valeur normalement c'est quand même mitigé par tout un ensemble de choses mais ça peut arriver les coûts de réputation ça me fait ça me fait rapporteurs Ça me rappelle une anecdote un peu avant les Jeux Olympiques de Paris, où un des responsables de la sécurité avait perdu son laptop dans le train avec les plans de sécurité de l'organisation des JO. Donc là, effectivement, en termes de réputation, et même de sécurité directement, il y avait un sacré impact. C'est vrai qu'on n'y pense pas souvent à évaluer ces coûts, mais ils existent pourtant, et parfois ça peut être assez coûteux. Alors, comment on fait juste, parce que parfois il manque des données, on n'a pas forcément toutes les données, comment on fait pour faire une estimation un peu du minimum, du maximum, de la probabilité ? Peut-être éventuellement aussi d'autres éléments comme les quart-types, est-ce que c'est très volatile ou pas ? Comment on peut justement traiter cet aspect-là quand on manque de données historiques ? Comment on peut traiter cet aspect dans la méthodologie ?
Speaker #1
La première approche que tu as, tout le monde utilise, je crois, peut-être même sans s'en rendre compte, c'est les informations publiques que l'on retrouve dans les différents rapports, les différents sites Internet que l'on consulte, les magazines, peu importe les sources. Donc, à tort ou à raison, ces informations peuvent être utiles dépendamment de la source, dépendamment de... de la méthodologie qui a été utilisée pour produire ces informations. Donc, c'est très important de regarder la méthode et la provenance de la donnée. Mais je dirais que c'est quand même la plus fréquente. La deuxième, ce serait d'interroger des experts, donc d'aller voir des gens qui ont peut-être une connaissance plus poussée sur le sujet ou sur le domaine qui nous intéresse. Et ça ne veut pas nécessairement dire d'aller voir des experts Loin de nous, quand je dis ça, je fais référence en fait aux experts à l'intérieur de nos organisations. On a des gens qui manipulent ou gèrent des systèmes informatiques ou des environnements qui produisent des données auxquelles on n'a peut-être pas accès quotidiennement, mais auxquelles ces experts peuvent nous donner peut-être une visibilité et peut-être que les questions qu'on va leur poser, Bien qu'ils n'ont pas la donnée maintenant, peut-être qu'ils vont être en mesure de la produire. Donc, je vous dirais d'aller voir les experts dans vos organisations. Puis, à la dernière, dernière étape que bien des gens sous-estiment, c'est tout simplement de se poser la question nous-mêmes et de porter un jugement. J'ai fait, pendant une des formations que je donnais sur la certification FAIR, je prenais un exemple, c'était l'estimation du nombre, le nombre de pertes humaines qu'il y avait en une année causées par des attaques de requins. Aucune personne dans le cours est un expert en espèces marines. En attaques de requins. Ou d'attaque de requins. Et je disais à tous les étudiants, vous n'avez pas le droit d'utiliser votre ordinateur, pas le droit d'utiliser votre téléphone. On ne fait que discuter tous ensemble. Comment arriver à un estimé ? Et là, on avait le début d'un débat sur une attaque de requins. Où ça se produit, une attaque de requins ? À la plage, dans des pays de tel continent, etc. On en entend parler des gens là-bas.
Speaker #3
Vidéo sur Youtube messieurs dames qui existent, vous tapez vidéo requin Algérie Dans tous les pays du monde, lorsqu'un requin arrive aux abords d'une plage Les gens sortent de l'eau par réflexe de peur aquatique Cependant il subsiste un pays répondant au doux nom d'Algérie Où vous pouvez voir dans cette vidéo un requin qui arrive aux abords d'une plage algérienne Et il y a un algérien qui est en train de bronzer, qui voit le requin, qui regarde tout Les plagistes algériens qui leur disent Venez dans l'eau, il y a un requin ! Venez ! Ils rentrent dans l'eau, ils sortent, le requin, même le requin, il est choqué. C'est quoi ce bordel ? On n'est pas en Sardaigne, qu'est-ce que c'est que ce bordel ? Ouais, ils m'avaient dit Sardaigne. Lâchez-moi la joie, lâchez-moi la joie
Speaker #1
Ausha droite, donc on commence à sortir des informations que les gens vont débattre et certaines personnes vont donner le commentaire, oui, je suis d'accord, non, je ne suis pas d'accord avec ce que tu viens de dire. Donc, il y a toute une démarche. qui est faite et malgré le fait qu'on n'est pas des experts, on peut tirer des leçons, on peut tirer des résultats qui sont utiles. Ils ne seront pas parfaits, mais ils seront utiles à faire les calculs de la simulation. Et après l'exercice, Là, je permettais aux gens de faire une recherche. Ça existe des sites qui recensent les attaques de requins dans le monde. Et très rapidement, on trouve la réponse. Et on était en mesure de voir que notre réponse était très proche de la réalité, même si on n'est pas des experts en la matière. Et je faisais d'autres exercices comme ça qui ne sont pas reliés à la cybersécurité, qui ne sont pas... qui n'était pas relié à l'expertise des gens dans la salle. Et je reviens à ce que Nicolas Loïc disait tantôt sur la calibration. On a tendance à se sous-estimer, nous, en tant qu'êtres humains. Évidemment, chaque être humain peut avoir des biais cognitifs, des préconceptions, des jugements, etc. Donc, c'est important de débattre. C'est important d'amener son apport à la conversation, mais la méthodologie est faite pour avoir cette incertitude. Donc, il ne faut pas s'attarder trop longtemps sur ces débats. Il faut simplement se calibrer tout un chacun pour dire à quelqu'un, peut-être que tu sous-estimes ou tu surestimes tel élément. Pour telle raison, est-ce qu'on est majoritaire à poursuivre la conversation malgré cela ? Et c'est là qu'un analyste en risque, je crois, a toute son importance, car il doit jouer le rôle de modérateur dans ses débats. C'est souvent une des problématiques que l'on voit lorsqu'on fait des analyses. C'est les débats interminables. Ce sont les personnes qui disent, parce que tu n'as pas l'information X, le résultat ne peut pas être valide, ce qui n'est pas le cas. L'objectif de la méthodologie n'est pas d'être précis, c'est d'être, en anglais, ils disent accurate, donc c'est d'être dans le bon, je vais dire, dans la bonne cible. Je pense que l'exemple qui est utilisé dans le livre à plusieurs reprises, c'est le golf. Un bon joueur de golf, il ne fera pas un swing avec un trou d'un coup.
Speaker #0
C'est très rare un coup d'un coup. Donc, l'objectif, ce n'est pas d'arriver à faire ça, c'est de réduire le nombre de coups pour arriver à mettre la balle dans le trou. Donc, c'est vraiment de se rapprocher le plus possible du drapeau. Ce n'est pas de l'atteindre exactement à chaque fois. Les méthodologies quantitatives sont probabilistiques. Donc, ce sont des probabilités. C'est comme la météo. Certains diront, oui, mais la météo, 50% du temps, la météo, ils se trompent.
Speaker #1
Oh, tu t'y vas de cul avant
Speaker #2
Putain, là, là, mate un peu Un autochtone en train de pelter Place-toi à côté,
Speaker #1
mon chéri, je vais prendre une photo
Speaker #2
Bah c'là, qu'est-ce que vous faites les marrons ?
Speaker #1
Oh la vache T'as vu son accent de demeurer ? C'est trop marrant Nous sommes des touristes On vient de Paris Bah, il manquait plus rien que ça Deux mots, t'as dit « Tahouin français »
Speaker #3
Oh boy
Speaker #2
Oh, mais qu'est-ce qu'il dit ? Qu'est-ce qu'il dit ?
Speaker #1
Nous sommes venus visiter votre magnifique pays pour découvrir les joies de l'hiver canadien. Faire du traîneau à chien, dormir dans des igloos, faire du patin sur les trottoirs, le total, quoi. Ils sont où, les igloos ? Ils sont où, les igloos ? Attends une minute, attends une minute, là. Vous avez décidé de passer vos vacances à venir vous geler le cul au Québec. Hé, ça va pas dans le cocon, les bonzons Vous trouvez ça cul au pays exotique, nos hivers ? On va aller faire du traîneau à chien, on va y dormir dans les igloos. Attendez d'avoir les pieds trempés dans le gadou et le foulard plein de mordres. Il n'y a rien de plaisant à passer une demi-heure, toi, et mater à déterrer son char. Puis quand t'es fini, tu te rends compte que t'as pas déterré le pont. Ici, là, sais-tu pourquoi nos balles ne sont comme trois étages ? Parce qu'on n'a pas encore fini de ramasser la neige l'année passée.
Speaker #0
Leur objectif, c'est d'améliorer leur probabilité, leur prédiction de la météo. C'est la même chose avec les évaluations de risque. C'est d'arriver avec le temps à des prévisions, à des probabilités qui sont plus proches de la réalité.
Speaker #3
D'accord. Pour résumer, l'idée, c'est plutôt d'avoir les grandes tendances des résultats, pas forcément d'avoir un résultat précis à la troisième décimale après la virgule, mais plutôt d'avoir quelque chose qui est une tendance générale. qui soit vrai. Nicolas Loïc, tu voulais peut-être rajouter quelque chose ?
Speaker #2
Oui, je vais rajouter. C'est une approche itérative. Le premier tour qu'on va faire, il est sûr que les valeurs qu'on va y mettre vont être beaucoup plus loin de la réalité. Et à la deuxième année ou à la troisième année qu'on va rouler ça, on va avoir acquis de l'expérience et les données qui nous manquent pour nous amener plus loin. Donc, c'est important de ne pas fixer sur justement la... précision des données, mais se fixer sur une portée qui est exacte, une cible, je pense que c'est le terme qui est utilisé, qui est le plus proche possible, et de se donner la marge de manœuvre, de dire « ok, c'est correct de pas être trop, d'être super précis, parce que le deuxième cycle va nous amener plus loin et va nous amener de façon beaucoup plus précise où on veut aller, et nous aider à prendre des décisions éclairées. Donc, c'est un peu comme Vincent disait, on voit des débats interminables. Parce qu'il y a des gens qui vont insister sur des choses qui, à terme, n'ont pas tant de valeur que ça, surtout sur le premier cycle qu'on fait. Les suivants, après, on va en gagner de l'expérience, mais il faut vraiment évacuer ça de la discussion en partant d'être très précis.
Speaker #3
D'accord. Donc, le conseil, c'est dégrossir la pierre, mais sans forcément entrer dans le détail, puisque ça n'a pas forcément d'intérêt, puisque le but n'est pas d'avoir une précision absolue, mais plutôt d'avoir une tendance globale. Il y a quelque chose auquel tu as fait référence plusieurs fois, c'est la simulation, particulièrement la méthode de Monte Carlo. Pour les non-initiés, la méthode de Monte Carlo s'est très utilisée en finance pour faire de la modélisation de risques. On imagine plein de scénarios et on les simule justement pour en tirer des conclusions. Comment, justement, la méthode de Monte-Carlo, la simulation de Monte-Carlo est utilisée dans la méthode d'eau ? Comment vous l'utilisez ? Comment ça se passe techniquement ?
Speaker #0
De nos jours, il existe des outils qui vont faire le calcul. C'est beaucoup plus facile maintenant, ou il y a plus d'outils maintenant qui le font. À l'époque, lors de mes premiers belbussiments avec la méthodologie, on utilisait un simple chiffrier Excel, qui selon moi est encore une bonne façon de commencer à utiliser la méthodologie. Donc, il y a des possibilités de faire ça dans Excel. Dans le fond, la simulation Monte Carlo... Si je peux la simplifier très rapidement, c'est tout simplement une façon de simuler des milliers de scénarios possibles avec les données qu'on a mises à l'intérieur de chacun des facteurs de la méthodologie. On n'a pas parlé de la méthodologie ou de, moi j'appelle ça l'arbre de la méthodologie.
Speaker #3
Effectivement. On va peut-être remettre les choses dans l'ordre et commencer par là. parce que c'est vrai que je... J'étais impatient de parler de Monte Carlo et de mathématiques, mais on va faire un petit peu machine arrière. Et si tu veux bien, effectivement, nous, d'abord, revenir aux éléments de base de la méthodologie et nous expliquer cette partie-là qui est super importante, effectivement.
Speaker #0
Absolument. En fait, on a parlé des éléments individuels. Donc, on a parlé de la fréquence des pertes, donc le LEF, le Lost Event Frequency. On a parlé de Lost Magnitude. complet. l'ampleur de la perte. Donc, ça, c'est le premier, moi, j'appelle ça le premier niveau. On est ensuite très rapidement allé au deuxième niveau où là, on a parlé de la fréquence des événements de menaces. Donc, on a parlé de la perte des portables. C'est quoi la menace dans ce scénario-là ? La vulnérabilité ou la susceptibilité maintenant est le bon terme, pardon. Donc, la susceptibilité que cet événement ou que la menace se produise, c'est toujours du côté du « lost event frequency » . Donc, j'ai mon arbre en tête, puis en fait, je regarde au-dessus de mon écran parce que j'ai le fameux tableau devant les yeux. Ça, c'est les deux facteurs sous « lost event frequency » . En dessous de « loss magnitude » ou de l'ampleur de la perte, j'ai mes facteurs primaires, mes facteurs secondaires qu'on a parlé tantôt, donc la réputation, le remplacement, la productivité, etc. Je vous dirais que le côté droit, c'est le plus simple. Là où on a tendance à se perdre, c'est vraiment le côté gauche. Donc, le côté gauche, on peut encore une fois descendre d'un niveau et avoir d'autres facteurs qui sont plus détaillés. Je ne vais pas rentrer dans le détail de chacun des facteurs. J'invite ton auditoire, au besoin, à aller chercher l'information sur le site de FAIRS. C'est un poster qui est très facile à trouver. En tant qu'instructeur, je recommande toujours à mes étudiants de rester au premier ou au deuxième niveau. La complexité ou la difficulté d'aller au troisième niveau, je crois... À ce stade-ci, ou en tout cas dans des analyses peut-être plus manuelles, donc qui n'utilisent pas un outil technologique pour y arriver, je crois que c'est suffisant d'avoir des ateliers avec nos interlocuteurs, avec nos intervenants, et d'obtenir les informations voulues pour les facteurs de premier et deuxième niveau. Normalement, on commence au premier niveau. Si on n'a pas les données ou les informations nécessaires pour le premier niveau, là, on descend au deuxième niveau. Mais je ne recommande pas d'aller au troisième niveau, tout simplement pour ne pas compliquer les choses. Je pense que ce n'est pas nécessaire dans la plupart des cas.
Speaker #3
Nicolas Loïc ?
Speaker #2
Oui, je vais rajouter, surtout la partie de gauche, à réflexe, si on arrive à d'autres méthodologies, on va tendance à descendre très, très bas, très rapidement, parce que par réflexe, on le fait. Et c'est très mal parce que le faire n'a pas une approche de la même façon qu'on a dans les autres. Donc, de descendre très bas n'apporte pas une valeur si grande que ça, même si ça nous donne un certain plaisir intellectuel d'y aller. L'arrêter, on se perd, on va… Détourner l'analyse sur des choses qui n'apportent pas tant de valeur et c'est très couteux en temps. Plus on descend dans la méthodologie, surtout quand c'est manuel, quand c'est fait comme ça, quand on débute. Donc, c'est vraiment de rester. Puis, mon instructeur aussi m'avait mentionné, rester au premier niveau, descendre au deuxième, surtout du côté gauche parce que là, on a un peu plus de matière. Mais, n'aller jamais, jamais, jamais plus loin que ça, à moins d'en être très expérimenté. et de pratiquer très régulièrement la méthodologie, sinon, il n'y allait pas.
Speaker #0
Absolument. Je crois que ça prend une maturité avancée pour aller au dernier niveau de la méthodologie. Parce qu'il ne faut pas oublier que pour chacun de ces facteurs, si on revient à la simulation Monte Carlo, pour chacun des facteurs, vous devez trouver le minimum, le maximum et la valeur probable. Pour chaque facteur, il y a trois données qu'il faut identifier et estimer pour pouvoir faire la simulation Monte Carlo.
Speaker #3
Très bien. Alors, juste si on continue dans le déroulé de la méthodologie. Donc, vous avez parlé de cet arbre avec les deux branches, la partie gauche et la partie de droite. Donc, avec un certain nombre de... Comment dire... de prudence à avoir au niveau de la profondeur de l'analyse. Et ensuite, comment on continue dans la méthodologie ? C'est quoi l'étape suivante ?
Speaker #0
Je disais tantôt qu'une fois qu'on a roulé la simulation, il faut interpréter les données. Donc, on va obtenir une distribution. Et on va vouloir regarder, par exemple, la médiane. On va vouloir peut-être regarder le 5 %, le 90, 95 %. Donc, il faut interpréter les données que ça nous donne. On va peut-être vouloir ajuster nos données d'entrée. Donc, pour chacun des facteurs, possiblement qu'on va vouloir modifier le minimum, le maximum, etc. quel impact ça aurait ou que cela aura sur la distribution. Donc, c'est le travail d'analyse qui est nécessaire après la simulation.
Speaker #3
D'accord. Donc là, le but du jeu, c'est plutôt exploiter les données pour dire, voilà, avec un niveau de confiance de 95 %, par exemple, je sais que mon profil de risque ne dépassera pas tel montant. C'est un peu ça l'idée. Je pense que surtout dans le but d'aller présenter ce type d'informations au board pour avoir une... pour donner une vision du risque plus quantitative et plus factuel d'un point de vue financier.
Speaker #0
Exact. Je reviens à ton exemple de perte de laptop, où on pourrait prendre le phishing comme exemple. Ce sont des événements, ce ne sont pas des événements de perte, mais ce sont des événements qui surviennent. Donc, Je vais prendre le phishing parce que je pense que je peux compléter le tableau quand même assez rapidement. Quand je dis tableau, c'est les différents facteurs. Chaque organisation reçoit des courriels. On pourrait demander combien de courriels par jour ou par année est-ce que l'on reçoit sur nos systèmes de courrier électronique. Sur ce nombre de courriels, combien sont des... attaques de phishing. On peut facilement trouver des sources sur Internet qui vont vous dire que 99% des courriels qui sont traités par les serveurs de courriel sont des courriels frauduleux ou des courriels d'hameçonnage. Donc, on a déjà deux informations ou deux données que l'on peut essayer de retrouver. Évidemment, on peut aller voir notre… technicien informatique pour lui demander est-ce que tu as ces informations ? Peut-être qu'il les aura, peut-être qu'il ne les aura pas. S'il ne les a pas, ce n'est pas grave. On peut encore là estimer de d'autres façons avec d'autres sources. Ensuite, évidemment, on veut savoir combien de courriels d'hameçonnage vont réussir à pénétrer nos défenses. Notre système de courrier électronique va probablement éliminer, encore là, 99% des courriels. Certains vont arriver dans la boîte courriel de nos utilisateurs. Dans la plupart des entreprises, on fait de la sensibilisation pour ne pas que nos utilisateurs se fassent avoir. Combien de ces utilisateurs-là vont effectivement cliquer sur le lien d'hameçonnage et finalement, combien de ces utilisateurs vont fournir des informations ? C'est une chose de cliquer, c'est une autre chose de fournir l'information. Déjà là, je vous ai identifié plusieurs données qu'on peut aller chercher pour ce scénario de perte de données causée par un hameçonnage. Il serait important d'identifier quel type de données qu'on pense perdre. et finalement arriver à quelle fréquence que l'événement va avoir. Donc, je résume. Admettons qu'on estime le nombre d'événements par année à deux événements par année de perte. Donc, de perte. Ce n'est pas juste des courriels qui passent les mailles de notre serveur de courriel et de la protection. C'est vraiment quelqu'un a… est tombé dans le panneau d'un courrier d'hameçonnage et il y a eu une perte associée. Peu importe la perte. L'impact, évidemment, c'est le coût associé à cette perte-là. Donc, admettons, on dit 500 000 $ ou 1 million de dollars pour ces deux événements-là. Donc, la perte annualisée d'un phishing, donc deux événements à 1 million de dollars. c'est 2 millions annualisés. C'est aussi simple que ça. Mais il faut se donner, puisque c'est des probabilités, puisque la méthodologie nous demande le minimum, maximum et le plus probable, en réalité, on pourrait, dans la méthodologie, on va devoir rentrer beaucoup plus d'informations. C'est-à-dire qu'on pourrait dire, j'ai un minimum d'un événement par année. J'ai un maximum peut-être de cinq événements par année, mais le plus probable, c'est deux événements par année. Même chose au niveau de la perte monétaire. On va prendre chacun des facteurs ou chacune des formes de perte, réputation, coût de remplacement, etc., etc. Et on va faire encore le minimum, maximum et le plus probable pour arriver à des résultats dans la simulation. qui vont nous permettre d'arriver à cette perte annualisée.
Speaker #3
Très bien. Parfait. En tout cas, oui, c'était une explication très claire. Alors maintenant, je me repositionne juste deux minutes dans la peau d'un ciseau. J'ai déjà pas mal de contrôles en place. J'ai implémenté du NIS SFV2. J'ai déjà une méthodologie d'évaluation du risque qui est... compatible avec l'ISO 27005, comment je peux rendre compatible cette approche, cette méthodologie avec ce que j'ai déjà ? Je pense qu'il y a déjà un point commun, c'est que tu as défini des scénarios. Souvent, dans les méthodologies de risque, que ce soit l'ISO 27005 ou alors EBIO CRM aussi, elles sont entre guillemets compatibles l'une de l'autre, mais il y a souvent des scénarios à définir. Donc, c'est déjà un point commun, mais selon toi, quels sont les points communs ? Comment on peut unifier ces deux approches ?
Speaker #0
Dans le fond, la méthodologie FAIR s'intègre à l'intérieur des cadres existants ISO, NIST. Donc, ce n'est pas incompatible. Au contraire, c'est complémentaire. et une méthodologie qui serait un... place dans une organisation aujourd'hui avec des, je pense, Nicolas Loé qui t'a parlé de cartes de chaleur. Je pense que c'est la première fois que j'utilise le terme français. Les cartes de chaleur peuvent être remplacées par la méthodologie FAIR quand même assez simplement. Je pense que c'est plus une question de culture d'entreprise aujourd'hui qui fait que ça n'arrive pas. Pour moi, la méthodologie FAIR, elle est complémentaire. Tu as parlé de l'impact, en fait, qu'on a déjà des contrôles en place. Et tout de suite, ça m'a fait penser à un débat que j'ai très fréquemment avec des experts en risque. Dans les méthodologies de risque standard, on parle souvent de risque inhérent et de risque résiduel. La méthodologie FAIR n'utilise pas ce langage et ne prend pas en considération la définition de risque inhérent tel que la plupart des méthodologies qu'on connaît. C'est-à-dire que souvent, on va dire le risque inhérent, c'est le risque s'il n'y avait aucun contrôle en place. Et là, il y a toutes sortes de débats qui surviennent entre est-ce qu'on… Est-ce qu'on évalue le risque inhérent, le risque actuel ou le risque résiduel ? Donc, il y a toutes sortes de lignes de pensée par rapport à la méthodologie FAIR et qu'est-ce qu'elle fait ou qu'est-ce qu'elle devrait faire. Mais honnêtement, si tu lis le livre, je pense qu'il y a un chapitre sur le sujet d'inérant versus résiduel versus ce que FAIR tente de faire. Je pense que c'est un débat interminable, en fait. FAIR prend en compte les contrôles et va évaluer, avec les contrôles en place, c'est là que tes données sont pertinentes. Quand tu évalues ton risque, tantôt on parlait de phishing, ton serveur de courriel, il est présent. Ton serveur de courriel a plusieurs contrôles en place pour éliminer le phishing, qui fait que lorsque tu demandes à ton administrateur système ou à la personne en charge du courrier électronique, tu es en mesure de demander combien de personnes dans l'organisation ont cliqué sur un lien. dans un courriel d'hameçonnage. Donc, les contrôles sont là. Le nombre d'événements, lui, que les contrôles soient là ou pas, l'événement se produit. Donc, si tu es en mesure d'arriver avec l'information, j'ai un nombre précis ou un nombre d'événements annuellement que tu dises que tu évalues le risque inhérent ou actuel. pas d'importance, mais c'est la première chose qui m'est venue en tête lorsque tu as parlé de contrôle en place. Encore une fois, la méthodologie FAIR n'est pas... En fait, il y a plusieurs éléments qui ont été créés à travers les années qui gravitent autour de la méthodologie FAIR, mais qui ne sont pas la méthodologie FAIR. Donc, si vous allez sur le site du FAIR Institute, vous allez voir FAIR CAM, FAIR MAN et autres. Et autres documents, il y a des white papers et autres. Ce n'est pas obligatoire d'utiliser FairCam et FairMAM. Donc, FairCam, c'est relié au contrôle. Donc, c'est comme une structure ou un cadre de référence sur les contrôles et comment ces contrôles sont appliqués ou comment ils impactent ou affectent un événement, un risque. Donc, c'est sûr que ça peut faciliter le travail de l'analyste s'il utilise FairCam. Et FairMAM est un peu dans le même principe, mais du côté de la matérialité du risque. Tout ça dans le but de créer un cadre de gestion de risque complet. Si quelqu'un n'a pas la méthodologie, par exemple, d'ISO en place, ils pourraient utiliser FairCam, FairMem. et FAIR ensemble pour développer sa méthodologie complète. Ce sont des blocs, c'est modulaire en fait, donc ça peut faciliter le travail d'implantation dans une organisation.
Speaker #3
Ok. Alors je te confirme qu'effectivement, il peut y avoir des débats infinis sur risque inhérent, risque résiduel, qualité du contrôle. Est-ce qu'on prend le worst case ou pas ? Est-ce que les contrôles sombrero sont efficaces jusqu'à quel niveau ? Et ainsi de suite. Donc oui, effectivement, c'est des discussions que je pense tous les gens qui gèrent le risque ont et continueront d'avoir, c'est assez sûr, parce que ça fait partie effectivement des discussions immuables au traitement des risques. Nicolas-Loi, tu voulais rajouter quelque chose ?
Speaker #2
Oui, puis je trouve ça intéressant cette forme de débat. Vincent a vraiment bien couvert plus vers la fin de son propos. Pour l'avoir vu dans des très grandes organisations, FAIR va vivre de façon concurrente avec d'autres méthodologies de risque, tout dépendant des secteurs de l'entreprise ou d'autres choses, mais ils vivent bien ensemble dans un écran, un écosystème, et ils vont s'alimenter mutuellement. L'exemple que j'ai le plus récent, c'est du EBIOS et du FAIR dans la même organisation, et les deux sont utilisés pour des scénarios différents, pour des usages différents, et finissent à terme par se réalimenter l'un et l'autre, puisque le... public qui utilise un et pas le même public que l'autre et dans ce cas-ci dans l'organisation du Jeux d'Abbé comme exemple, c'est plus le côté financier qui était très intéressant du côté de FAIR quand EBIAS et RM étaient utilisés exclusivement du côté de TI et était vraiment très cloisonné à cet univers-là quand que l'autre avait une portée organisationnelle et encore là quand on propose ces éléments-là dans la gestion des risques organisationnels. Ça devient intéressant de s'arrimer justement à beaucoup plus haut niveau et à mon sens, FAIR est beaucoup plus capable de parler avec la très haute direction qu'un EBIACRM va être capable de véhiculer le message vers le haut. Donc, dans cette organisation-là, il avait utilisé le juste équilibre entre les deux avant de descendre FAIR beaucoup plus bas dans l'organisation, mais il vivait dans les deux environnements de façon hydride et de façon très en symbiose essentiellement.
Speaker #3
C'est vrai que les biocermes, tous les workshops, les ateliers qui sont organisés dans le cadre des biocermes, impliquent souvent des gens plutôt sur les aspects techniques, parce qu'on va avoir des DSI, éventuellement des CISO, des choses comme ça. Donc ça reste effectivement plus du côté IT, alors que mon sentiment, encore une fois, parce que je ne suis pas du tout un spécialiste de la méthode O, En tout cas, faire sembl... plus orienté effectivement pour le management. Dans toute méthodologie, même si c'est la meilleure du monde, il y a quand même à un moment donné des limitations, des choses qui ne sont pas compatibles, enfin qui ne permettent, avec lesquelles on ne peut pas traiter certains cas. Selon vous, quelles sont justement ces limitations en termes de la méthodo ? C'est-à-dire, ce qu'on peut faire avec, on vient de le décrire, Donc, ça, c'est super. Mais par contre, il y a des choses qu'on ne peut pas faire avec, forcément, puisqu'il n'y a pas de méthode universelle. Selon vous, qu'est-ce qui n'est pas vraiment compatible avec la méthode ?
Speaker #0
Je trouve que, personnellement, ça peut être dangereux d'utiliser la méthodologie à toutes les sauces et croire que la méthode peut répondre à toutes les questions. Il faut faire attention aux extrêmes, en fait. Donc, je reviens au scoping des scénarios. un peu plus tôt, si on se pose la question « quel est mon risque relié au cloud ? » Ce scénario-là est trop vague et trop large pour que la méthodologie apporte une valeur ajoutée. À l'inverse, si le scénario que l'on regarde est trop spécifique et potentiellement très peu probable, les gens vont être désintéressés par l'analyse. Donc, l'objectif, ce n'est pas de faire 5000 analyses pour couvrir tous les risques, c'est de faire des analyses qui sont pertinentes et qui amènent, encore une fois, une valeur ajoutée pour la prise de décision. Voilà. Donc, je pense que la méthodologie permet aux analystes, mais aussi aux intervenants, dans l'organisation d'amener leur justificatif pour cette prise de décision. Et je crois que tout le monde ici, on a vu des situations où un projet est mis de l'avant pour corriger une certaine situation. Un CISO, un chef des SI, pardon, va décider de mettre... un million de dollars pour implanter un nouveau système informatique qui, soit disant, va réduire notre risque et après le projet, finalement, on réalise qu'on n'a pas atteint l'objectif. La méthodologie FAIR est là pour essayer d'amener ces arguments et ces justificatifs. Par contre… Merci. Ce que je vois très souvent, c'est qu'on passe beaucoup de temps à débattre sur le scénario, à débattre sur les données, et très peu de temps sur quel est le contrôle sur lequel je dois m'attarder, que je devrais prioriser. Quel est le montant ou la valeur de réduction de perte que je vais obtenir avec cette amélioration ou avec ces ajustements. Qu'est-ce que je pense que ce contrôle va venir réduire dans mon équation ? Est-ce que ça réduit la fréquence ? Est-ce que ça réduit mon impact, donc ma perte, donc l'ampleur, etc. ? On passe beaucoup de temps sur le scénario et, bon, tantôt, on parlait des laptops perdus. Il y en a à chaque année, comme tu le mentionnais, des ordinateurs qui sont perdus. Est-ce que... C'est un événement qui aujourd'hui, l'organisation se soucie. Tu mentionnais que tous les ordinateurs sont encryptés. Si les ordinateurs sont encryptés, est-ce que je me préoccupe de la perte de données ? Il faut se poser la question, si j'amène ce risque à un board ou à un exécutif, un manager, Est-ce que je vais avoir son attention ou s'il va très rapidement mettre ça de côté ? Sans nécessairement rentrer dans le vif de la méthodologie et de faire le calcul réel, des fois, on est en mesure d'arriver à la conclusion que c'est peut-être pas la priorité de l'organisation aujourd'hui. Par contre, il y a certaines situations qu'on veut faire l'analyse pour identifier est-ce que ça vaut la peine ou pas. Est-ce que c'est valable ou pas ? Peut-être parce qu'on a des débats justement avec des collègues, mais je pense qu'il ne faut pas trop s'attarder sur le scénario plus que sur la réponse et l'impact de notre réponse à ça. Donc, d'avoir une analyse vraiment bout en bout, qui ne va pas juste dire, « Ah, j'estime qu'on va avoir 4 millions de dollars de pertes » , et là dire que… Comme ça, tel contrôle va venir régler la situation, puis ça va réduire de un million, et le justificatif n'est peut-être pas derrière notre présentation. Donc, on passe souvent beaucoup de temps sur l'analyse, mais pas assez sur la réponse et les justificatifs reliés à la réponse.
Speaker #1
Ça, c'est quand même quelque chose d'assez spécial. spécifique, je pense, au risque appliqué à la cybersécurité. C'est que moi, j'ai souvent le sentiment, surtout quand on parle d'argent, parce que tout à l'heure, on parle d'argent, quand on négocie un budget sur un projet, etc., arrive souvent la tendance de dire « ça coûte X, mais vous allez le faire pour 80% de X » . Et la question qui arrive tout de suite, c'est de dire « finalement, quel va être l'impact de cette réduction ? » Donc, on réduit de 20%. Mais est-ce que le résultat attendu va être réduit de 20% ou de 50% ? Ou même peut-être de 80% ? C'est-à-dire le fait de ne pas mettre l'intégralité du budget fait qu'on ne va pas réaliser les contrôles à la hauteur auxquels on devrait les réaliser. Et donc, on va forcément peut-être un peu moins mitiger le risque, mais on le mitige moins de combien ? Et ça, c'est une question presque philosophique parce que... comment finalement optimiser ces investissements en matière de cybersécurité pour que ce soit qu'on puisse mitiger au maximum les risques pour le minimum d'investissement, parce qu'au final c'est ça le jeu et effectivement sans cette méthodologie et c'est la raison pour laquelle je suis intéressé un petit peu à comment ça fonctionne donc dans les exemples que tu as donnés c'est exactement ça, c'est le fait de pouvoir dire, en utilisant la méthodologie déjà pour factualiser des scénarios qui sont importants pour la société. Effectivement, perdre des laptops, c'est embêtant, mais ce n'est pas ça qui va faire couler la boîte. Donc ça, c'est un premier aspect que tu as très bien expliqué. Et un deuxième qui était un petit peu en filigrane, c'était aussi l'évaluation, c'est-à-dire, une fois qu'on a fait un cycle, est-ce que les décisions qu'on a prises étaient les bonnes ? Est-ce que l'investissement qu'on a pris d'investir un million pour réduire le risque, est-ce que ça a réellement porté ses fruits ou pas ? Et là, effectivement, il y a la notion des contrôles, la réévaluation des contrôles qui permet de voir si, oui ou non, on a pris la bonne décision.
Speaker #0
Oui, et cette réévaluation permet d'amener plus de précision. On parlait de la précision de nos analyses tantôt. Donc, on veut se rapprocher du drapeau, si je reviens à l'analyse ou à l'image du golf. Le premier cycle que l'on fait, on ne sera peut-être pas capable de le mesurer aussi bien. Par contre, il faut accepter cette imperfection. Dans certains cas, j'ai eu des collègues, par exemple, qui disaient, on a un système de détection de courriel frauduleux d'hameçonnage avec nos systèmes et ils voulaient changer de fournisseur. Ils disaient, la solution X est bien meilleure. Ça va régler tous nos maux de tête et ça a un coût, ces transformations, ces changements de solutions. Donc, l'analyse de FAIR permet de dire aujourd'hui, je suis à ce niveau de perte annualisée avec ce nouveau système. Où est-ce que je crois que je vais me rendre ? Et évidemment, très souvent, on est inconfortable dans ce deuxième aspect de l'analyse parce qu'il faut aller voir le fournisseur et lui poser la question, par rapport à ton compétiteur, combien… Comment d'efficacité je vais aller chercher ? Est-ce que, je disais tantôt dans mon exemple de phishing, je prévois que la probabilité, je vais avoir deux événements par année. En changeant de solution, est-ce que je vais atteindre zéro ? Est-ce que je vais atteindre un ? C'est là qu'il faut se poser la question, est-ce que c'est valable ? Est-ce que ça mérite d'être changé, d'être remplacé ? La plupart du temps, dans des analyses, lorsqu'on pose les bonnes questions, les gens sont inconfortables.
Speaker #1
C'est ça qu'on voit une bonne méthodologie. C'est quand les gens ne sont pas à l'aise, c'est que c'est des questions à poser.
Speaker #0
Oui. Si les gens sont trop confortables, c'est parce que vous ne posez pas les bonnes questions.
Speaker #1
C'est une technique d'auditeur, ça, je pense. Oui. Très bien. Parfait. Peut-être un mot de la fin, quelque chose que vous... que vous avez envie de rajouter par rapport à la méthode O ou quelque chose qui vous semble pertinent pour la compréhension ?
Speaker #0
Oh, je te donne l'honneur, Nicolas et Loïc.
Speaker #2
De faire ça. Si j'ai un mot de la fin là-dessus, c'est qu'il faut y aller par étapes, il faut y aller doucement, il faut y aller avec les premiers niveaux en haut en premier, se garder très léger, parce que l'exercice lui-même n'est pas censé être très long quand on commence. Il va devenir complexe avec le temps, mais de vraiment y aller doucement. et de s'approprier la méthodologie, quitte à la faire vivre de façon concurrente avec d'autres méthodologies que vous avez dans votre organisation, parce qu'il y a un bénéfice à ça, et de l'intégrer à plus haut niveau après, mais y aller vraiment doucement. Une fois que ça se fait, les habitudes se placent et les gens prennent du confort à agir. On a plus d'espace à poser des questions inconfortables, comme disait Vincent. Au début, les questions inconfortables sont plus restreintes, donc de vraiment y aller doucement. Et les bénéfices sont réels. Une fois qu'on a commencé à cibler la méthodologie, on a vraiment beaucoup. plus de retours et de capacités à agir de façon concrète sur l'organisation et de la faire maturer en cybersécurité. Je passe la main.
Speaker #0
Oui, bien, moi, je dirais aux gens de… Bien, le premier réflexe, je pense que tu l'avais, Nicolas, c'était de lire le livre. C'est une référence… Bon, il y a une nouvelle version qui est sortie récemment. Il y a… Il y a plusieurs personnes qui ont sorti des livres sur la méthodologie depuis, et quelques-uns sont très bons. Il y en a un dernièrement qui est sorti, il s'appelle « From Heat Maps to Histogram » , d'un ancien employé de Netflix qui a intégré ou implanté la méthodologie FAIR chez Netflix. Très brillant. très brillant auteur. Il est instructeur avec moi à l'Institut. C'est un livre que je recommande. Évidemment, Jack Jones, son livre, sa nouvelle version est aussi très recommandée. C'est lui qui a créé la méthodologie, donc je vous le recommande. Il y a aussi maintenant des... Avec les outils d'intelligence artificielle, des agents qui existent ou qui peuvent être créés par les utilisateurs. Donc, j'invite les gens peut-être à regarder ce qu'ils peuvent trouver. Jack Jones a publié lui-même un agent qui est disponible sur ChatGPT, mais il a aussi donné... la recette. Donc, si jamais votre organisation utilise une autre solution d'intelligence artificielle comme Copilote ou Cloud ou autre, il est possible de reprendre la recette et de créer un agent qui vous permettrait d'utiliser la méthodologie en posant des questions et là, la méthodologie ou la réponse de l'agent vous permettrait de cadrer vos scénarios, de... d'identifier les contrôles. Donc, je pense que c'est un assistant qui est pertinent, surtout pour quelqu'un qui commence, pour s'aider dans son travail.
Speaker #1
Sans vouloir faire de mauvais jeux de mots, il n'y a plus qu'à faire.
Speaker #0
Exactement.
Speaker #1
Très bien. En tout cas, je vous remercie beaucoup. pour toutes ces informations. Je pense que c'est une méthodologie qui a le mérite de répondre à des questions assez fondamentales, je pense, en cybersécurité quand on est vraiment dans le monde professionnel et quand on doit interagir avec des boards et autres ex-co. Puisque c'est toujours compliqué de transformer en chiffres et surtout en montants et en budget des efforts à réaliser. pourquoi on les fait et quel est le bénéfice attendu. Le fameux retour sur investissement dont tu parlais, Vincent. voilà donc j'invite vraiment mes auditeurs à s'intéresser à ça, je pense que c'est vraiment quelque chose qui au moins sur le principe peut amener de nouvelles idées et j'espère en tout cas que ça aura peut-être éclairé certains d'entre vous, peut-être encore mieux inspiré Voilà, encore merci Vincent et Nicolas Loïc d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. Et comme je le dis souvent, pour certains, la cybersécurité est un objet de mort bien plus sérieux que ça. Merci.

Embed