L’affaire qui oppose le géant mondial de l’alimentation Mondelez et le groupe d’assurances Zurich sur un contentieux lié aux dommages réclamés dans le cadre d’une attaque de type Ransomware (programme malveillant NotPetya) et non réglés par l’assureur pose la question : à quoi servent les cyber assurances ? Cette interrogation renvoie à deux interrogations : Qu’est-ce qu’une cyber assurance aujourd’hui ? Quels sont les risques qu’on peut partager en souscrivant un contrat d’assurance..
EBIOS est une méthode d’analyse de risques développée dans sa version initiale par la DCSSI (direction centrale) devenue ANSSI (agence nationale). Cette méthode qui a évolué d’EBIOS 2010 vers EBIOS Risk Manager est couramment utilisée dans le cadre des homologations (défense, référentiel général de sécurité, activités d’importance vitales…), pour des certifications ISO 27001 et Cloud ou établir des attestations de conformité (SOC for Cybersecurity par exemple). L’analyse et le traitement des risques sont des activités de fond pour tout professionnel de la sécurité car il s’agit d’adapter les mesures de sécurité au niveau requis. EBIOS Risk Manager peut par conséquent être suivie dans un cadre plus large que les homologations et les certifications. D'autres types de méthodes, centrées sur le développement logiciel se concentrent sur la modélisation des menaces. EBIOS Risk Manager suit les bonnes pratiques de la norme ISO 27005.
La norme ISO 27005 fournit des bonnes pratiques pour analyser et traiter les risques de cybersécurité. Ce guide est particulièrement utile pour mettre en œuvre un SMSI (Système de Management de Sécurité de l’Information) certifié ISO 27001 ou pour les hébergeurs de données de santé en France. ISO 27005 ne constitue pas une méthode comme EBIOS Risk Manager ou FAIR. Cette norme est plutôt un guide qui propose des lignes directrices à la gestion des cyber-risques, à l'instar du référentielde l'ISACA pour les risques IT. Chaque activité décrite dans la norme comprend les éléments d’entrée requis, la description des actions, des préconisations de mise en œuvre et les éléments de sortie.
ISO 31000 fournit des bonnes pratiques pour la gestion des risques, quelque soit leur forme et quelque soit le secteur professionnel. C’est donc un cadre plus général que des méthodes qui se concentrent sur les risques cyber comme EBIOS Risk Manager, FAIR, ISO 27005 le référentiel de l’ISACA ou encore le RMF du NIST. ISO 31000 définit un risque comme l’effet de l’incertitude sur les objectifs. Cet effet peut être positif ou négatif. Il peut entrainer des opportunités ou des menaces. La finalité de la gestion des risques au sens de l’ISO 31000 est de créer et préserver de la valeur pour l’entité.
L’association ISACA est un acteur reconnu dans le domaine de la gouvernance IT. Créée en 1969 par un groupe d’auditeurs, l’ISACA est présente mondialement. Cette association est à l’origine du référentiel COBIT et propose plusieurs certifications professionnelles comme CISA en audit ou CRISC pour les risques. Le référentiel de gestion des risques IT de l’ISACA a été mis à jour récemment. Il traite l’ensemble des risques IT auxquels une entreprise est confrontée. Le référentiel comprend trois documents principaux : une description du cadre, un guide de mise en œuvre et des exemples de scénarios de risques.
Le NIST 800-37 décrit le cadre de gestion des risques et fournit des lignes directrices pour l’appliquer. Il est par exemple utilisé aux Etats-Unis pour les homologations Cloud FedRamp et les conformités FISMA. RMF est complété par le guide d’évaluation des cyber risques NIST 800-30. Le NIST a développé AI RMF, un référentiel particulier pour les risques liés à l'Intelligence Artificielle.
L’agence européenne de la sécurité des systèmes d’information, l’ENISA (European Network an Information Security Agency) basée à Heraklion, dont le rôle a été renforcé par le règlement européen CyberSecurity Act a publié un référentiel des risques Cloud en 2009 et revu en 2012. Ce référentiel fait partie du programme des certifications CCSK et CCSP. Il aborde les bénéfices des services Cloud pour la sécurité, les risques et propose une évaluation générique en fonction de la vraisemblance et de l’impact métiers des scénarios envisagés.
