La chasse au cendre du groupe Apex a piloté un modèle axé sur les statistiques pour prédire divers événements de cyber-risque, calculant l’exposition aux pertes et ajustant les dépenses de cybersécurité en conséquence. Jouer par les chiffres battra les intuitions.
Vous ne vous attendez pas à ce qu’un musicien de jazz professionnel se transforme en expert en politique de cybersécurité, mais c’est l’histoire de Ash Hunt (ci-dessous), auteur d’un article révolutionnaire sur l’analyse de cyber-risque.
Grâce à lui, nous pouvons marquer un risque de cybersécurité par les chiffres, pas par intuition.
La notation du cyber-risque, bien sûr, n’est pas nouvelle, mais évaluer les risques d’une manière quantifiable et cohérente nécessite encore des encouragements. De nombreuses entreprises ont été lentes à se conformer et les groupes de réglementation prennent maintenant la cause. Les nouvelles règles adoptées par la Securities and Exchange Commission (SEC), en fait, depuis décembre, exigent que les sociétés publiques divulguent leurs processus d’évaluation, d’identification et de gestion du risque matériel. Cela est conforme aux autres autorités réglementaires qui nécessitent des évaluations des risques dans certaines industries.
C’est peut-être de la musique pour chasser les oreilles
Le polymathe britannique a ramassé la trompette à l’âge de 5 ans, est devenu assez bon pour jouer dans des lieux comme l’illustre 100 club de Londres, puis a étudié pour un diplôme en classiques. Son intérêt s’est tourné vers la politique de cybersécurité, et il s’est scolarisé en partie en assistant à des discussions à l’Institut politique basé à Londres Chatham House, où il a développé des contacts qui l’ont finalement amené à représenter l’ONU lors d’une conférence de cybersécurité. De là, il a occupé des postes confidentiels au ministère britannique de la Défense, avant de travailler au Forum de la sécurité de l’information (ISF) comme le risque quantitatif d’information. Cela l’a préparé à prendre le travail du CISO mondial chez le fournisseur de services financiers Apex Group en 2022.
C’est au cours de ses années ISF, de 2016 à 2018, que Hunt a développé un cadre pour appliquer des nombres difficiles à l’analyse des risques de cybersécurité. Il le voit comme un écart par rapport aux pratiques traditionnelles de gestion des risques qui n’étaient pas meilleures qu’un doigt dans le vent.
La nécessité d’une analyse des risques plus mature
Bien que l’analyse quantitative des risques existe depuis des décennies dans d’autres domaines, il était beaucoup plus lent à faire dans le monde de la technologie, explique Hunt.
«Les personnes opérant dans ces domaines n’avaient pas d’expérience en gestion des risques – ils avaient expérimenté des analystes techniques et des ingénieurs», dit-il. Il déplore une forme d’analyse des cyber-risques née de grandes consultants qu’il appelle le score de la lumière du trafic, où les gens attribuent subjectivement les scores rouges / verts / ambre à différents risques. C’est une méthode courante d’évaluation des risques de cybersécurité parmi les entreprises qui le font du tout, explique Hunt. «Cela a soutenu toutes les dépenses de technologie et d’organisations, et le fait toujours aujourd’hui», dit-il, l’appelant une pratique pernicieuse.
Au lieu de cela, il a piloté une méthode quantitative d’analyse des risques de cybersécurité basée sur la modélisation de Monte Carlo, qui utilise un échantillonnage répété pour prédire la probabilité de différents résultats dans les scénarios où il a été présent – un peu comme les tableaux de jeu des casinos de Monte Carlo, pour lesquels il a été nommé nommé . Développé à l’origine dans les années 40 à des fins de recherche militaire, il s’agit désormais d’une technique courante dans des domaines allant de la gestion du portefeuille financier à la prévision de la météo.
Utilisation de la modélisation de Monte Carlo pour le cyber-risque
«Le moteur Monte Carlo est une calculatrice mathématique géante qui nous permet de simuler des scénarios des milliers de fois dans un modèle mathématique», explique Hunt. Le modèle de l’ISF utilise cette méthode de modélisation statistique pour suivre le risque de cybersécurité.
«Il s’agit de comprendre quels scénarios pourraient nous empêcher d’atteindre nos objectifs, de déterminer la fréquence à laquelle ils se produisent, ce qui les cause et quels contrôles nous avons en place pour atténuer les effets d’eux», explique Hunt.
Le cadre est largement structuré autour d’une équation simple: la fréquence d’un incident de sécurité multiplié par la perte qu’ils génèrent équivaut au risque. Cependant, dans la pratique, il y a plus de variables que celles-ci. La perte comprend d’autres points de données, notamment la perte de productivité, le temps et les coûts nécessaires pour réparer ou remplacer les systèmes compromis et les pénalités légales ou réglementaires.
Contrôles quantitatifs des risques en action
Bien que Hunt ne puisse pas révéler les économies précises qu’il a réalisées chez Apex Group avec cette méthodologie, il dit qu’il offre un avantage substantiel lorsqu’il investit dans la technologie de cybersécurité. Lorsqu’il a commencé chez Apex, il a utilisé le cadre pour calculer l’exposition à la perte en analysant les types d’événements de risque dans chaque domaine, ainsi que la fréquence des événements, et l’exposition minimale à la perte pour ces risques.
Hunt a nourri des mesures dans le modèle Monte Carlo couvrant l’environnement commercial et technique jusqu’aux actifs et sources de menaces et aux évaluations des contrôles existants. Cela a permis à Hunt et à son équipe de projeter une gamme de pertes pour les risques dans ce domaine ainsi qu’une probabilité de cette perte.
«Lorsque nous avons agrégé ceux qui dans plusieurs scénarios, il était clair qu’un domaine particulier était la préoccupation la plus importante pour nous, par le biais de sa contribution à l’exposition aux pertes», dit-il. Il reste très lourds sur le domaine des opérations ou de la technologie commerciales.
La sortie de ces calculs a permis au groupe Apex une base pour planifier un ensemble de contrôles de cybersécurité qui pourraient réduire la perte potentielle. Le relâchement du modèle Monte Carlo comme si ces contrôles étaient en place ont montré l’écart entre la situation de cybersécurité existante et plus améliorée. La mesure de cette différence contre chaque investissement en cybersécurité proposé a fourni à l’équipe un retour sur investissement potentiel pour ce contrôle de la sécurité.
«C’est une excellente méthode pour tester le stress quels commandes vous devriez effectuer avant de lancer l’activité de correction», explique Hunt.
Aucune métrique laissée derrière
Tout cela semble intelligent, mais que se passe-t-il lorsque les CISO n’ont pas les données nécessaires? Le manque de données ne devrait pas être un obstacle dans l’analyse quantitative des risques, soutient Hunt. Il n’y a pas de seuil de qualité standard dans ce type d’analyse statistique, souligne-t-il; Vous travaillez simplement avec les données dont vous disposez. L’ensemble de la pratique consiste à modéliser l’incertitude, et le cadre renverra une gamme de pertes potentielles dans ses résultats qui deviendront progressivement plus précises.
«Le jour où vous serez le pire de cette approche de la modélisation des risques est le jour où vous commencez», dit-il.
Le modèle comprend une partition décrivant à quel point les gens devraient être confiants dans ses prédictions. Il améliore continuellement ce score de confiance en utilisant la rétroaction et l’ajout de plus de données au fil du temps. «Vous n’iras jamais en arrière. Il s’agit d’un retour sur investissement continu et toujours agrégé pour l’utilisateur final, qui est une proposition extrêmement attrayante. »
Les modèles axés sur les statistiques surpassent toujours l’instinct, affirme que la chasse. Avec des modèles de sécurité sortants adoptant une approche subjective et large, il dit qu’un modèle quantitatif ne peut qu’améliorer les performances. Les jours de la sécurité par précaution sont terminés. Bienvenue à l’ère des nombres difficiles.
Apprenez à protéger vos points de terminaison critiques et vos charges de travail cloud avec la plate-forme Tanium.
