6 répercussions très réelles des cyberattaques sur les entreprises

En matière de gestion des risques informatiques, vous ne pouvez pas gérer efficacement ce que vous ne pouvez pas mesurer correctement. Selon Jeff Welgan, directeur exécutif et responsable des programmes de formation des cadres chez CyberVista et orateur lors du Sommet sur le leadership financier 2019 de FEI, les dirigeants d'entreprise doivent connaître et se préparer aux six types d'impacts suivants:

1. Financial: Coûts associés aux pertes primaires et secondaires qui continuent à augmenter d'année en année

2. Opérationnel: Perturbation des opérations et des systèmes commerciaux clés

3. Stratégique: Impacts sur la valeur de la marque et sur la réputation, à l'instar d'un roulement anormal des clients [19659005] Physique: Où virtuel et physique se rencontrent. menaces sur les biens matériels, les infrastructures critiques et la vie humaine

5. Réglementation / conformité : Augmentation de la réglementation, des amendes et des pénalités, poursuites civiles et recours collectifs

6. Personnel: Tentative de poursuites en justice visant le conseil d'administration de directeurs et «retraites anticipées» pour les cadres

Bien que les risques d'attaques financières et de réputation soient évidents, nous ne pouvons pas prendre en compte d'autres impacts, tels que physiques et personnels.

«Nous devons examiner les implications physiques. Cela n’affecte probablement pas la plupart des organisations dans cette salle aujourd’hui », a déclaré Welgan au public. «Mais du côté de la fabrication et des soins de santé, vous devriez voir de plus en plus de cela maintenant ou vous en soucier davantage.»

À propos des répercussions personnelles, a déclaré Welgan, «Parfois, le retour sur investissement signifie un risque d'incarcération. Il a également souligné les nombreux cadres qui ont perdu leur emploi suite à de grandes violations.

Lorsqu'il est question de mesurer le risque en toute confiance, il est important de définir la différence entre prédiction, probabilité et possibilité. «Prédire, c’est faire des déclarations concrètes sur ce qui va se passer dans le futur ou du moins faire allusion au fait que quelque chose va ou ne va pas se passer», a expliqué Welgan. «Ce serait la même chose que de dire que vous avez un jeu de cartes et que la prochaine carte que vous allez retirer est un as de pique. C’est mieux si nous pouvons passer à un modèle plus quantifiable: «Vous avez une probabilité de 1 sur 52 que la prochaine carte que vous retirez soit un as de pique.» Il ya donc une différence discrète entre ces deux. Nous devons également examiner la probabilité dans le sens de grands événements. Est-il probable que lorsque vous rentrerez chez vous à New York, vous serez attaqué par un tigre si vous sortez de la voiture? Probablement pas. Mais est-ce possible? Oui. »

Une autre distinction importante est la subjectivité par rapport à l'objectivité. «Nous voulons éviter cela à tout prix avec la quantification des cyber-risques», a déclaré Welgan. «Lorsque nous disons que notre cyber-risque est élevé, faible ou moyen, il s’agit là d’une mesure subjective.

En utilisant le modèle FAIR (Analyse factorielle du risque informationnel), les organisations peuvent mesurer, gérer et rapporter le risque informationnel du point de vue commercial. Welgan dit qu'une gestion efficace des risques nécessite de prendre des décisions éclairées, ce qui nécessite une comparaison efficace. «Pensez à l’achat d’une voiture. Vous allez acheter une BMW ou une Audi. Pour ce faire et prendre une décision éclairée, vous devez commencer à comparer ces deux voitures. Lequel a plus de fonctionnalités que vous aimez? La couleur pourrait être un facteur. Le coût pourrait certainement être un facteur. Vous voulez savoir quelles sont ces mesures significatives pour pouvoir effectuer des comparaisons efficaces. Lorsque nous reparlerons du cyberespace, nous aurons besoin d'un modèle précis pour prendre ces mesures, et c'est là que le modèle FAIR entrera en jeu. ”

Pour FP & A, il y a risque, puis incertitude . Connaissez-vous la différence?

Cet article a paru à l'origine sur FEI Daily et est republié sur autorisation.