Comment SPARQ aide les établissements de santé à quantifier les cyber-risques
SPARQ comprend une solution de plateforme qui exploite l’intelligence artificielle et fournit des mises à jour en temps réel sur l’évaluation quantifiée des risques d’une organisation afin qu’il ne s’agisse pas d’un événement ponctuel mais d’un processus continu pouvant aider les organisations à développer un programme de cybersécurité plus mature.
D’un point de vue narratif, c’est le contraire d’une case à cocher de conformité. Plutôt que de faire appel à des assureurs ou à des enquêtes externes pour éclairer l’évaluation des risques d’une organisation, nous examinons de fond en comble ce qui fait le plus de différence dans la situation unique d’une organisation, quels aspects réduiront le plus le risque et quels domaines seront le meilleur endroit pour investir.
Après l’évaluation, les organisations n’auront plus besoin de parcourir les 24 résultats pour savoir à quoi s’attaquer en premier. Avec SPARQ, chaque risque se voit attribuer une valeur monétaire, de sorte que la conversation peut commencer par : « Ce projet particulier coûte 200 000 $, mais il achète 9 millions de dollars pour un an de risque. » Cela entraîne ensuite des discussions sur les domaines dans lesquels les organisations peuvent investir pour réduire le plus de risques, ou déplacer l’aiguille des dépenses en capital par rapport aux dépenses opérationnelles, ou aider le directeur financier à atteindre un objectif de bénéfices. Il permet aux équipes de sécurité de parler le langage des affaires.
Traditionnellement, les RSSI ne sont pas très doués pour communiquer de la même manière que le PDG ou le directeur financier s’adresse au conseil d’administration. Avec SPARQ, ils peuvent commencer à utiliser cette approche en dollars et en centimes pour dire : « Voici les risques, voici les compromis, et voilà la combinaison d’investissements que nous voulons faire. »
Dans le passé, en tant que responsables de la sécurité, nous sommes allés dans les salles de conseil d’administration pour essayer d’exprimer à quoi ressemblent nos mesures, à quoi ressemblent nos vulnérabilités, à quoi ressemblent ces scores de risque, et cela ne se traduit pas facilement pour les dirigeants. Désormais, en attribuant des valeurs monétaires à ces risques, les RSSI peuvent mieux prioriser les défis qu’ils tentent de résoudre.
Vous avez donc quantifié vos risques de cybersécurité. Quelle est la prochaine étape ?
Lorsqu’une organisation a identifié et quantifié ses vulnérabilités et peut affirmer qu’elle court un risque de 20 ou 100 millions de dollars, ou quel que soit le montant, la question se pose alors : que faire à ce sujet ?
Il existe généralement quatre options :
- L’organisation peut éviter le risque en ne faisant rien, mais cela ne mène à rien.
- Il peut accepter le risque et éventuellement analyser son appétit pour le risque.
- Elle peut transférer le risque vers une autre entité, comme la cyberassurance.
- Il peut atténuer le risque grâce à des contrôles.
SPARQ aide les organisations à décider quelle serait la bonne combinaison des options 2, 3 et 4. Quelle part de risque doit être transférée à la cyberassurance ? Combien d’argent l’organisation récupérera-t-elle en réduction des risques pour ce qu’elle dépense ? Il s’agit d’une approche plus ciblée des dépenses informatiques qui permet aux dirigeants de dire : « OK, voici le montant que nous voulons transférer à l’assurance, et voici le montant que nous allons atténuer et dépenser en contrôles. »