Comment gérer les risques à faible probabilité et à fort impact?

Maintenant, nous évaluons généralement ces problèmes en multipliant la probabilité d'occurrence par les dommages attendus, mais dans ce cas, nous sommes perdus à essayer de multiplier un nombre tendant vers zéro par un nombre tendant vers l'infini et de trouver une réponse cohérente.

C'est malheureusement ce que vous devez faire dans ce cas. Mais je ne crois pas que ce calcul soit vraiment aussi difficile que vous le prétendez.

Le risque peut être estimé en estimant d'abord combien d'entreprises sont confrontées à la même menace de sécurité et ne prennent pas les précautions nécessaires. Ensuite, vous parcourez les reportages pour vérifier combien d'entreprises en sont affectées chaque année (plus une estimation éclairée du nombre d'entre elles qui ont réussi à empêcher le désordre de devenir public). Divisez le deuxième nombre par le premier, et vous avez un pourcentage de risque.

Vos dégâts ne tendent pas vers l'infini. L'événement qui se rapprocherait le plus de "dommages infinis" serait un effondrement de tout le continuum espace/temps de l'univers (et même c'est un événement où vous pourriez faire une estimation de fermi pour quantifier les dommages en dollars =, si vous vous ennuyez et êtes intéressé par l'astrophysique). Les dommages les plus importants que vous pourriez causer de manière réaliste sont la faillite de votre entreprise. Peut-être pourriez-vous causer encore plus de dommages si vous tenez également compte des dommages causés à d'autres personnes. Mais lorsque votre entreprise est en faillite, elle ne peut pas payer ces dettes. Vous pouvez donc utiliser la valeur nette de l'entreprise comme limite supérieure de vos dommages attendus.

Un avertissement que cette réponse vient de la théorie, pas de l'expérience.

1. Y a-t-il des conséquences éthiques concernant l'impact du mauvais événement sur les autres? Cela nuira-t-il à vos utilisateurs? Pensez également aux employés de l'entreprise qui pourraient être blessés s'ils étaient ruinés par une attaque. Si tel est le cas, vous pourriez avoir l'impression que vous avez une obligation éthique d'atténuer.

2. Si vous atténuez l'attaque, votre entreprise peut-elle l'utiliser comme argument de vente ou avantage concurrentiel?

3. L'assurance peut ne pas fonctionner si les dommages seront à la réputation de votre entreprise; l'assurance ne peut pas vraiment vous aider à vous remettre de cela. Cela dépend de la forme des dommages, peut-être que l'assurance est une bonne option.

4. Maximiser les résultats monétaires attendus n'est pas nécessairement un bon moyen de prendre des décisions, sauf en cas de problèmes à faibles enjeux. Supposons que vous puissiez prendre un risque avec 99% de chances de mettre l'entreprise en faillite, mais 1% de chances de multiplier sa valeur nette par 200. "Dans l'attente", vous doublez la valeur de l'entreprise, mais vous serez presque certainement sans emploi.

5. Au lieu de la valeur attendue, envisagez peut-être des objectifs tels que la survie à long terme de l'entreprise. Par exemple, dans le cadre des deux options (atténuer ou non), combien de temps pensez-vous que l'entreprise sera dans les parages? (a) Si l'entreprise est en difficulté et qu'une augmentation de 8% du budget est susceptible de la mettre en faillite, alors vous n'avez pas d'autre choix que d'ignorer le problème et d'espérer que vous aurez de la chance. S'il survit à cette période et s'épanouit, vous pouvez investir à ce stade. (b) Si l'entreprise se porte bien, il semble qu'elle puisse se permettre de jouer en toute sécurité. (c) Si quelque part au milieu, la décision de ce point de vue devient difficile.

6. Il semble peu probable que les hauts fonctionnaires souhaitent qu'une telle décision soit prise sans leur contribution ou leur contrôle ...

Vous devez tenir compte du fait que votre équipe connaît ce vecteur d'attaque.

Si simplement savoir sur la vulnérabilité facilite l'exécution de l'attaque, vous pouvez avoir un problème plus important que vous ne le pensiez. (Par exemple, une porte dérobée difficile à trouver connue de votre équipe.)

Si tel est le cas, les membres de votre équipe figurent en tête de liste des adversaires à craindre et la probabilité d'être attaqué peut être beaucoup plus élevée qu'elle ne le serait si votre équipe ne le savait pas.

Les employés peuvent et sont souvent mécontents. Prenez cela en considération.

Vous obtenez une assurance qui couvrirait ce risque. Comme il est très peu probable, il est difficile à évaluer pour vous, alors au lieu de créer une assurance individuelle, vous essayez de l'intégrer à une assurance qui couvre des risques plus banals. Fondamentalement, vous vérifiez quelle assurance que vous avez déjà ou dont vous avez probablement besoin serait la plus susceptible de la couvrir, et si ce n'est pas le cas, essayez de négocier un accord supplémentaire où il serait couvert.

L'assurance consiste à convertir un risque résumé plus faible (probabilité d'événement multiplié par le coût monétaire de l'atténuation de l'événement) en un risque résumé plus élevé (probabilité de multiplier par 1 le coût monétaire de l'assurance) tout en convertissant un risque opérationnel plus élevé (probabilité d'événement multiplié par les dommages ultimes de tous conséquences de la survenance pour l’entreprise) en une baisse (coût monétaire de l’assurance).

Cela n'a de sens que pour le vendeur et l'acheteur d'assurance lorsque les dommages sans atténuation sont supérieurs au coût de l'atténuation, c'est-à-dire lorsque les dommages sans atténuation mettraient gravement en danger la poursuite des activités.

Vous avez choisi la bonne approche:

Maintenant, nous évaluons généralement ces problèmes en multipliant la probabilité d'occurrence par les dommages attendus ...

et vient de faire face à ses limites:

nous sommes perdus à essayer de multiplier un nombre tendant vers zéro par un nombre tendant vers l'infini

Je dirais que vous faites face à un risque inacceptable (pourrait causer un coup majeur aux opérations de l'entreprise et potentiellement ruiner l'ensemble de l'entreprise) avec une occurrence très faible.

À mon avis, vous êtes face à une décision stratégique. En tant que chef d'équipe, votre rôle est de transmettre le problème à votre patron, ainsi que ses éléments: que se passera-t-il si votre organisation subit cette attaque, combien d'attaques ont été vues ces dernières années, quelles sont les atténuations possibles pour ces attaques et quel est leur coût. Lorsqu'il s'agit d'un risque important et d'un coût important, la décision appartient normalement au patron principal.

Votre première étape serait de faire une analyse des risques quantitative appropriée. D'autres réponses ont déjà fourni des pointeurs ici, je tiens particulièrement à soutenir la mention de "Comment mesurer quoi que ce soit dans le risque de cybersécurité" , un livre brillant. Vous pouvez également regarder vers JUSTE comme méthode quantitative.

Cependant, la gestion des risques ne commence ni ne se termine par l'analyse des risques. Surtout pour les risques de "cygne noir", d'autres facteurs entrent en jeu. Vous les couvrez avec des critères de risque définis d'appétit pour le risque et .

Votre entreprise doit définir son appétit pour le risque , qui indique comment il se rapporte au risque (préfère être conservateur et éviter les risques, préfère être plus agressif et accepter les risques, etc.). Cela pourrait définir que les risques au-delà d'un certain impact sont inacceptables même si leur ressemblance ou leur fréquence est faible. En règle générale, les risques qui détruiraient certainement l'entreprise entrent dans cette catégorie.

Ce sont de bons candidats à atténuer via des assurances, si possible. "L'occurrence rare mais impact catastrophique" est le territoire d'origine des assurances.

La deuxième définition dont vous avez besoin est les critères de risque qui définissent les types de risques que vous ne souhaitez pas accepter pour des raisons éthiques, des raisons de responsabilité légale ou autres. Par exemple, vous pouvez définir que le risque pour la vie humaine est inacceptable même si la quantification tombe dans la plage acceptable. Ou qu'une peine de prison potentielle pour les cadres de niveau C est inacceptable quelle que soit la valeur de risque quantifiée.

Avec ces trois choses faites - analyse des risques, appétit pour le risque et critères de risque - vous devriez avoir un résultat exploitable. Votre cygne noir sera soit inacceptable par l'appétit ou les définitions des critères, ou sinon c'est simplement un autre risque qui doit être traité comme un autre. L'analyse peut être particulièrement volatile en raison de la faible fréquence et de l'insécurité pour bien l'estimer, c'est là qu'une méthode quantitative appropriée qui peut prendre en compte a) la plage de valeurs et b) la confiance des estimations entre en jeu et vous aidera . (* voir ci-dessous)

Par exemple, dans l'analyse des risques que je fais habituellement, j'utilise une méthode de Monte Carlo et l'une de mes sorties est un nuage de points de tous les résultats du scénario. Tous les cygnes noirs apparaîtront comme des valeurs aberrantes individuelles (et rares), et je peux les identifier et les voir dans leur contexte.

Au final, surtout pour les risques à fort impact, vous préparez la décision . Une personne disposant de l'autorité appropriée prend la décision sur la base de vos informations, votre devoir est donc de leur donner une vue d'ensemble sans les surcharger d'informations non vitales pour la prise de décision.

Encore une remarque sur le traitement des risques. Vous pouvez regarder au-delà de l'analyse et vérifier les options de traitement possibles. Si vous pouvez identifier un traitement qui change radicalement l'une de vos valeurs d'entrée avec un petit effort, cela pourrait valoir la peine de le faire dans le but de rapprocher vos camps. Par exemple, s'il existe une mesure qui réduirait l'impact de la destruction d'une entreprise catastrophique à un risque grave mais survivant, et vous pouvez transformer votre cygne noir en un risque à fort impact régulier.

(*)

Étant donné que de nombreuses personnes n'ont jamais vu une analyse quantitative des risques appropriée, ce que vous recherchez est quelque chose qui ne prend pas une valeur en entrée, mais une plage et un paramètre de forme. PERT est une méthode - vous identifiez la valeur raisonnablement probable la plus basse, la valeur raisonnablement probable la plus élevée et la valeur la plus probable. Aussi connu comme optimiste-réaliste-pessimiste. Une autre approche consiste à spécifier explicitement une valeur de confiance qui façonne votre courbe. Dans une distribution bêta, ce serait la valeur lambda.

Regardez Fair- pour un exemple. J'aime bien la méthode FAIR, mais il y en a d'autres. N'acceptez pas moins qu'une approche quantitative appropriée (parfois appelée statistique) pour résoudre ces scénarios de risque plus délicats.

tl; dr: en ce qui concerne un vuln de sécurité, un impact suffisamment élevé signifie qu'il doit être atténué, quelle que soit la probabilité. En plus de cela, cette probabilité n'est pas statique, elle est constamment, peut-être radicalement, en augmentation.

Il y a un livre The Black Swan: The Impact of the Highly Improbable de Nassim Taleb qui tire la plupart de ses exemples de la finance, mais est un livre sur la problème auquel vous êtes confronté

• L'événement est rare, potentiellement proche de ne jamais se produire
• Si l'événement se produisait, l'impact serait grave

Le livre présente un argument philosophique approfondi sur la raison pour laquelle des outils d'évaluation des risques simples/communs tels que votre "probabilité de multiplication par impact" sont mal adaptés à l'évaluation des risques posés par de tels cas extrêmes et conduisent à une sous-évaluation des risques.

Taleb encourage la minimisation de l'exposition aux événements à fort impact négatif, même si la probabilité d'un événement est très faible, la bonne décision atténue une catastrophe potentielle.

J'aime les idées de Taleb, et je pense qu'il a également mentionné la cybersécurité et la façon dont les entreprises sous-estimaient le cyber-risque dans son addendum à ce livre, mais voici mon opinion en tant que personne ayant au moins un intérêt passager pour la sécurité.

Si votre entreprise est vulnérable à une menace activement exploitée dans la nature, la probabilité que cette attaque soit dirigée contre votre organisation augmente géométriquement avec le temps. Les attaques ne disparaissent pas, elles deviennent simplement plus sophistiquées et plus faciles à détecter et à automatiser. Ce qui nécessite aujourd'hui une réflexion et une manipulation pratiques par un pirate intelligent n'est qu'à quelques années d'être automatiquement détecté et exploité par un bot. Ce saut technologique pourrait se produire du jour au lendemain et vous êtes en attente le lendemain.

Tout cela pour dire que contrairement à certains 0-day uniques dans votre application, la probabilité d'attaque dans votre situation n'est pas un nombre fixe, sa croissance. De plus, cette probabilité ne va pas croître à un rythme soutenu, elle peut et va probablement faire des bonds rapides.

Voici l'affaire:

Si vous n'avez que vos propres données à protéger, faites ce que vous voulez, mais si quelqu'un a des données obsolètes dans votre système qui pourraient être compromises, vous ferez l'une des choses suivantes:

1. Protégez les données avec ce qui est la norme ou la recommandation de l'industrie.
2. Informez vos clients/clients/produits que vous protégez les données qu'ils vous confient en croyant que les attaquants n'attaqueront pas vos systèmes.

Avec cela, vous arrivez à une conclusion simple: Protégez vos systèmes de manière à pouvoir dire à vos clients/clients/produits la façon dont vous protégez leurs données sans les faire cesser d'être vos clients/clients/produits.

Moins que cela et vous êtes trompeur envers vos parties prenantes (cela peut surprendre, mais oui, vos clients/clients/produits dont vous stockez les données sont des parties prenantes de votre entreprise - même des gens ordinaires -, surtout quand cela vient à la disponibilité de ces données pour les tiers que ces parties prenantes pourraient ne pas vouloir voir se produire et vous êtes responsable de vous assurer que les données sont correctement protégées, de peur de leur dire que vous utilisez des demi-mesures pour protéger leurs données lorsqu'elles les soumettent).

En plus de tout le reste: ne soyez pas aveuglé par des formules simples qui calculent vos chances d'être la cible d'une attaque; La cible d'une attaque n'est pas choisie au hasard parmi toutes les sociétés disponibles pour tenter une attaque (une analyse statistique naïve utiliserait cette liste pour créer la chance statistique d'être attaqué), mais finit par être une (peut aussi être TOUS) de la liste des entreprises vulnérables à l'attaque.

Cela peut créer l'illusion que vous n'avez pas à vous soucier de vous protéger parce que les chances d'être la cible sont si faibles, mais en réalité vous vous placez simplement dans le groupe à risque des cibles vulnérables et vous ne pouvez probablement pas connaître vos chances réelles d'être une cible car les entreprises n'annoncent pas exactement leur niveau de défense (pour des raisons évidentes). Si ce concept est difficile à saisir, envisagez le scénario suivant: sur 100 entreprises, 1 entreprise est attaquée avec succès chaque année. À votre insu, 90 de ces entreprises utilisent de solides protections contre les attaques et les attaquants les laissent simplement tranquilles après avoir tenté de les attaquer. Presque toutes les attaques réussies sont dirigées contre les 10 entreprises restantes qui utilisent des demi-mesures. En tant que nouveau venu sur cette scène, vous regarderez les statistiques et déterminerez que vous n'avez pas besoin de protéger vos systèmes car il n'y a qu'une chance sur 100 que votre entreprise soit la cible d'une attaque, alors qu'en réalité, vos changements sont 0 si vous utilisez des protections solides et 1 sur 11 si vous utilisez des demi-mesures. Votre calcul interne du risque serait un déchet complet.

TLDR; Vous ne pouvez pas appliquer d'analyse statistique pour savoir si vous devez protéger vos systèmes ou non, car vous ne disposez pas de suffisamment d'informations pour le faire. Vous devez le faire de telle manière que vous puissiez dire à vos parties prenantes (cela signifie vous assurer qu'elles le comprennent, ne pas leur cacher les informations) ce que vous faites pour protéger leurs données et elles ne passeront pas à un autre fournisseur de services.

• En ce qui concerne les dommages possibles, discutez avec des avocats qualifiés de qui pourrait être tenu responsable et comment. Le risque pour une entreprise en tant qu'entité commerciale peut être plafonné à la valeur nette de l'entreprise, mais il existe certains scénarios où les PDG ou même les employés pourraient être personnellement responsables en matière civile ou pénale loi s'ils auraient dû connaître le problème. (En fonction de votre juridiction, bien sûr. Je pense aux violations des règles de confidentialité pour augmenter les bénéfices, par exemple.)
• Selon le nombre d'employés informatiques que vous avez et ce qu'ils font, l'embauche d'un autre employé pourrait considérablement augmenter le facteur bus de votre service. Vous n'avez sagement pas expliqué ce que vous faites dans un forum public, mais avoir un autre administrateur pourrait vous permettre d'introduire une règle à deux sur plus de vos procédures, ou de gérer les absences planifiées ou non, etc. Il pourrait donc être incorrect de dire faire face à ce risque coûte 8% plus un employé. Ce serait plus comme pour 8% plus un employé, nous pouvons nous protéger contre cela et bien d'autres autres risques.

En tant qu'ingénieur qui a consacré beaucoup de temps aux travaux liés à la sécurité, vous voudrez probablement vous renseigner sur FMEA . L'AMDE applique la méthode de "multiplication" que vous décrivez, mais elle regroupe les plages d'effets/probabilités/taux de détection avant d'effectuer la multiplication. Ces plages sont bien définies, donc en supposant que vous avez une idée de ces probabilités, vous pouvez obtenir un score RPN fiable du système.

Bien sûr, vous devez toujours justifier de dépenser l'argent! Mais au moins, vous avez officiellement identifié vos risques.

Je vais vous donner une réponse complètement différente.

Je pense que vous évaluez cela complètement faux. Je ne sais pas comment vous avez trouvé un risque/vulnérabilité nécessitant un coût monétaire et un ETP assez spécifiques (et très importants) à gérer, mais cela semble que vous êtes vendu sur un outil spécifique pour `` résoudre '' un problème.

Si le coût de 8% provient de la connaissance du coût de la licence d'un outil, ou si l'ETP est nécessaire pour gérer un outil (par exemple, "notre gars EDR") ... Je veux dire, il y a non out out là qui résoudra un risque tout seul.

Si le coût élevé vous retient, plutôt que de passer du temps à essayer de justifier le risque comme exigeant la dépense, pourquoi ne pas chercher la cause profonde et comment vous pouvez la résoudre avec une dépense moindre. EDR, DLP ... il n'y a pas de domaine de sécurité (ou vulnérabilité) qui a une solution avec une coût.

L'industrie aborde la plupart des décisions d '"investissement dans le contrôle des risques" avec une "analyse quantitative" et les méthodes suivantes constituent l'approche standard de cette analyse. Le tableau suivant illustre les matrices utilisées au cours de ce processus décisionnel.

Voici un exemple pour montrer comment appliquer ces formules:

Supposons que votre entreprise vend des téléphones mobiles en ligne et ait subi de nombreuses attaques par déni de service (DoS). Votre entreprise réalise un bénéfice moyen de 30 000 $ par semaine, et une attaque DoS typique réduit les ventes de 50%. Vous subissez sept attaques DoS en moyenne par an. Un service d'atténuation du DoS est disponible pour un abonnement de 15 000 $/mois. Vous avez testé ce service et pensez qu'il atténuera les attaques. La question est de savoir s'il vaut la peine d'aller pour ce service et d'atténuer le risque ou d'accepter le risque et de ne rien faire?

Faisons l'analyse:

AV = 40 000 $

EF = 50%

SLE = AV * EF = 20 000 $

ARO = 7

ALE = SLE * ARO = 140 000 $

TCO (1 an) = abonnement DDoS * 12 mois = 180 000 $

ROI (1 an) = ALE - TCO = - 40000 $ (négatif)

Le retour sur investissement étant négatif (-40 000 $ par an), vous pouvez recommander avec des faits une décision de ne pas investir sur l'atténuation des risques (dans ce cas un abonnement Anti DDoS) et d'accepter le risque.

Remarque: Dans un scénario pratique, vous devrez peut-être également évaluer cela avec les impacts d'autres valeurs (par exemple, Marque Dommages à la réputation, etc.).

Référer:https://resources.infosecinstitute.com/quantitative-risk-analysis/# gref

Par conséquent, dans votre cas, si vous pouvez identifier l'AV, l'EF, l'ARO, etc., vous pourrez appuyer votre décision (au moins approximativement) avec des faits.

Même si pour une très faible probabilité (disons que le risque plancher ARO est de 0,001), l'impact pourrait être très élevé (10 000 000 $) et l'ALE serait considérablement élevé. Si votre coût de contrôle d'atténuation est inférieur à cela, vous pouvez procéder à votre déploiement de contrôle d'atténuation avec des faits.