FAIR (Factor Analysis of Information Risk)
Qu'est-ce que FAIR (Factor Analysis of Information Risk) ?
FAIR (Factor Analysis of Information Risk)Standard international ouvert pour quantifier le risque informationnel et cyber en termes financiers, en décomposant le risque en facteurs de fréquence et de magnitude des pertes.
FAIR, maintenu par le FAIR Institute et normalisé par The Open Group (O-RA, O-RT), est le modèle quantitatif de cyber-risque le plus répandu. Il décompose le risque en fréquence des événements de perte (fréquence des événements de menace × vulnérabilité) et en magnitude des pertes (primaires et secondaires), avec des sous-facteurs estimés via des plages calibrées. Des outils comme FAIR-U et des plateformes commerciales exécutent généralement des simulations de Monte Carlo pour produire des distributions de pertes, dont l'ALE et les courbes d'excédence. FAIR sert à prioriser les investissements de sécurité, alimenter le dialogue avec le conseil et les régulateurs, fixer l'appétence et souscrire des cyber-assurances. Il est complémentaire d'ISO 31000, du NIST RMF et des cadres ERM.
● Exemples
- 01
Analyse FAIR du Business Email Compromise pour justifier un budget de protection des e-mails.
- 02
Rapport trimestriel des risques majeurs basé sur FAIR pour le comité d'audit.
● Questions fréquentes
Qu'est-ce que FAIR (Factor Analysis of Information Risk) ?
Standard international ouvert pour quantifier le risque informationnel et cyber en termes financiers, en décomposant le risque en facteurs de fréquence et de magnitude des pertes. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie FAIR (Factor Analysis of Information Risk) ?
Standard international ouvert pour quantifier le risque informationnel et cyber en termes financiers, en décomposant le risque en facteurs de fréquence et de magnitude des pertes.
Comment fonctionne FAIR (Factor Analysis of Information Risk) ?
FAIR, maintenu par le FAIR Institute et normalisé par The Open Group (O-RA, O-RT), est le modèle quantitatif de cyber-risque le plus répandu. Il décompose le risque en fréquence des événements de perte (fréquence des événements de menace × vulnérabilité) et en magnitude des pertes (primaires et secondaires), avec des sous-facteurs estimés via des plages calibrées. Des outils comme FAIR-U et des plateformes commerciales exécutent généralement des simulations de Monte Carlo pour produire des distributions de pertes, dont l'ALE et les courbes d'excédence. FAIR sert à prioriser les investissements de sécurité, alimenter le dialogue avec le conseil et les régulateurs, fixer l'appétence et souscrire des cyber-assurances. Il est complémentaire d'ISO 31000, du NIST RMF et des cadres ERM.
Comment se défendre contre FAIR (Factor Analysis of Information Risk) ?
Les défenses contre FAIR (Factor Analysis of Information Risk) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de FAIR (Factor Analysis of Information Risk) ?
Noms alternatifs courants : FAIR, Analyse FAIR.
● Termes liés
- compliance№ 889
Analyse quantitative des risques
Approche d'analyse qui exprime vraisemblance et impact sous forme chiffrée, typiquement par des probabilités et des distributions de pertes monétaires, pour étayer des décisions fondées sur des données.
- compliance№ 705
Simulation de risque Monte Carlo
Technique de calcul qui estime le risque en exécutant des milliers de scénarios aléatoires issus de distributions de probabilité d'entrée, produisant une distribution de résultats possibles.
- compliance№ 935
Évaluation des risques
Activité structurée de la gestion des risques qui identifie menaces, vulnérabilités et impacts sur des actifs précis et note le risque obtenu pour étayer les décisions de traitement.
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
- compliance№ 383
Gestion des risques d'entreprise (ERM)
Approche intégrée et transversale d'identification, de gouvernance et de traitement des risques stratégiques, financiers, opérationnels, de conformité et cyber, alignée sur les objectifs métier.
- compliance№ 733
NIST Risk Management Framework
Processus en sept étapes du NIST, défini dans SP 800-37, qui intègre la gestion des risques de sécurité, de confidentialité et de chaîne d'approvisionnement au cycle de vie du système.