CRML (Cyber Risk Modeling Language)

Qu'est-ce que CRML (Cyber Risk Modeling Language) ?

CRML, le Cyber Risk Modeling Language, est une spécification déclarative open-source créée pour remédier à la fragmentation et à l'incohérence qui affectent la quantification moderne du risque cyber. Il fournit un format YAML/JSON standardisé pour définir des modèles de risque cyber complexes, y compris les mappages de télémétrie, les pipelines de simulation, les dépendances de contrôle et les résultats requis. La philosophie centrale derrière CRML est de permettre le Risque en tant que Code (RaC), transformant les hypothèses de risque et de conformité en artefacts versionnés, révisables et exécutables qui peuvent être validés de manière cohérente à travers différentes équipes et outils.

Ce langage agit comme une couche d'abstraction, découplant la définition du modèle du moteur d'exécution. Cela signifie que les organisations ne sont plus liées à des outils propriétaires ou à des méthodologies de quantification spécifiques, telles que les moteurs Monte Carlo FAIR ou les approches Bayésiennes/QBER. En standardisant la description du modèle, CRML garantit que le même scénario de risque, défini avec des hypothèses explicites, peut être exécuté de manière fiable sur diverses plateformes de simulation conformes, améliorant considérablement l'auditabilité, la reproductibilité et la capacité à justifier les investissements en sécurité sur la base de résultats quantifiés.

Caractéristiques Clés

CRML est conçu pour apporter de la rigueur et de la standardisation à la gestion quantitative du risque cyber :

• Conception Indépendante du Moteur : Fonctionne de manière transparente avec tout moteur de simulation qui adhère à la spécification CRML, y compris ceux prenant en charge Monte Carlo de style FAIR, les méthodes Bayésiennes ou les modèles actuariels.
• Format Déclaratif YAML/JSON : Les modèles sont décrits en utilisant du YAML ou du JSON lisible par l'homme, ce qui les rend faciles à lire, à réviser, à contrôler en version (via Git) et à auditer.
• Modélisation de l'Efficacité des Contrôles : Permet aux utilisateurs de quantifier explicitement comment les contrôles de sécurité, y compris les scénarios complexes de défense en profondeur, réduisent l'exposition globale au risque.
• Paramétrage Basé sur la Médiane : Simplifie le processus de saisie en permettant la spécification directe des valeurs médianes pour les distributions courantes comme les distributions log-normales.
• Validation Stricte : Intègre la validation JSON Schema pour détecter les erreurs structurelles et logiques dans la définition du modèle avant que la simulation ne commence, ce qui permet d'économiser du temps et d'éviter des résultats erronés.
• Prise en Charge Multi-Devises : Facilite la modélisation des risques mondiaux en prenant en charge la conversion automatique entre différentes devises.
• Auto-Étalonnage : Comprend des mécanismes pour étalonner automatiquement les distributions en fonction des données de perte fournies.

Comment Utiliser CRML (Cyber Risk Modeling Language)

Commencer avec CRML implique de définir la structure de votre modèle de risque en utilisant la spécification déclarative. Le flux de travail suit généralement ces étapes :

1. Définir la Structure du Modèle : Créez un fichier CRML (généralement YAML) qui décrit le scénario de risque. Cela inclut la définition des événements de menace, des fréquences d'événements de perte, des magnitudes d'événements de perte et des relations entre eux.
2. Mapper les Contrôles et les Hypothèses : Définissez explicitement les contrôles de sécurité dans le périmètre et quantifiez leur efficacité (par exemple, en utilisant des facteurs de réduction ou des modificateurs de probabilité) conformément à la spécification CRML.
3. Spécifier les Exigences de Simulation : Détaillez les résultats requis, les vérifications de validation et tout paramètre de simulation spécifique (comme le nombre d'exécutions Monte Carlo ou les a priori Bayésiens).
4. Exécuter avec un Moteur Conforme : Injectez le fichier CRML standardisé dans un moteur de simulation compatible (par exemple, un moteur FAIR personnalisé ou un solveur Bayésien). Étant donné que le modèle est standardisé, le moteur sait exactement comment interpréter les entrées et exécuter le calcul.
5. Réviser et Versionner : Puisque le modèle est désormais un artefact versionné (comme l'Infrastructure as Code), il peut être suivi dans le contrôle de source, révisé par les pairs et utilisé comme preuve auditable pour les décisions de risque.

Cas d'Utilisation

CRML est inestimable pour les organisations qui passent des évaluations de risque qualitatives à une quantification rigoureuse et défendable :

1. Justification des Dépenses de Sécurité : Quantifier la réduction de la Perte Annuelle Attendue (ALE) obtenue en mettant en œuvre un contrôle spécifique (par exemple, le déploiement de l'authentification multifacteur - MFA) afin de justifier les demandes de budget auprès de la direction générale ou du conseil d'administration.
2. Agrégation des Risques d'Entreprise : Standardiser les modèles de risque à travers des unités commerciales ou des zones géographiques disparates, permettant une agrégation et une comparaison cohérentes de l'exposition au risque cyber par rapport aux objectifs financiers de l'entreprise.
3. Gestion des Risques Fournisseurs : Créer des profils de risque standardisés et lisibles par machine pour les fournisseurs tiers critiques, permettant une comparaison automatisée de leur posture de sécurité par rapport aux références internes.
4. Traçabilité de l'Audit et de la Conformité : Générer des enregistrements immuables et versionnés qui relient explicitement le chiffre de risque final aux hypothèses exactes, aux mappages de contrôle et aux données utilisés dans le calcul, satisfaisant ainsi aux exigences d'audit strictes.
5. Modélisation de la Défense en Profondeur : Modéliser avec précision les architectures de sécurité complexes où de multiples contrôles qui se chevauchent atténuent une seule menace, garantissant que la réduction du risque n'est pas comptée deux fois.

FAQ

Q : CRML est-il propriétaire, ou puis-je utiliser n'importe quel outil avec lui ? A : CRML est un langage déclaratif open-source. Il est intentionnellement indépendant du moteur. Toute plateforme de simulation qui implémente la spécification CRML peut traiter et exécuter les modèles définis dans ce format.

Q : Quelle est la relation entre CRML et les cadres établis comme FAIR ? A : CRML est conçu pour décrire les modèles qui pourraient être exécutés en utilisant les principes FAIR ou d'autres méthodologies. Il standardise l'entrée et la structure du scénario de risque, vous permettant d'utiliser des concepts FAIR (comme la Fréquence des Événements de Menace et la Magnitude des Pertes) dans un format de fichier standardisé et portable.

Q : Ce projet est-il stable pour une utilisation en production ? A : Le projet est actuellement en fort développement (comme indiqué dans le dépôt). Bien que les concepts fondamentaux soient robustes, les utilisateurs doivent surveiller la branche de développement (crml-dev-1.3) et être prêts à des changements potentiellement perturbateurs jusqu'à ce que le projet atteigne une version majeure stable.

Q : Comment CRML aide-t-il à gérer la documentation incohérente des contrôles ? A : En forçant les hypothèses d'efficacité des contrôles et de défense en profondeur dans la définition structurée YAML/JSON, CRML élimine la dépendance à l'égard de feuilles de calcul incohérentes ou de documents narratifs. Chaque analyste utilise la même définition lisible par machine, garantissant la cohérence dans la manière dont les contrôles affectent le calcul de risque final.

Q : Où puis-je trouver la documentation officielle ou des exemples ? A : Le projet maintient une documentation, souvent générée via MkDocs, et inclut des exemples dans la structure du dépôt pour montrer comment définir divers scénarios de risque et mappages de contrôle.