Picus Security quantifie les risques cyber par simulation d'attaques
Picus Security présente une nouvelle approche de quantification des risques de cybersécurité, passant des suppositions à une validation basée sur des preuves via des simulations d'attaques continues.
Picus Security a annoncé une nouvelle méthodologie pour la quantification des risques de cybersécurité, visant à remplacer les modèles traditionnels basés sur des hypothèses. L'approche de l'entreprise utilise la simulation continue d'attaques et la validation pour fournir aux organisations une compréhension plus précise de leur posture de sécurité.
Les outils traditionnels d'évaluation des risques s'appuient souvent sur des données auto-déclarées et des questionnaires, qui peuvent manquer de transparence et de validation dans le monde réel. Ces calculs en "boîte noire" génèrent des scores numériques qui ne reflètent pas nécessairement l'exposition réelle d'une organisation aux menaces, pouvant conduire à des décisions commerciales mal informées.
La solution de Picus Security remplace les conjectures par des données empiriques. En utilisant la technologie continue de simulation d'effraction et d'attaque (BAS), l'entreprise teste les défenses d'une organisation contre des techniques d'adversaires réelles en temps réel. Cette méthode identifie directement quelles défenses échouent et où se situent les lacunes de détection, fournissant des résultats mesurables basés sur des événements observés plutôt que sur des hypothèses.
Ces résultats validés sont ensuite intégrés au Risk Quantifier de ThreatConnect. Cette intégration calcule les risques en tenant compte de facteurs tels que l'activité des acteurs de la menace, la valeur des actifs et l'efficacité des contrôles. En intégrant les données validées de Picus – confirmant si les techniques d'attaque peuvent contourner les contrôles existants – les organisations peuvent obtenir des estimations de risques financiers plus précises que ce que permettent les modèles basés sur des hypothèses.
Le nouveau module prend également en charge la segmentation des activités, permettant une évaluation détaillée des risques par département, service ou technologie. Picus affirme que cela permet une priorisation et une prise de décision d'investissement plus efficaces basées sur des métriques de risque validées.