![\"Peut-on](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock_1654660345-e1618564642736.jpg\" "\\"De")
<\/p>\n<\/p>\n
V\u00e9ritable serpent de mer, la mesure du ROI en cybers\u00e9curit\u00e9 se pose de mani\u00e8re r\u00e9guli\u00e8re pour les DSI et RSSI. Comment calculer le co\u00fbt d'une cyberattaque ? Et face \u00e0 une menace que certains jugent hypoth\u00e9tique, comment justifier des d\u00e9penses qui, elles, ne le sont pas ? Surtout, est-il possible de faire \u00e9voluer les mentalit\u00e9s ? Et ainsi passer d\u2019un paradigme centr\u00e9 sur l\u2019\u00e9vitement des co\u00fbts \u00e0 un mod\u00e8le qui valorise les investissements.<\/strong><\/p>\n De l\u2019aveu du RSSI d\u2019une grande entreprise du secteur de l\u2019aviation\u00a0: \u00ab\u00a0cela fait quinze ans que l\u2019on essaye d\u2019identifier les risques, les d\u00e9g\u00e2ts potentiels et la probabilit\u00e9 d\u2019occurrence des cyberattaques, de mani\u00e8re \u00e0 ne pas passer \u00e0 c\u00f4t\u00e9 d\u2019investissements en s\u00e9curit\u00e9<\/em>\u00a0\u00bb. Mais parfois, ces derniers sont difficiles \u00e0 justifier, ce qui conduit certaines entreprises \u00e0 ne changer radicalement de politique qu\u2019une fois la premi\u00e8re attaque survenue.<\/p>\n <\/p>\n Cela fait quinze ans que l\u2019on essaye d\u2019identifier les risques, les d\u00e9g\u00e2ts potentiels et la probabilit\u00e9 d\u2019occurrence des cyberattaques, de mani\u00e8re \u00e0 ne pas passer \u00e0 c\u00f4t\u00e9 d\u2019investissements en s\u00e9curit\u00e9<\/em><\/p><\/blockquote>\n Il est vrai que les questions d\u2019efficacit\u00e9 et de rentabilit\u00e9 des d\u00e9penses en s\u00e9curit\u00e9 sont de v\u00e9ritables serpents de mer. Que l\u2019on parle de ROI ou de ROSI<\/a>, la question se pose en ces termes\u00a0: comment mettre en relation une d\u00e9pense certaine face \u00e0 une menace incertaine\u00a0?<\/strong> Ou comment persuader les managers ex\u00e9cutifs de l\u2019int\u00e9r\u00eat d\u2019investissements non-productifs, c\u2019est-\u00e0-dire qui ne rapportent pas directement de l\u2019argent \u00e0 l\u2019entreprise en g\u00e9n\u00e9rant des revenus croissants\u00a0?<\/p>\n La m\u00e9diatisation de plus en plus fr\u00e9quente<\/a> des incidents de s\u00e9curit\u00e9 ne manque toutefois pas de (re)mettre cette question au centre de la table.<\/p>\n <\/p>\n Les niveaux de maturit\u00e9 des Comex<\/a> ont augment\u00e9 en mati\u00e8re de compr\u00e9hension du risque cyber ces derni\u00e8res ann\u00e9es, c\u2019est ind\u00e9niable. Et cette prise de conscience s\u2019est le plus souvent traduite par des hausses significatives dans les budgets allou\u00e9s aux DSI.<\/p>\n N\u00e9anmoins, de nombreux RSSI en entreprise confient que leurs directions demandent des comptes de mani\u00e8re r\u00e9guli\u00e8re, sous peine de les sanctionner en mati\u00e8re de budget. \u00ab On assiste d\u2019ailleurs depuis quelques mois \u00e0 une stagnation, voire \u00e0 une baisse des budgets dans certaines entreprises<\/em> \u00bb, rel\u00e8ve Benjamin Leroux<\/strong>, directeur marketing et innovation d\u2019Advens<\/a>, sp\u00e9cialiste de la cybers\u00e9curit\u00e9.<\/p>\n Il est souvent complexe pour un\u00b7e RSSI de d\u00e9montrer l\u2019apport des d\u00e9penses de s\u00e9curit\u00e9, puisque le paradigme dominant est celui de l\u2019\u00e9vitement des co\u00fbts. Ainsi, on pr\u00e9f\u00e8rera souvent expliquer que les d\u00e9penses de protection ont permis d\u2019\u00e9viter X\u00a0millions d\u2019euros de pertes, plut\u00f4t que de dire que l\u2019on en a gagn\u00e9 Y\u00a0millions \u00e0 les d\u00e9ployer. Ou, pour le dire comme Ian Schenkel<\/strong>, VP EMEA de Flashpoint<\/a>\u00a0: \u00ab\u00a0c\u2019est un peu comme vendre de l\u2019assurance, les RSSI doivent essayer de mettre en valeur ce qui ne s\u2019est pas pass\u00e9<\/em>\u00a0\u00bb.<\/p>\n Mais chiffrer les co\u00fbts d\u2019une cyberattaque se r\u00e9v\u00e8le \u00eatre une t\u00e2che bien complexe. Que ce soit en mati\u00e8re de ran\u00e7on \u00e0 payer et\/ou de perturbations op\u00e9rationnelles, les impacts peuvent servir de point de rep\u00e8re, \u00e0 condition de se positionner dans la bonne \u00e9chelle. Selon le rapport 2019 de l\u2019assureur Hiscox<\/a>, le co\u00fbt moyen des cyber-incidents pour une petite entreprise est estim\u00e9 \u00e0 14\u00a0000\u00a0euros. Un montant \u00e0 mettre en regard de ceux annonc\u00e9s par des entreprises comme Demant, l\u2019un des plus grands fabricants d\u2019appareils auditifs au monde, qui s\u2019attend \u00e0 95\u00a0millions de dollars de perte<\/a> \u00e0 la suite d\u2019un ransomware qui a touch\u00e9 ses installations de production et de distribution en Pologne, au Mexique, en France ou encore au Danemark. Ou comme Eurofins Scientific qui a perdu 75\u00a0millions d\u2019euros<\/a> \u00e0 cause d\u2019un autre ransomware. Des exemples riches d\u2019enseignements quand, toujours selon le rapport d\u2019Hiscox, le co\u00fbt engendr\u00e9 par l\u2019ensemble des cyber-incidents serait de 110\u00a0000\u00a0euros en moyenne.<\/p>\n En parall\u00e8le de ces impacts financiers, il faut prendre en compte les potentielles p\u00e9nalit\u00e9s r\u00e9glementaires. Au niveau europ\u00e9en, le RGPD a en effet impos\u00e9 des p\u00e9nalit\u00e9s en pourcentage du CA (4% du chiffre d\u2019affaires globalis\u00e9) pour les entreprises prises en faute dans la protection des donn\u00e9es qu\u2019elles traitent. La compagnie British Airways en a fait les frais (sal\u00e9s) en juillet 2019, apr\u00e8s une fuite de donn\u00e9es<\/a>.<\/p>\n Mais certains autres co\u00fbts sont difficiles \u00e0 \u00e9valuer, lorsqu\u2019il s\u2019agit de perturbations de l\u2019activit\u00e9. \u00ab\u00a0Il y a des incidents pour lesquels les fourchettes d\u2019\u00e9valuation sont larges. Par exemple\u00a0: combien co\u00fbte 1h d\u2019indisponibilit\u00e9 d\u2019un site de e-commerce en p\u00e9riode de soldes, suite \u00e0 une attaque DDoS\u00a0?<\/em>\u00a0\u00bb, rel\u00e8ve Benjamin Leroux. \u00ab\u00a0Par ailleurs, il faut faire attention \u00e0 ne pas n\u00e9gliger les co\u00fbts indirects, comme l\u2019impact sur l\u2019image de marque d\u2019une cyberattaque<\/em>\u00a0\u00bb.<\/p>\n En plus de ces calculs d\u00e9j\u00e0 complexes, il faudrait \u00e9galement prendre en compte deux aspects. Le premier tient au fait que les solutions de cybers\u00e9curit\u00e9 apportent souvent des fonctions qui ne sont pas purement cyber<\/strong>. Par exemple, un pare-feu apporte une gestion de QoS<\/a>, du filtrage d'URL ou encore de la gestion de liens multiples et assure donc une meilleure connectivit\u00e9 pour les usages les plus importants. Dans la m\u00eame id\u00e9e, les fonctions VPN SSL ou VPN IPsec<\/a> sont une opportunit\u00e9 pour mettre en place du t\u00e9l\u00e9travail ou de la maintenance \u00e0 distance. Ce qui peut augmenter la productivit\u00e9. De mani\u00e8re g\u00e9n\u00e9rale, en ajoutant une couche de cybers\u00e9curit\u00e9, on peut moderniser certains usages qui n\u00e9cessitaient absolument une pr\u00e9sence physique pr\u00e9c\u00e9demment<\/strong>. Le second aspect est relatif aux appels d\u2019offre \u2013 notamment des grands donneurs d\u2019ordres \u2013, dans lesquels les mesures de s\u00e9curit\u00e9 informatique port\u00e9es par les candidats sont de plus en plus valoris\u00e9es, voire sont un crit\u00e8re de choix. La cybers\u00e9curit\u00e9 peut alors devenir un diff\u00e9renciateur par rapport \u00e0 la concurrence.<\/p>\n <\/p>\n Alors \u00e0 l\u2019heure o\u00f9 nous sommes de plus en plus nombreux \u00e0 insister sur le r\u00f4le fondamental de la cyber-r\u00e9silience<\/a>, rappelons que le plus souvent, il ne s\u2019agit plus de se demander si<\/em> votre organisation va \u00eatre attaqu\u00e9e mais plut\u00f4t quand<\/em><\/strong>. Si chiffrer les co\u00fbts d\u2019une cyberattaque qui n\u2019est pas (encore) arriv\u00e9e est un exercice th\u00e9orique, celui-ci se transforme pourtant de plus en plus en r\u00e9alit\u00e9 op\u00e9rationnelle. L\u2019actualit\u00e9 de la cybers\u00e9curit\u00e9 fournit \u00e0 ce titre de nombreux exemples. Et dans notre barom\u00e8tre de la cybers\u00e9curit\u00e9 (\u00e9dition 2019)<\/a>, nous expliquions que 48% des entreprises interrog\u00e9es avaient subi une ou plusieurs attaques ces derniers mois.<\/p>\n Enfin, pour expliquer pourquoi il est complexe de calculer le retour sur investissement de la s\u00e9curit\u00e9 informatique, il faut prendre en consid\u00e9ration le fait que notre secteur est encore jeune, et surtout, qu\u2019il demeure confidentiel. Nous n\u2019avons que peu de recul et pas suffisamment de donn\u00e9es fiables pour mettre en place des mod\u00e8les solides.<\/p>\n Par ailleurs, la course au buzz (souvent aliment\u00e9e par les m\u00e9dias) fait que l\u2019on va parler des grosses affaires pour lesquelles les co\u00fbts s\u2019\u00e9l\u00e8vent \u00e0 plusieurs centaines de millions d\u2019euros, alors qu\u2019elles ne repr\u00e9sentent que la partie \u00e9merg\u00e9e de l\u2019iceberg. \u00c0 l\u2019inverse, nombre de PME, qui sont pourtant particuli\u00e8rement expos\u00e9es, comme le d\u00e9montre le placement en redressement judiciaire de l\u2019entreprise Lise Charmel<\/a>, rechignent \u00e0 communiquer sur les montants des attaques dont elles sont victimes. L\u2019opacit\u00e9 de notre secteur complique donc les exercices de projections chiffr\u00e9es.<\/p>\n <\/p>\n\u00c9vitement des co\u00fbts\u00a0: un paradigme trop enfermant<\/h2>\n
\u00c9valuation des risques\u00a0: un exercice \u00e0 g\u00e9om\u00e9trie variable<\/h2>\n
B.A.-BA de l\u2019approche par les risques<\/h2>\n