Quantifier le risque d’une cyberattaque : 7 scénarios courants de cyber incidents

La cybercriminalité devrait coûter 8 000 milliards de dollars par an d’ici 2025. Les entreprises de toutes tailles sont désormais confrontées à des attaques menées par les cyber criminels les plus redoutables et les mieux financés au monde.

Heureusement, les dirigeants d’entreprise prennent conscience de cette nouvelle réalité. D’après une enquête que nous avons publiée récemment, 78 % des RSSI estiment que les conseils d’administration accordent désormais plus d’importance à la cybersécurité.

Il existe malheureusement une différence entre « accorder plus d’importance à la cybersécurité » et « franchir le pas et être prêt à investir dans des moyens de protection sophistiqués ». Les RSSI doivent apprendre à parler le langage de la gestion des risques financiers, afin de décrocher les budgets dont ils ont besoin.

Lorsqu’une entreprise envisage une solution de sécurité, le calcul du retour sur investissement (ROI) peut constituer un élément clé du dossier de rentabilité, qui permettra aux RSSI d’obtenir le déblocage des budgets souhaités.

Pour calculer le retour sur investissement d’une solution de cyber sécurité, la méthode la plus simple consiste à chiffrer les pertes pouvant être évitées (ou limitées) grâce à cette solution. Il s’agit toutefois d’un exercice difficile.

Les coûts directs (dommages matériels, augmentation des primes d’assurance) sont assez faciles à calculer, mais l’impact plus large lié à l’interruption de l’activité et aux préjudices subis en termes de réputation sont moins concrets.

Nous avons élaboré un calculateur de retour sur investissement pour nos solutions. Nous avons défini sept scénarios de risque qui, selon nous, représentent les incidents auxquels les entreprises sont le plus fréquemment confrontées :

• Accès non-autorisé via la supply chain
• Défaut de conformité
• Vulnérabilité critique d’un composant logiciel
• Épidémie de malware
• Perturbation des activités causée par un ransomware
• Intrusion système
• Violation de données

Si un client envisage d’implémenter l’une de nos solutions, nous pouvons l’aider à déterminer :

• Lesquels de ces scénarios sont pertinents pour son entreprise
• Quelle est la probabilité qu’ils se produisent
• Quel est le coût probable de ces scénarios
• Quelle part de ce coût pourrait être évitée par nos solutions

Cette approche nous permet d’estimer le retour sur investissement de nos propres solutions. Elle s’appuie sur les données financières propres à chaque entreprise, ainsi que sur des données recueillies au fil des ans sur le coût moyen des attaques.

Dans un tel modèle, certains risques ne sont évidemment pas pris en compte, mais nous pensons que ce calculateur fournit aux RSSI un outil facile à utiliser, permettant de quantifier les risques et d’expliquer à leur hiérarchie tout l’intérêt d’adopter une protection solide.