Véritable serpent de mer, la mesure du ROI en cybersécurité se pose de manière régulière pour les DSI et RSSI. Comment calculer le coût d'une cyberattaque ? Et face à une menace que certains jugent hypothétique, comment justifier des dépenses qui, elles, ne le sont pas ? Surtout, est-il possible de faire évoluer les mentalités ? Et ainsi passer d’un paradigme centré sur l’évitement des coûts à un modèle qui valorise les investissements.
De l’aveu du RSSI d’une grande entreprise du secteur de l’aviation : « cela fait quinze ans que l’on essaye d’identifier les risques, les dégâts potentiels et la probabilité d’occurrence des cyberattaques, de manière à ne pas passer à côté d’investissements en sécurité ». Mais parfois, ces derniers sont difficiles à justifier, ce qui conduit certaines entreprises à ne changer radicalement de politique qu’une fois la première attaque survenue.
Cela fait quinze ans que l’on essaye d’identifier les risques, les dégâts potentiels et la probabilité d’occurrence des cyberattaques, de manière à ne pas passer à côté d’investissements en sécurité
Il est vrai que les questions d’efficacité et de rentabilité des dépenses en sécurité sont de véritables serpents de mer. Que l’on parle de ROI ou de ROSI, la question se pose en ces termes : comment mettre en relation une dépense certaine face à une menace incertaine ? Ou comment persuader les managers exécutifs de l’intérêt d’investissements non-productifs, c’est-à-dire qui ne rapportent pas directement de l’argent à l’entreprise en générant des revenus croissants ?
La médiatisation de plus en plus fréquente des incidents de sécurité ne manque toutefois pas de (re)mettre cette question au centre de la table.
Évitement des coûts : un paradigme trop enfermant
Les niveaux de maturité des Comex ont augmenté en matière de compréhension du risque cyber ces dernières années, c’est indéniable. Et cette prise de conscience s’est le plus souvent traduite par des hausses significatives dans les budgets alloués aux DSI.
Néanmoins, de nombreux RSSI en entreprise confient que leurs directions demandent des comptes de manière régulière, sous peine de les sanctionner en matière de budget. « On assiste d’ailleurs depuis quelques mois à une stagnation, voire à une baisse des budgets dans certaines entreprises », relève Benjamin Leroux, directeur marketing et innovation d’Advens, spécialiste de la cybersécurité.
Il est souvent complexe pour un·e RSSI de démontrer l’apport des dépenses de sécurité, puisque le paradigme dominant est celui de l’évitement des coûts. Ainsi, on préfèrera souvent expliquer que les dépenses de protection ont permis d’éviter X millions d’euros de pertes, plutôt que de dire que l’on en a gagné Y millions à les déployer. Ou, pour le dire comme Ian Schenkel, VP EMEA de Flashpoint : « c’est un peu comme vendre de l’assurance, les RSSI doivent essayer de mettre en valeur ce qui ne s’est pas passé ».
Mais chiffrer les coûts d’une cyberattaque se révèle être une tâche bien complexe. Que ce soit en matière de rançon à payer et/ou de perturbations opérationnelles, les impacts peuvent servir de point de repère, à condition de se positionner dans la bonne échelle. Selon le rapport 2019 de l’assureur Hiscox, le coût moyen des cyber-incidents pour une petite entreprise est estimé à 14 000 euros. Un montant à mettre en regard de ceux annoncés par des entreprises comme Demant, l’un des plus grands fabricants d’appareils auditifs au monde, qui s’attend à 95 millions de dollars de perte à la suite d’un ransomware qui a touché ses installations de production et de distribution en Pologne, au Mexique, en France ou encore au Danemark. Ou comme Eurofins Scientific qui a perdu 75 millions d’euros à cause d’un autre ransomware. Des exemples riches d’enseignements quand, toujours selon le rapport d’Hiscox, le coût engendré par l’ensemble des cyber-incidents serait de 110 000 euros en moyenne.
En parallèle de ces impacts financiers, il faut prendre en compte les potentielles pénalités réglementaires. Au niveau européen, le RGPD a en effet imposé des pénalités en pourcentage du CA (4% du chiffre d’affaires globalisé) pour les entreprises prises en faute dans la protection des données qu’elles traitent. La compagnie British Airways en a fait les frais (salés) en juillet 2019, après une fuite de données.
Mais certains autres coûts sont difficiles à évaluer, lorsqu’il s’agit de perturbations de l’activité. « Il y a des incidents pour lesquels les fourchettes d’évaluation sont larges. Par exemple : combien coûte 1h d’indisponibilité d’un site de e-commerce en période de soldes, suite à une attaque DDoS ? », relève Benjamin Leroux. « Par ailleurs, il faut faire attention à ne pas négliger les coûts indirects, comme l’impact sur l’image de marque d’une cyberattaque ».
En plus de ces calculs déjà complexes, il faudrait également prendre en compte deux aspects. Le premier tient au fait que les solutions de cybersécurité apportent souvent des fonctions qui ne sont pas purement cyber. Par exemple, un pare-feu apporte une gestion de QoS, du filtrage d'URL ou encore de la gestion de liens multiples et assure donc une meilleure connectivité pour les usages les plus importants. Dans la même idée, les fonctions VPN SSL ou VPN IPsec sont une opportunité pour mettre en place du télétravail ou de la maintenance à distance. Ce qui peut augmenter la productivité. De manière générale, en ajoutant une couche de cybersécurité, on peut moderniser certains usages qui nécessitaient absolument une présence physique précédemment. Le second aspect est relatif aux appels d’offre – notamment des grands donneurs d’ordres –, dans lesquels les mesures de sécurité informatique portées par les candidats sont de plus en plus valorisées, voire sont un critère de choix. La cybersécurité peut alors devenir un différenciateur par rapport à la concurrence.
Évaluation des risques : un exercice à géométrie variable
Alors à l’heure où nous sommes de plus en plus nombreux à insister sur le rôle fondamental de la cyber-résilience, rappelons que le plus souvent, il ne s’agit plus de se demander si votre organisation va être attaquée mais plutôt quand. Si chiffrer les coûts d’une cyberattaque qui n’est pas (encore) arrivée est un exercice théorique, celui-ci se transforme pourtant de plus en plus en réalité opérationnelle. L’actualité de la cybersécurité fournit à ce titre de nombreux exemples. Et dans notre baromètre de la cybersécurité (édition 2019), nous expliquions que 48% des entreprises interrogées avaient subi une ou plusieurs attaques ces derniers mois.
Enfin, pour expliquer pourquoi il est complexe de calculer le retour sur investissement de la sécurité informatique, il faut prendre en considération le fait que notre secteur est encore jeune, et surtout, qu’il demeure confidentiel. Nous n’avons que peu de recul et pas suffisamment de données fiables pour mettre en place des modèles solides.
Par ailleurs, la course au buzz (souvent alimentée par les médias) fait que l’on va parler des grosses affaires pour lesquelles les coûts s’élèvent à plusieurs centaines de millions d’euros, alors qu’elles ne représentent que la partie émergée de l’iceberg. À l’inverse, nombre de PME, qui sont pourtant particulièrement exposées, comme le démontre le placement en redressement judiciaire de l’entreprise Lise Charmel, rechignent à communiquer sur les montants des attaques dont elles sont victimes. L’opacité de notre secteur complique donc les exercices de projections chiffrées.
B.A.-BA de l’approche par les risques
Malgré tous les freins précédemment mentionnés, des solutions existent. L’ANSSI a par exemple développé la méthode EBIOS Risk Manager pour permettre aux organisations d’identifier et de comprendre les risques qui leurs sont propres. « Il s’agit d’éviter le côté irrationnel de l’analyse traditionnelle des risques, qui repose principalement sur de la projection, souligne Benjamin Leroux. Dans cette méthode, chaque type d’attaque est répertorié, qualifié en fonction de son impact et on lui associe un coût. Cela permet par la suite de mettre en place un plan de traitement des risques (antivirus, firewall, sensibilisation organisation…) qui, lui, est chiffrable ». L’analyse en termes de ROI peut donc s’effectuer en soustrayant la somme à investir par rapport aux pertes anticipées.
Une fois ce calcul effectué, il devient fondamental de mesurer l’efficacité du plan de traitement des risques, dans une logique de contrôle. Et là une autre difficulté se présente : si j’ai mis une solution pour détecter un incident, mais que rien ne se produit, est-ce parce qu’il n’y a pas eu d’incident ou parce que ma solution est efficace ? Si des rapports ou tableaux de bord réguliers sur les tentatives d’attaques peuvent apporter un élément de réponse, le doute reste toujours permis. « Dans ces cas-là, les entreprises font des audits et peuvent avoir recours à des pentesters qui viennent effectuer des tests d’intrusion pour vérifier l’efficacité », explique Benjamin Leroux. Mais là encore, difficile de réellement mettre le doigt sur la rentabilité des investissements cyber, car ces tests d’intrusion ne font pas gagner de l’argent à l’entreprise stricto sensu.
Enfin, dans l’approche des risques traditionnelle, il convient également de rationaliser les mesures de protection. Un nouveau défi à relever en cybersécurité, puisqu’on tente d’optimiser au mieux le mix cyber sans pour autant renoncer au principe de pluralité, et de double barrière technologique. Loin d’être évident.
Pour un saut qualitatif en cybersécurité
Il existe toutefois un coup d’après, c’est-à-dire un modèle dans lequel la valorisation des investissements en cybersécurité peut rapporter de l’argent. « Récemment la Société Générale a par exemple lancé OPPENS, un service de coaching en sécurité à destination des TPE/PME », relève Benjamin Leroux . Le but ? Vendre l’expertise développée en interne à d’autres entreprises, de manière à valoriser ces investissements. Autre cas d’école : l’Imprimerie Nationale, cet organisme public qui fabrique nos passeports et cartes d’identité. En 2018, elle a lancé l’application INWallet, une solution de sécurisation de l’identité numérique. « Dans ces deux cas, la vente de services cyber permet d’étendre son offre de services, et donc de gagner de l’argent », poursuit ce dernier.
À cheval entre l’analyse de risques et la rationalisation des mesures de protection, la mesure du ROI en cybersécurité est un exercice complexe, mais plus que jamais nécessaire. Ce qui se dessine en creux, c’est la nécessité de changer de paradigme, pour basculer d’une analyse strictement quantitative à une analyse qui inclut le facteur qualitatif. En passant d’un ROI strictement monétaire, basé sur une approche en termes de coûts, à un ROI centré sur la valeur des investissements de sécurité, on change complètement de perspective. Or il est grand temps que les dirigeants perçoivent la cybersécurité comme une opportunité, et non plus comme une menace !