Les préoccupations et les responsabilités du dirigeant face au risque cyber et aux décisions qu’il doit prendre pour protéger la valeur de son entreprise en termes d’investissements cyber et du financement du risque par son transfert du vers l’assurance.
Une attaque cyber peut affecter le développement et la création de valeur.
Au vu du contexte actuel – digitalisation des organisations, télétravail imposé par la crise sanitaire, montée en puissance des attaques cyber, la cyber sécurité n’est plus une option et l’appréhender comme un simple centre de coût ni même une activité qualifiée de cost avoidance n’est plus satisfaisant. L’idée fait son chemin, les investissements en cyber sécurité participent au développement et à la protection de la création de valeur. Oui mais où investir, dans quelle proportion avec quel retour sur investissement dans un environnement budgétaire contraint tout en sachant que le risque zéro en cyber sécurité n’existe pas et que l’obsolescence de l’investissement cyber est rapide compte tenu de la vitesse de l’évolution des usages et des technologies ainsi que de la sagacité des attaquants. A un moment, la courbe des investissements cyber devient exponentielle alors que le risque demeure. Que décider, quels sont les seuils de décision. Sur quels indicateurs fonder une décision objectivée ?
Le décideur est confronté à des demandes de validation de budgets massifs en période d’évolution critique du système d’information et, selon la taille de l’organisation, il peut ne pas avoir la vue sur la ventilation du budget de son DSSI ou de son RSSI. A l’inverse, les DSSI et les RSSI peuvent éprouver de la difficulté à justifier et valider leurs budgets opérationnels. Toutefois, l’interrogation est partagée, quel est le coût des impacts directs et indirects d’une attaque cyber, quel est le niveau d’exposition de l’organisation, quels sont les investissements nécessaires pour que les impacts financiers pour l’entreprise soient minima, comment financer le risque et quelles en sont les options ?
Comment puis-je en tant que dirigeant justifier auprès du conseil d’administration, des fonds d’investissement qu’il est urgent d’investir sans être en mesure de présenter un retour sur investissement et lorsque le risque cyber ne peut pas être matérialisé en tant que tel dans un bilan comptable ?
L’autre question du dirigeant est celle de la RCMS – quand est-il de ma responsabilité en tant que mandataire social face au risque cyber?
A l’heure d’aujourd’hui, aux questions posées, des réponses d’ordre technique sont apportées : voici ce qui est dépensé dans la protection, la détection, le traitement des incidents et la continuité d’activité, voici ce qui va permettre d’assurer la confidentialité, l’intégralité et la disponibilité des données dans le respect de la réglementation (ex. RGDP). L’analyse de risque doit désormais contenir un volet financier comme préconisé dans la démarche ANSSI AMRAE – Comprendre son risque numérique étape 4 ou dans le cadre d’une démarche globale d’analyse du risque telle que EBIOS Risk Management. Néanmoins, les analyses de risque avec un volet Business Impact Assessment n’offrent pas une vue holistique pour un risque de niveau Entreprise Risk.
Nous proposons de changer de paradigme et d’aborder le cyber sous l’angle financier par une approche par le risque business (et son corollaire l’opportunité) afin de le traduire en acceptabilité du risque en ayant connaissance du niveau exposition de l’organisation. En l’absence de normes comptables pour les données intangibles et immatérielles, il s’agit de confronter la technique aux enjeux métiers et traduire ces derniers en des termes financiers des impacts directs et indirects pour faciliter la prise de décision.
Est-ce possible de traduire le risque cyber en des termes financiers ?
Oui, deux méthodes peuvent le faire sur la base de scénarios d’attaque rapportés au métier et à l’activité de l’organisation. La difficulté principale de la traduction en termes financiers des conséquences financières d’une attaque cyber est essentiellement la problématique de la capacité à prendre en compte plusieurs risques en même temps. De plus, la quantification financière d’un scénario métier n’est pas égale à la somme des différentes étapes qui composent le ou les scénarios. Plusieurs incidents se déroulent en parallèle. Le total des impacts n’est pas égal à la somme des impacts car certains sont transverses. Ce qui rend complexe la méthode de calcul des accumulations.
De même, une approche par risque unitaire ne permet pas d’apprécier financièrement les mesures de mitigation qui permettront de réduire l’impact financier sur plusieurs scénarios. En l’état de l’art, il est impossible de remonter (d’agréger) tous les coûts unitaires des incidents qui dessinent un scénario d’attaque du niveau Risk Entreprise.
En revanche, deux méthodes apportent des éléments de quantification financière à partir de scénarios métier. Complémentaires, elles n’adressent pas le même niveau de risque. Leur combinaison permet d’avoir une vue correcte sur les impacts financiers. Mais il faudra aller plus loin dans la réflexion pour avoir une vue consolidée de bout en bout des impacts financiers opérationnels et stratégiques d’un ou plusieurs scénarios d’attaque.
Les méthodes FAIR[1] et SPICE[2] permettent de quantifier financièrement le risque cyber.
- FAIR permet de quantifier financièrement des incidents cyber probables, fréquents à faibles impacts financiers pris individuellement mais qui deviennent importants lorsqu’ils se cumulent.
- SPICE quantifie l’impact financier de scénarios d’attaque catastrophiques qui mettent en danger la résilience de l’organisation à faible probabilité et haut impact financier par nature.
FAIR s’adresse aux RSSI et risk managers et leur permettant de calculer le coût cyber à un niveau opérationnel. On entend par risque opérationnel cyber, le risque qu’un incident cyber affecte la confidentialité, l’intégrité et la disponibilité de quelques serveurs, postes de travail, applications et données. FAIR est l’outil des RSSI. Ses résultats justifient les demandes de budget auprès de la DSSI voire de la Direction financière pour arbitrer entre investissements pour le déploiement, par exemple, d’un nouvel ERP dans le budget alloué aux systèmes d’information. FAIR quantifie l’opérationnel. Dans son radar, FAIR met en évidence les faiblesses de l’organisation dans le traitement des risques à impact normal et probabilité (fréquence) normale. Une vision technique avec comme enjeu de défendre d’un budget technique sur une année mais sans pouvoir justifier le ratio d’investissement cyber en regard du niveau de résilience de l’organisation face à une menace en constante évolution.
Or, le décideur a besoin d’éléments objectifs qui lui permettent de faire des arbitrages sur les 5 prochaines années par rapport à ses enjeux métiers. Si j’investi là vous me le demandez, serais-je mieux protégé dans les années à venir au regard de Business Plan et des objectifs annoncés ? Rapporter le cyber au Business. Que faire pour que les dépenses en cyber sécurité deviennent un levier de croissance de mon activité ? Ramener la question du cyber aux enjeux métiers.
Comment décider, en l’absence d’indicateurs de performance, de retour sur investissement des investissements en cyber sécurité ?
L’approche par le calcul et la réduction des impacts financiers de scénarios catastrophiques selon la méthode SPICE apporte des réponses aux questions ci-posées.
SPICE permet de quantifier financièrement des scénarios métiers d’attaque par un vecteur cyber dont les impacts directs et indirects sont catastrophiques car ils atteignent le niveau de résilience de l’organisation. Le point où les plans de continuité d’activité et le plan de reprise d’activité ne donneront pas tous les résultats escomptés en termes de temporalité pour un retour à une activité nominale.
SPICE a été créé pour répondre à 4 questions simples : quel est le coût d’une attaque cyber majeure, quelle est l’exposition de mon entreprise au risque cyber ; est-ce qu’avec ces nouveaux investissements suis-je plus protégé ; comment puis-je financer mon risque par une assurance dédiée ? Et permettre au dirigeant de se positionner sur les 3 options qui se présentent à lui : je ne souhaite pas que cela m’arrive ; si cela m’arrive il ne faut pas que cela me coûte plus que tant ; je souhaite financer une partie de mon risque.
SPICE permet de réfléchir via le prisme de la réduction de l’impact : est-ce qu’un scénario grave peut se produire par un vecteur cyber, ou bien est-ce que le cyber est un facteur aggravant ? En effet, la dimension humaine de l’attaquant doit être prise en compte. Ce dernier cherche à tirer le profit maximum de son action. Il souhaite faire le plus mal possible et obliger sa cible à payer. C’est ce que montre l’évolution du business model des ransomware où l’attaquant met sa cible dans l’obligation de payer. Les entreprises qui ne peuvent pas se permettre de voir divulguées des données personnelles (le secteur de la santé) sont ciblées en priorité.
Penser en termes de réduction de l’impact financier d’un scénario d’attaque métier donne de nouvelles options en offrant une vue globale sur les investissements en cyber sécurité qui deviennent stratégiques d’un point de vue métier. Cela permet d’identifier quelles sont les mesures de mitigation sur lesquelles investir en priorité pour baisser non pas la probabilité d’occurrence qui est faible mais l’impact financier. Par exemple, une attaque qui pourrait verrouiller le système d’information, la production, tout ou partie de la chaîne d’approvisionnement, bloquerait le fonctionnement de l’extended entreprise tout en chiffrant les sauvegardes …
Déterminer le niveau exposition au risque cyber de niveau Entreprise risk rend possible des arbitrages d’investissements qui soutiennent la stratégie de développement de l’entreprise. Le dirigeant peut conduire ses arbitrages d’un point de vue métier sur la base d’éléments financiers objectifs. Le dirigeant qui peut défendre ses options devant son Conseil d’administration et ses investisseurs et orienter la ventilation du budget de sa DSSI.
La juxtaposition des deux méthodes FAIR et SPICE offre un 360 sur les investissements nécessaires. FAIR arbitre des investissements qui font baisser la probabilité d’occurrence. SPICE adresse les grands risques et la réduction des impacts financiers, les meilleures mesures à mettre en place pour réduire plusieurs risques. FAIR rassure les assureurs sur la baisse de la fréquence d’occurrence des sinistres. SPICE les rassure sur la baisse de leur impact financier.
SPICE dé risque également les futurs investissements et business plans, les acquisitions capitalistiques, les risques d’entreprise étendue et de supply chain.
Pour aller plus loin
Les deux méthodes ne sont pas complémentaires dans le sens où le continuum entre les deux périmètres qu’elles adressent n’est pas possible à conduire en l’état de l’art.
Pour dépasser cet obstacle, IQ Cyber souhaite approfondir ses réflexions sur la quantification financière du risque cyber et les seuils de prise de décisions pour un dirigeant au travers du concept de « Dette de Sécurité » ou comment structurer, matérialiser des investissements cyber sur les 5 prochaines années dans un bilan comptable alors que le calcul d’un retour sur investissement en reste difficile à déterminer.
Comment démontrer que la cyber sécurité n’est définitivement plus un centre de coût mais qu’investir permet de ne pas perdre d’argent (et d’en gagner). Comment traduire en termes comptables le montant du défaut d’investissement en cyber lorsque surviendra une défaillance du système d’information face à une attaque cyber ? Peut-on présenter les chiffres sous forme d’une dette négative ou positive à terme ? Peut-on montrer que l’on pourrait seulement payer des intérêts et ne pas rembourser la dette le cas échéant. L’objectif premier étant de ne pas payer des intérêts exorbitants en cas de survenance d’une attaque avec un fort impact financier nécessitant une forte injection de moyens financiers pour assurer la résilience. Ce serait un moyen de valoriser financièrement les investissements en cyber sécurité et de se rapprocher d’un retour sur investissement.
Comment calculer l’érosion de la qualité financière des investissements cyber dont l’obsolescence technique est rapide dans le temps. Intégrer cette notion.
Comment identifier des investissements pour combiner probabilité et impact.
Comment mieux financer, provisionner son risque cyber.
Ces travaux permettront également d’apporter de nouvelles réponses à la question de la quantification financière de l’intangible et du patrimoine immatériel.
[1] https://www.fairinstitute.org/what-is-fair
[2] Scenario Planning for Identification of Cyber Exposure. Méthode créée au sein d’Airbus Defence and Space en 2015 pour l’activité de l’Insurance Risk Manager en charge du risque cyber. Elle a reçu un ADS Award of Excellence en 2016. La méthode est portée par BSSI (Olivier Allaire). Elle est déployée chez Airbus depuis 2018 ainsi qu’au sein d’autres organisations. Elle correspond à l’étape 4 du guide ANSSI-AMRAE – la maîtrise du risque numérique (15 étapes). Elle est promue par l’AMRAE (Philippe Cotelle Administrateur). L’association IQ Cyber a pour objectif d’améliorer la méthode et promouvoir la réflexion autour de la quantification financière du risque cyber et sa valorisation.