Ce que coûtent vraiment les cyber-risques à l'entreprise : une étude Ponemon

L'étude révèle que les entreprises ne mesurent pas avec précision les coûts occasionnés par les cyber-risques et ne sont pas en mesure d'évaluer les dommages causés par les cyber-attaques sur leur activité. Sans ces informations essentielles, elles sont donc dans l'incapacité de prendre des décisions éclairées concernant l'allocation des ressources, les investissements technologiques et la priorisation des menaces.

Contrairement à d'autres domaines de l'entreprise (CRM, ERP, RH), la cyber-sécurité ne dispose pas de métriques claires qui permettent d'éclairer la prise de décision dans un langage que l'équipe dirigeante et le conseil d'administration comprennent facilement. Lorsque nous avons chargé Ponemon Research d'étudier les répercussions du cyber-risque sur les opérations des entreprises, notre objectif étant de découvrir la manière dont quatre KPI fréquemment utilisés pour mesurer la Cyber Exposure pouvaient permettre d'évaluer différents types de risques auxquels sont confrontées les entreprises. Nous ne voulions pas nous contenter d'évaluer les dommages financiers. Nous voulions aller plus loin et comprendre comment les cyber-risques influencent les stratégies d'entreprise, les produits, la chaîne d'approvisionnement, les flux de revenus, les opérations, les technologies, l'expérience client et la conformité réglementaire.

Après avoir interrogé 2 410 responsables IT et InfoSec dans six pays différents, nous avons constaté que les KPI ou les métriques traditionnelles permettant d'évaluer les risques auxquels sont confrontées les entreprises ne peuvent pas être utilisés pour comprendre les cyber-risques. Les entreprises ne mesurent pas avec précision les coûts occasionnés par les cyber-risques et ne sont pas en mesure de quantifier les dommages que les cyber-attaques pourraient occasionner sur leur activité. En conséquence, les décisions relatives à l’allocation des ressources, aux investissements technologiques et à la priorisation des menaces sont prises sans avoir connaissance de certaines informations essentielles. En outre, les entreprises ne sont pas capables de mettre en corrélation les informations recueillies à l'aide des KPI pour réduire les risques de fuite de données ou d'exploit de sécurité.

Alors que les conseils d'administration s'intéressent de plus en plus à la cyber-sécurité, l'étude Mesure et gestion des cyber-risques pour les opérations commerciales, menée par Ponemon Institute pour le compte de Tenable, révèle que les spécialistes doutent de l'exactitude des métriques utilisées pour mesurer les cyber-risques. En conséquence, les RSSI et/ou autres responsables des technologies de sécurité hésitent à partager des informations cruciales sur les coûts occasionnés par les cyber-risques avec leur conseil d'administration.

Analyse des KPI les plus courants

Pour réaliser cette étude, nous avons identifié quatre KPI fréquemment utilisés pour mesurer les cyber-risques :

• Délai d'évaluation
• Délai de remédiation
• Efficacité de la priorisation des cyber-risques
• Identification des assets vulnérables aux cyber-risques, y compris les appareils OT et IoT

Nous avons également étudié les trois KPI les plus souvent utilisés pour mesurer les conséquences financières d'une cyber-attaque :

• Perte de revenus
• Perte de productivité
• Chute du cours de l'action

La grande majorité des sondés (91 %) ont admis avoir connu au moins un cyber-incident ayant perturbé l'activité de leur entreprise au cours des 24 derniers mois ; 60 % ont déclaré avoir connu deux incidents ou plus au cours de la même période. Ces attaques ont causé des fuites de données et/ou des perturbations et des temps d'arrêt conséquents pour les opérations, la production et le matériel d'exploitation.

Selon la majorité des sondés (58 %), les KPI ou autres métriques fréquemment utilisés pour évaluer les risques auxquels sont confrontées les entreprises ne peuvent pas servir à mesurer les cyber-risques. Seuls 41 % des sondés (988) déclarent que leur entreprise tente d'évaluer les dommages potentiels auxquels elle serait exposée en cas de cyber-événement. Entre outre, seuls 30 % des sondés ont affirmé que leur entreprise était capable de mettre en corrélation les informations recueillies à l'aide des KPI de cyber-risque pour prendre des mesures visant à réduire les risques de fuite de données ou d'exploit de sécurité.

Parmi les 988 sondés ayant déclaré que leur entreprise tente d'évaluer les dommages potentiels auxquels elle serait exposée en cas d'incident de sécurité :

• 54 % ont déclaré évaluer ce qu'un vol de propriété intellectuelle leur coûterait 
• 43 % ont déclaré calculer les dommages financiers potentiels
• 42 % ont déclaré examiner quelles seraient les conséquences d'une perte de productivité des employés due à une fuite des données ou un exploit de sécurité

Quels facteurs sont utilisés pour évaluer le risque potentiel d'une cyber-attaque ?

Source : Mesure et gestion des cyber-risques pour les opérations commerciales, Ponemon Institute et Tenable, décembre 2018.

Nous avons demandé aux sondés d'évaluer la précision des informations recueillies à l'aide des KPI ci-dessus, en utilisant une échelle de 1 à 10, 1 signifiant « pas du tout précise » et 10 « très précise ». Seulement 38 % des sondés pensent que leurs mesures sont très précises, tandis que 44 % jugent qu'elles ne sont pas très précises.

Le rapport révèle également que les entreprises n'utilisent pas les KPI qu'elles jugent pourtant les plus importants pour évaluer et comprendre les cybermenaces. À titre d'exemple, les deux tiers des sondés (64 %) indiquent considérer le délai d'évaluation comme l'un des KPI les plus importants pour mesurer les cyber-risques, et pourtant seuls 49 % l'utilisent actuellement. Les trois autres KPI étudiés dans le cadre de ce rapport donnent lieu à des contradictions du même type (voir ci-dessous).

Écarts entre l'importance accordée aux KPI et leur utilisation

Source : Mesure et gestion des cyber-risques pour les opérations commerciales, Ponemon Institute et Tenable, décembre 2018.

Mesure des cyber-risques : qui a dit que c'était facile ?

Les sondés ont identifié sept raisons principales expliquant pourquoi leur entreprise rencontre toujours des problèmes de cyber-sécurité :

• Un manque de personnel dans les services dédiés à la sécurité IT
• Un manque de ressources pour gérer les vulnérabilités
• La multiplication des appareils IoT sur le lieu de travail
• La complexité de l'infrastructure de sécurité IT
• Une absence de contrôle de l'accès des tiers aux données sensibles et confidentielles
• Une dépendance à l'égard des processus manuels pour réagir face aux vulnérabilités
• Une visibilité insuffisante sur la surface d'attaque de leur entreprise

Certes, aucun de ces problèmes ne peut se régler en un coup de baguette magique. En revanche, nous pensons que suivre les cinq étapes décrites ci-dessous vous permettra d'aider votre entreprise à mettre en place une stratégie de cyber-sécurité adaptée à ses besoins.

1. Identifier et mapper chaque asset, quel que soit l'environnement informatique
2. Comprendre la Cyber Exposure de tous les assets, notamment en ce qui concerne les vulnérabilités, les mauvaises configurations et autres indicateurs d'état liés à la sécurité
3. Analyser le niveau d'exposition en contexte pour prioriser la remédiation en fonction de la criticité de l'asset, du contexte de la menace et de la gravité de la vulnérabilité
4. Prioriser les expositions à corriger en premier, le cas échéant, et appliquer le mode de remédiation approprié
5. Mesurer et comparer sa Cyber Exposure pour prendre des décisions plus éclairées en matière de gestion et de technologies

Outre les conseils présentés ci-dessus, vous trouverez dans la conclusion du rapport Mesure et gestion des cyber-risques pour les opérations commerciales un processus de mesure et de gestion des cyber-risques en cinq étapes, que vous pouvez mettre en application dans votre entreprise dès aujourd'hui.

À propos de cette étude

Le rapport Mesure et gestion des cyber-risques pour les opérations commerciales se base sur une enquête menée auprès de 2 410 responsables IT et InfoSec basés aux États-Unis, au Royaume-Uni, en Allemagne, en Australie, au Mexique et au Japon. Toutes les personnes interrogées ont un rôle dans l'évaluation et/ou la gestion des investissements engagés par leur entreprise dans les solutions de cyber-sécurité. Ce rapport présente les enseignements tirés de cette enquête. Téléchargez-le gratuitement ici.