habillage
premium 1
premium 2
actu_24951_vignette

Cybersécurité : quels enjeux pour les entreprises ?

Le 13 févr. 2015

La cybersécurité a été l’un des thèmes majeurs du Forum économique mondial de Davos alors que les cyberattaques se multiplient. Deloitte signe à cette occasion le rapport "Partnering for Cyber Resilience Towards the Quantification of Cyber Threats". Décryptage de Marc Ayadi et d'Alain Robic de Deloitte.

Combien va vous coûter la prochaine cyberattaque ? La communauté économique internationale s’accorde désormais à considérer l’existence et l’impact des cyber-menaces sur les entreprises et leur écosystème. Les cyber-menaces, perpétrées par des hackers de tous milieux (hacktivistes, cybercriminels, cyber terroristes, états, concurrents, …) ciblent les systèmes d’informations des entreprises essentiellement via Internet, pour détourner des fonds de l’entreprise, espionner ses activités de recherche, voler ses données sensibles, arrêter sa production industrielle, nuire à son image …

Les Comités de Direction, les comités d’audit et les compagnies d’assurances se posent la question de l’impact de cette nouvelle forme de risque sur la santé opérationnelle, économique et commerciale de l’entreprise. De façon sous-jacente, il s’agit de savoir comment rationaliser la prise de décisions par des indicateurs permettant de quantifier l’exposition de l’entreprise au risque de cyber-attaques, d’en évaluer les conséquences sur les biens de l’entreprise, d’optimiser les investissements de sécurité, d’apprécier les vulnérabilités résiduelles, et, au final, d’évaluer la prime d’assurance. L’ensemble de l’écosystème (directions générales, comités d’audit, RSSI, DSI, …) recherche un référentiel commun, une « norme » pour apprécier quantitativement (de préférence financièrement) et d’un même point de vue, le risque Cyber et son impact économique sur l’entreprise. L’Initiative Partenariale pour la Cyber-résilience du Forum Economique Mondial, qui réunit autour de Deloitte une centaine d’experts internationaux, poursuit en 2015 ses travaux entamés en 2011, par une réflexion sur la modélisation et la quantification du risque cyber et de ses impacts.

Dans l'objectif d'une approche partagée par les différentes parties prenantes, les membres de l'initiative ont défini le concept de « Cyber Value-At-Risk », qui représente la pire perte possible résultant d’une cyber-attaque sur un actif, à un horizon de temps donné, et pour un certain niveau de confiance. L’approche de quantification du risque cyber s’appuie essentiellement sur la caractérisation de trois grandes composantes du risque : les vulnérabilités existantes et la maturité de cyber-résilience de l’organisation, la valeur de l’actif, le profil d’attaque. Ces composantes peuvent être caractérisées mathématiquement et statistiquement, et sont combinées deux à deux pour apprécier les notions d’attractivité, de perte potentielle et de taux de réussite d’une attaque. La difficulté de l’exercice, sur laquelle vont devoir plancher les experts, c’est de quantifier formellement des notions telles que l’attractivité d’un système à la menace, le niveau de maturité de cyber résilience, la probabilité de succès d’une attaque relativement à un niveau de maturité, etc… Dans l’esprit, une forme de standard commun d’appréciation quantifiée des risques est une nécessité, un facilitateur attendu de toute la communauté, qui permettrait à chaque étage de la chaîne de décision de mieux comprendre les enjeux face aux risques Cyber, et ainsi, de s’en protéger plus efficacement. Toutefois, n’oublions pas, dans l’immédiat, que protection, détection et réaction restent les fondamentaux de la sécurité active, qu’il convient de soutenir financièrement, même en l’absence –temporaire- d’indicateurs métriques de quantification des risques.

Marc Ayadi
Associé responsable IT Risk Advisory chez Deloitte

Alain Robic
Associé IT risk advisory chez Deloitte

Commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.