Comment bien évaluer le risque cyber d'une entreprise ?

Le risque est inhérent au monde de l'entreprise mais difficile à évaluer et à mesurer. En particulier, le cyber-risque continue d'augmenter malgré l'augmentation des budgets de sécurité informatique. Afin de décider sur quels contrôles informatiques affecter leurs ressources et leur expertise, les entreprises doivent quantifier les risques cyber en termes financiers.

Christophe Forêt
Président et co-fondateur de C-Risk
les risques de l'entreprise

Explications

Les discussions sur les risques sont toujours difficiles dans un monde où les risques sont souvent mal calculés. C'est encore plus vrai dans l'entreprise alors que, comme l'illustre la définition du mot entrepreneur, le risque est inhérent à la nature de l'entreprise.

En effet, lorsqu'elles proposent leurs services ou leurs produits sur le marché, toutes les organisations chiffrent de manière plus ou moins fiable leur rapport risque / rendement (cf.: Hans Peter Ring, directeur financier d'Airbus, sur la quantification du risque) afin d’évaluer leurs chances de succès. Ne pas prendre de risque signifie peu ou pas de rendement. D’ailleurs, les experts du risque d'entreprise tels que James Lam et d'autres préconisent depuis longtemps l'utilisation d'un ratio ajusté au risque pour mesurer la rentabilité (c'est-à-dire la performance) d'une organisation plutôt que le ROA standard (return on assets / rendement des actifs).

Aujourd’hui, les entreprises sont confrontées à un nouvel ensemble de risques que sont les cyber-risques. Comme Ginny Rometty l'expliquait en 2015, si les données sont la nouvelle ressource naturelle de «l'économie des données », alors « la cybercriminalité, par définition, constitue la plus grande menace pour toutes les professions, tous les secteurs et toutes les entreprises du monde ». En conséquence, les investissements dans la cyber sécurité ne cessent de croître, alimentés par le battage publicitaire des fournisseurs et par une exposition toujours plus importante aux médias. Si certains prétendent qu'avec la maturité grandissante en matière de sécurité, la croissance des investissements finira par ralentir, Gartner et d'autres analystes continuent de faire état d'une croissance rapide des investissements dans les solutions de sécurité en 2018-19 (+ 8,7% sur un an).

Malgré l’augmentation des budgets, les entreprises font constamment face à des cyberattaques (y compris un nombre croissant de succès) et luttent pour trouver et utiliser correctement leurs ressources humaines et financières.

Ces dernières années, les entreprises ont amélioré leur gestion des risques en utilisant des cadres tels que NIST, ISO 27005, EBIOS, etc. Cependant, bien qu’utiles pour guider la mise en place d’un programme de gestion des risques, ces normes demeurent non prescriptives pour la quantification des risques. En conséquence, de nombreuses entreprises cherchent d’abord à se conformer aux meilleures pratiques plutôt qu’à mesurer (c’est-à-dire quantifier) ​​les contrôles informatiques qui correspondent le mieux à leur situation.

Pourtant, selon Gartner, la situation évolue et les analystes conseillent de mettre de nouveau l'accent sur le risque afin de passer de la gestion de la Gouvernance, des Risques et de la Conformité (GRC, qui met l'accent sur la conformité) à la Gestion Intégrée du Risque (IRM, qui replace le risque sous le feu des projecteurs). Parallèlement, de nouvelles réglementations telles que RGPD et CCPA augmentent la pression sur les Responsables de la Sécurité et des Risques pour expliquer, en termes financiers, aux dirigeants de leur entreprise à quelle quantité de risques ils sont exposés et quelle baisse d'exposition aux risques pourra résulter d’investissements supplémentaires dans la cyber sécurité.