La quantification financière du cyber risque : une approche essentielle pour réduire votre exposition aux ransomwares
Dans la guerre qui nous oppose aux cybermenaces, la quantification du cyber risque en termes financiers (CRQ) est trop souvent négligée. Pourtant, cette méthodologie puissante permet de gérer votre stratégie de cybersécurité plus efficacement. Cet article l’analyse d’un scénario d’attaque par ransomware.
Le coût des ransomwares
Le coût financier réel d'un incident de ransomware est souvent bien plus élevé que le seul paiement de l'extorsion. Voici comment évaluer plus efficacement l'impact financier réel afin de cibler vos investissements dans les contrôles de sécurité pour gérer votre risque cyber.
Selon l'Internet Crime Report du FBI, plus de 4 000 attaques de ransomware ont eu lieu chaque jour depuis le 1er janvier 2016. Cette statistique prend tout son sens à côté des sommes à sept chiffres souvent exigées et parfois payées pour que les données des victimes soient décryptées, comme dans les cas de Colonial Pipeline ou de Brenntag.
Mais une autre information pourrait vous surprendre : le montant de la rançon ne représente qu’une fraction du véritable coût d’une attaque. Une analyse de Check Point Research et Kovrr a révélé que la rançon, quand elle était payée, représentait seulement 15 % du coût total d’une attaque pour les victimes.
L’estimation du coût global d’une attaque peut poser problème, parce qu’elle est particulièrement sujette aux approximations : du point de vue financier, le calcul global du coût des incidents cyber, en particulier dans le cas des ransomwares, reste une opération nébuleuse. Même les victimes ont du mal à chiffrer précisément leurs pertes.
Pourtant, nous voyons trois bonnes raisons d’anticiper sur ces coûts avant tout incident, car cette approche permet aux entreprises de :
- Comprendre les véritables enjeux de la sécurité
- Identifier la solution de protection la mieux adaptée
- Prioriser les mesures de contrôle et les mécanismes d’atténuation disponibles.
Mesurer le risque en termes financiers
En 2001, un RSSI et un expert en gestion du risque ont conçu une méthodologie permettant de répondre aux questions suivantes : comment mesurer le risque auquel je suis exposé, et le retour qu’offrent les investissements que je mets en place pour atténuer ce risque ? Cette méthodologie, connue sous l’acronyme FAIR™ (Factor Analysis of Information Risk, analyse des facteurs de risque de l’information), utilise la quantification du risque cyber (CRQ) pour calculer les pertes financières découlant du risque IT. Dans cet article, nous vous proposons quatre étapes clés issues de ce modèle pour vous aider à réduire votre exposition aux pertes financières en cas d’attaque par ransomware.
