La quantification financière du cyber risque : une approche essentielle pour réduire votre exposition aux ransomwares

10 par jour. D’après le rapport du FBI sur la cybercriminalité, il s’agit du nombre d’attaques par ransomware signalées dans le monde, et les experts sont nombreux à penser que ce chiffre est bien inférieur à la réalité. Cette statistique prend tout son sens quand on voit les sommes exubérantes (qui atteignent souvent les sept chiffres) qui sont demandées, et parfois payées par les victimes pour accéder à leurs données, comme dans le cas de Colonial Pipeline ou de Brenntag.

Mais une autre information pourrait vous surprendre : le montant de la rançon ne représente qu’une fraction du véritable coût d’une attaque. Une analyse de Check Point Research et Kovrr a révélé que la rançon, quand elle était payée, représentait seulement 15 % du coût total d’une attaque pour les victimes.

L’estimation du coût global d’une attaque peut poser problème, parce qu’elle est particulièrement sujette aux approximations : du point de vue financier, le calcul global du coût des cyberincidents, en particulier dans le cas des ransomwares, reste une opération nébuleuse. Même les victimes ont du mal à chiffrer précisément leurs pertes.

Pourtant, nous voyons trois bonnes raisons d’anticiper sur ces coûts avant tout incident, car cette approche permet aux entreprises de :

• Comprendre les véritables enjeux de la sécurité
• Identifier la solution de protection la mieux adaptée
• Prioriser les mesures de contrôle et les mécanismes d’atténuation disponibles.

‍

En 2001, un RSSI et un expert en gestion du risque ont conçu une méthodologie permettant de répondre aux questions suivantes : comment mesurer le risque auquel je suis exposé, et le retour qu’offrent les investissements que je mets en place pour atténuer ce risque ? Cette méthodologie, connue sous l’acronyme FAIR™ (Factor Analysis of Information Risk, analyse des facteurs de risque de l’information), utilise la quantification du risque cyber (CRQ) pour calculer les pertes financières découlant du risque IT. Dans cet article, nous vous proposons quatre étapes clés issues de ce modèle pour vous aider à réduire votre exposition aux pertes financières en cas d’attaque par ransomware.

Connaître ce que l'on protège

Étape 1 : Mieux comprendre son entreprise

Avant de chercher à calculer des coûts ou des pertes, soyons pragmatiques et voyons ce qu’il est possible de définir et de mesurer précisément : votre activité habituelle. Pourquoi ? Parce que, quand le temps et le budget sont limités, l’analyse doit se confiner à un nombre restreint de scénarios. Quand le temps est limité, il faut définir des priorités, en se posant la question : où risquons-nous de perdre le plus d’argent ? Autrement dit, comment maximiser votre retour sur investissement (ROI) ?

La première sous-étape consiste à identifier entre une et cinq ressources stratégiques (selon la taille de l’entreprise). Les acteurs clés ne seront peut-être pas tous d’accord sur la réponse à cette question vitale. Pourtant, toute l’analyse dépend de la définition d’un cadre clair : il est donc nécessaire de se mettre d’accord sur les ressources choisies et de partager une même vision.

Nous devons ensuite comprendre en détail comment ces ressources fonctionnent et quels sont les mécanismes qui pourraient entraîner une perte de données ou une interruption de service qui impacteraient leur valeur. En menant une analyse de ce type sur chaque ressource, on produit à une liste qui associe les ressources, l’impact et les menaces(voir ci-dessous). En essence, nous identifions les risques les plus critiques.

Notre exemple s’articule autour des ransomwares.
On peut définir le scénario de risque comme suit :

1. Ressource : Machines utilisateurs
2. Impact : Indisponibilité des machines utilisateurs
3. Menace : Cybercriminels

Nous comprenons maintenant mieux ce que nous devons protéger. L’étape suivante consiste à évaluer les enjeux. Pour chaque risque critique de votre liste, il faut estimer de façon précise les pertes financières correspondantes.

Calculer les pertes potentielles

Étape 2 : Quantification du risque cyber en termes financiers

On peut définir le risque de plusieurs façons. Dans le cas qui nous intéresse, la meilleure définition du risque est : la fréquence probable et la magnitude probable des pertes futures. (Remarque : pour cette approche, nous adoptons un modèle basé sur le risque nommé Analyse des facteurs de risque de l’information : Factor Analysis of Information Risk, ou FAIR™. Cet article explique la méthodologie, ses concepts clés et les résultats attendus. Pour une description plus détaillée de la méthodologie FAIR, consultez le site Web FAIR.)

Pour définir le risque, nous mettons en avant deux concepts clés :

• Fréquence : combien de fois un risque (ou plutôt un incident entraînant des pertes) est-il susceptible de survenir dans un intervalle de temps donné ?
• Magnitude : quand le risque (l’incident entraînant des pertes) se produit, quelle est l’importance des pertes engendrées ?

Dans un deuxième temps, nous devons également détailler les types de pertes. Il convient de distinguer les pertes primaires (que les parties prenantes principales subissent en conséquence directe de l’incident) et les pertes secondaires, qui correspondent aux pertes essuyées après la réaction de parties tierces.

Plutôt que d’essayer d’évaluer le risque dans son ensemble, la méthodologie cherche à chiffrer chaque composant des pertes. La magnitude du risque correspond à la somme de tous les composants.

Appliquons notre scénario de risque à une entreprise fictive. Dans une optique de simplicité, nous nous contenterons d’identifier les coûts de productivité :

On calcule la perte de productivité des employés sur la base des suppositions suivantes :

1. 5 % à 50 % des 100 000 terminaux sont impactés
2. Une interruption dure de 2 à 14 jours
3. Une interruption impacte la productivité de 20 % à 50 %

On calcule la perte de revenus commerciaux sur la base de la supposition suivante :

1. Une interruption entraînerait une perte de revenus trimestriels de 0 % à 5 %
2. Perte de productivité = perte de productivité des employés + pertes de revenus commerciaux

Pour recueillir ces données, on interroge les principaux acteurs concernés. Vous devez appliquer la même méthodologie d’analyse à tous les types de pertes associées au scénario choisi.

Bien entendu, ce modèle étant basé sur des suppositions, il subsiste une certaine part d’incertitude. C’est pourquoi vous devez documenter toutes ces suppositions et présenter les données sous forme de plages, plutôt que de valeurs discrètes. Ainsi, l’analyste (qu’il s’agisse d’une personne interne ou extérieure à l’entreprise) peut communiquer le niveau d’incertitude résiduel et confirmer la fiabilité du modèle.

Cette étape nous permet d’évaluer précisément l’impact financier d’un scénario de risque donné. Nous devons par la suite identifier comment il est possible de réduire cet impact autant que possible, en choisissant les meilleurs outils pour le budget de sécurité IT disponible.

Choisir l'outil de sécurité le mieux adapté

Étape 3 : Évaluer l’efficacité pour hiérarchiser les outils

Les mesures de contrôle que nous déployons pour atténuer les risques opèrent de deux façons :

• Réduction de la fréquence : pour réduire la probabilité qu’une perte survienne. (Ces contrôles peuvent inclure des fonctions de détection et de réponse, des mesures de contrôle comme les pare-feu ou l’authentification multifacteur [MFA], ou encore des opérations de sensibilisation.)
• Réduction de la magnitude : pour réduire les pertes au strict minimum (par ex. mesure d’endiguement et d’atténuation, réparation de la réputation).

Nous vous recommandons de vous concentrer sur un risque à la fois lorsque vous choisissez les contrôles à mettre en œuvre . En effet, il n’est pas toujours possible de comparer les outils pour les hiérarchiser, car ils ne sont pas nécessairement pertinents (par ex., la gestion des tiers est un mécanisme de contrôle, mais il n’est pas pertinent dans un périmètre entièrement géré en interne).

Le modèle analytique FAIR parle de « performances recherchées » et de « performances opérationnelles ». Les scénarios de risque que vous pensez contrôler à l’aide de vos outils peuvent créer plus de dégâts que prévu. En l’absence de circuit de feedback opérationnel, le modèle n’a qu’une utilité limitée.

Une fois que vous avez identifié les contrôles applicables, l’analyste interne ou externe élabore des scénarios d’application de ces packages de contrôle. Dans l’idéal, vous devez finir avec une sélection de deux ou trois packages.

Menez ensuite une quantification des risques cyber pour tous les scénarios de package pour identifier celui qui présente le meilleur ROI et/ou offre la meilleure réduction du risque.

Imaginons que nous avons estimé que les pertes de ce scénario de ransomware atteindraient une fourchette de 7 à 13 millions de dollars. Nous avons ensuite sélectionné deux packages de contrôle, et nous devons maintenant faire un choix.

Package 1 : Prévention et détection
Sensibilisation au phishing + déploiement d’outils de détection et de réponse sur les terminaux

Package 2 : Réponse
Souscrire à une police d’assurance + Définir et tester les procédures et les outils de réponse à incident et de récupération des données

Le Package 1 réduirait la fréquence des pertes, mais son efficacité serait moindre si l’attaque réussit, alors que le Package 2 n’aurait d’efficacité que sur la magnitude de la perte, en répondant aux incidents au moment où ils se produisent.

Menez une quantification pour chaque possibilité et calculez de combien chaque package pourrait réduire la perte la plus probable. Comparez alors la réduction de la perte aux coûts de mise en œuvre. Vous obtiendrez ainsi des arguments solides pour choisir l’une ou l’autre solution.

Si l’on adopte une vue d’ensemble, nous venons de choisir une solution de contrôle sur la base de données financières documentées, précises et défendables. Nous avons ainsi les moyens de justifier le ROI de ces outils.

Toutefois, même si vous disposez d’une solution de gestion du risque efficace, vous n’êtes pas à l’abri d’une attaque. L’étape suivante consiste donc à éviter toute attaque qui pourrait s’avérer fatale pour l’entreprise.

Minimiser l'impact sur votre entreprise

Étape 4 : Éviter le K.O. en cas d’attaque

20 % des chefs d’entreprise estiment qu’une cyberattaque pourrait mettre un terme à leur activité. Ce chiffre est en augmentation depuis l’année dernière, d’après une étude portant sur plus de 5 000 entreprises menée par la compagnie d’assurance Hiscox en France, en Allemagne, en Espagne, aux Pays-Bas, en Irlande, aux États-Unis et au Royaume-Uni.

Le jour où votre entreprise est victime d’une cyberattaque, mieux vaut avoir été préparé et informé sur les types de pertes que vous encourez et leur magnitude. L’idéal consiste à avoir anticipé ces coûts pour les réduire autant que possible, tout en garantissant que votre entreprise est en mesure d’absorber ces pertes.

Oublions pour le moment la hiérarchisation des outils de contrôle. Dans cette rubrique, nous allons parler de la gestion des coûts associés aux scénarios présentant le plus fort impact. Dans un tel cas, l’approche pragmatique est aussi la meilleure :

• Choisissez des scénarios de risque dont les pertes sont supérieures à la capacité d’absorption de votre entreprise, et/ou des scénarios présentant une magnitude de perte trop élevée.
• Identifiez le pire des scénarios possibles en termes de pertes pour chaque scénario que vous avez choisi
• Identifiez l’origine des coûts pour lesquels un effort de 20 % produirait 80 % des résultats.

Revenons à notre exemple. Dans la plupart des cas, dans le cas d’un chiffrement de terminaux par un ransomware, les coûts les plus élevés découlent de la perte de productivité des employés et de la perte de revenus issus des ventes. Pour rappel, on dérive ces coûts des suppositions suivantes :

5 %-50 % des 100 000 terminaux sont impactés
Une interruption dure de 2 à 14 jours
Impact sur la productivité de 20 % à 50 %

Perte de revenus trimestriels de 0 % à 5 %

Il convient donc de se concentrer sur les aspects suivants, au choix :

• Segmenter le réseau pour limiter le pourcentage de terminaux affectés
• Former le personnel et tester les plans de récupération pour limiter la durée de l’interruption
• Améliorer la résilience pour limiter l’impact sur la productivité et les revenus

Grâce à cette analyse, même si les outils de contrôle que vous avez choisis lors de votre évaluation du risque ne parviennent pas à empêcher une menace, vos pertes seront réduites au minimum.

Conclusion

Nous pouvons tirer trois enseignements de cet exercice :

• Comprendre et réduire le risque qu’une menace fait peser sur votre entreprise est une tâche complexe. Un moyen efficace de résoudre un problème consiste à le diviser en plusieurs problèmes plus réduits, en fonction de la taille de votre entreprise et du nombre de ressources concernées. Il s’agit avant tout d’optimiser l’atténuation du risque pour vos ressources les plus précieuses.
• Que ce soit avant ou après l’attaque, il est dans votre intérêt de mettre en œuvre des mécanismes de contrôle. En agissant de façon préventive, vous évitez les amendes, les coûts de gestion de l’incident, et les coûts de projet : en effet, on estime qu’intégrer la sécurité dès la conception est 10 fois moins coûteux que de sécuriser l’environnement après coup.
• Il est essentiel de mesurer l’impact de vos mécanismes de contrôle pour bien cerner l’efficacité de votre protection.

Savez-vous combien une attaque par ransomware coûterait à votre entreprise ? Mesurez-vous l’efficacité de vos investissements de cybersécurité ? Contactez-nous pour en savoir plus sur nos services de quantification des risques cyber.