Sécurité
: l'évaluation des risques à la rescousse
du ROI
Evaluer le retour sur investissement des dépenses de sécurité n'est pas chose aisée. L'évaluation des risques présente de nombreux avantages qui mettent DSI et DAF sur un pied d'égalité. (Lundi 5 mai 2003)
Evaluer le retour sur investissements
de dépenses consacrées à la sécurité
n'est pas chose aisée, tant il est difficile pour
les DSI d'amener la preuve chiffrée des économies
- présentes ou futures - réalisées
par l'entreprise.
Certains universitaires et cabinets d'études s'y
emploient néanmoins, mais leurs conclusions, parfois
trop théoriques, sont fortement "rudoyées"
par les financiers et décideurs en charge de ces
budgets. Une lueur d'espoir subsiste cependant dans les
méthodologies d'évaluation des risques,
plus pragmatiques et moins discutables.
Des
tentatives de crédibilisation du "ROI sécurité" Les expériences,
modélisations et autres tentatives pour quantifier,
en fonction de différents paramètres, les
bénéfices apportés par telle ou telle
solution de sécurité sont légions.
Une étude du cabinet Aberdeen
expose des arguments incitant les DSI à adopter
le même langage financier que leurs dirigeants :
la rentabilité des dispositifs de sécurité
se mesure à travers le choix des technologies les
mieux adaptées à l'activité de l'entreprise.
Les données et systèmes sensibles sont ainsi
protégés, les interruptions de service évitées,
les coûts opérationnels réduits, la
continuité de service assurée... ce qui
contribue à la performance financière des
métiers, au retour sur capitaux investis plus rapidement
et à la diminution des coûts marginaux. La
sécurité fait dans ce cas partie intégrante
des processus générateurs de valeur.
Au
niveau universitaire même
Autre exemple, celui de chercheurs de l'université
Carnegie Mellon, en collaboration avec le CERT
Coordination Center, qui ont tenté de modéliser
la capacité - croissante - des systèmes
informatiques à "survivre" aux menaces
externes au fur et à mesure que les dépenses
sécurité augmentent !
La courbe obtenue montre qu'un point d'équilibre
peut être atteint entre les dépenses "à
fonds perdus" - diront cependant les directeurs financiers -
et la capacité "optimisée" - répondront
les DSI - à résister aux attaques. Là
encore, il s'agit d'une façon d'exprimer les choses,
comme dans l'étude d'Aberdeen, ce qui bien entendu
est à l'origine des conflits qui opposent DSI et
DAF.
Evaluer les risques et s'approcher du consensus Une troisième
voie peut être trouvée par l'adoption par
les entreprises d'une démarche reposant sur l'évaluation
des risques liés à la sécurité.
Cette méthodologie présente plusieurs avantages
qui, même s'ils ne parviennent pas à concilier
les intérêts de tous - limitent cependant
fortement les divergences d'analyse.
Basée sur des processus managériaux de contrôle
interne et d'analyse des contraintes et menaces, elle
permet - par une démarche pragmatique - de comparer
les risques potentiels encourus avec des événements
déja survenus, ce qui présente l'avantage
de mettre les différents protagonistes sur des
bases identiques.
Au délà de cette
comparaison, la méthodologie permet également
de prendre en considération des éléments
autres que ceux directement liés à la perte
de données, de service ou de disponibilité.
Elle englobe en effet dans sa logique les avantages compétitifs
que l'entreprise peut prendre sur ses concurrents, ce
qui peut notamment se traduire par des parts de marché
supplémentaires, aisément quantifiables,
amenant ainsi de l'eau commune au moulin des deux directions
qui s'affrontent sans cesse pour la définition
d'un ROI lié aux dépenses de sécurité.