Cybersécurité : combien valent vos donnéesˆ?

La plupart des organisations qui hiérarchisent et catégorisent les données leur attribuent rarement une valeur numérique particulière. En général, il n'est pas nécessaire d'entrer dans ce niveau de détail. Il suffit d'identifier les données les plus sensibles.

Les gangs de ransomware fixent le prix des données

Une tendance peu réjouissante menace cette stratégie de valeur : les ransomwares, qui ont touché 1 organisation sur 5 en 2021 selon le dernier baromètre du CESIN. Aujourd’hui, de plus en plus d’entreprises sont contraintes d’estimer la valeur en euros de leurs données afin de décider si cela vaut la peine de payer la rançon pour les récupérer. Plus précisément, les décideurs tentent de calculer combien d’argent ils perdront en cas de refus de paiement, en tenant compte du coût du manque à gagner, de la perte de clientèle, des amendes pour défaut de conformité ainsi que des pénalités imposées par les partenaires et les contractants. En France, selon un rapport IBM, la moyenne des coûts totaux d'une violation de données est passée de 4,01 à 4,57 millions de dollars (+14%) entre 2020 et 2021. Dans le même temps, il faut également garder à l’esprit que le paiement de la rançon ne garantit en aucun cas la récupération des données, et se traduit souvent par des attaques répétées, puisque l’organisation a montré qu’elle était disposée à répondre aux exigences des cybercriminels à l’origine de ransomwares.

La cyberassurance n’est pas une panacée

La tentation peut être grande de se tourner vers la cyberassurance pour se prémunir contre les dépenses occasionnées par les attaques par ransomware. Si une entreprise est en mesure de souscrire un contrat, il faut savoir que le modèle économique de cette assurance repose sur l’hypothèse que les cyberattaques catastrophiques seront rares. Au regard du nombre d’organisations touchées par les ransomwares, les paiements d’assurance sont devenus à la fois plus fréquents et plus coûteux. Selon une récente étude, le coût des cyber-assurances a augmenté de 30% entre 2020 et 2021. En outre, le débat sur le refus de payer si une attaque émane d’un acteur étatique ou si elle peut être considérée comme un acte de cyberguerre prend de l’ampleur. Enfin, la députée Valéria Faure-Muntian (LREM), co-présidente du groupe d'études "Assurance" à l'Assemblée nationale, a présenté fin 2021 dans un rapport une série de mesures pour mieux structurer le marché de la couverture du cyber-risque et prévenir ce dernier, incluant notamment l’interdiction du paiement des rançons.

En France, toujours selon le CESIN, 69% des entreprises sondées ont souscrit une cyber-assurance. Dans ce cas, le coût des données est déterminé par la compagnie d’assurance – qui s’appuie sur la demande de rançon moyenne. Donc, encore une fois, ce sont les attaquants qui fixent la valeur des données.

En définitive, une police d’assurance peut atténuer les inquiétudes, mais elle ne résout pas le problème que posent les risques associés aux ransomwares.

Protéger ce qui compte vraiment

De manière générale, il est préférable d’investir dans la sécurité plutôt que dans les rançons : la protection coûte moins cher que de payer des sommes exorbitantes à des criminels dans l’espoir, souvent vain, de récupérer ses données.

La classification des données joue un rôle clé à cet égard, car il est beaucoup trop coûteux de protéger tous les contenus de la même manière. Il n’est pas nécessaire d’attribuer une valeur spécifique à chacune d’entre elle ; il suffit de déterminer quelles sont les données les plus précieuses et de se concentrer sur la protection de la confidentialité, de l’intégrité et de la disponibilité de ces données.

Avant d’entamer le processus de classification, il est essentiel de veiller à ce que les différents services de l’entreprise – IT, sécurité, juridique et autres équipes commerciales – s’accordent sur les critères à utiliser, afin de pouvoir mettre en œuvre une approche globale et cohérente de la catégorisation des données. Cette harmonisation favorise également la prise de décisions plus équilibrées en matière de processus et de technologie, ainsi qu’un retour sur investissement plus rapide sur les outils de détection et de classification des données.

L’évaluation des risques relève avant tout de notre propre responsabilité. Il est donc essentiel pour les entreprises de ne pas laisser pas les cybercriminels à l’origine des ransomwares fixer le prix de leurs données.