Comment mesurer la performance en matière de cybersécurité ?

Face à la hausse des cybermenaces, la position stratégique du RSSI s'est renforcée au sein des organisations. Mais sa mission reste complexe puisqu'il doit se faire comprendre pour démontrer l'intérêt de nouveaux investissements en cybersécurité. Quantifier le risque est une clé essentielle pour y parvenir. Par Marten Mickos, PDG de HackerOne

Chaque trimestre, le responsable de la sécurité des systèmes d’information (RSSI) doit se présenter devant son comité de direction et tenter de mettre un prix sur quelque chose qui n'est pas arrivé. Quand son job consiste à éviter les incidents de sécurité et les cyberattaques, il peut être difficile d’évaluer précisément l’impact d’un risque potentiel pour justifier une demande de budget ou de ressources...

L’importance de quantifier le risque cybersécurité

Pour gagner en pertinence et en légitimité auprès de la direction et des métiers, évaluer les cyberrisques de la manière la plus objective possible est devenu un véritable enjeu. C’est en effet le meilleur moyen de se faire comprendre pour convaincre et décrocher les investissements nécessaires pour tenir sa feuille de route cybersécurité. C’est ensuite un indicateur pertinent pour démontrer l’efficacité des investissements menés, en montrant l’évolution du curseur de risque sur les mois voire les années à venir.

Mais comment évaluer précisément et objectivement le risque quand certains impacts sont par nature intangibles : image de marque, préjudice stratégique, désorganisation interne… ?

L’attention portée à la valeur est une notion clé. Les entreprises doivent aujourd’hui comprendre la valeur de la sécurité de leurs données et de celles de leurs clients. Si protéger ces données est une priorité pour l’entreprise, alors naturellement le RSSI et plus largement l’équipe en charge de la sécurité bénéficiera du soutien de la direction. Le RSSI de Slack, Larkin Ryder, a récemment expliqué à l’occasion de la conférence Security@ : "Slack est une entreprise qui comprend que la sécurité des données des clients est une priorité absolue, notre équipe bénéficie donc d’un support à la hauteur de l’enjeu. Mais cela s'accompagne du défi de répondre aux attentes de la direction et rationaliser les dépenses. Je m'assure d’investir le budget en tenant compte des meilleurs paramètres et de l'attention portée à la valeur, et je rends cette valeur à l'organisation."

Quelles pistes pour quantifier le risque ?

Il n’existe pas aujourd’hui de méthode universelle ni de base de données statistiques suffisamment complète pour évaluer précisément l’impact d’une cyberattaque ou le ROI d’une stratégie de cybersécurité.

Une récente étude a été menée auprès de RSSI à travers le monde pour comprendre comment ils mesurent le retour sur investissement de leurs efforts en matière de sécurité. Les résultats ont montré une réelle diversité d’approches : 43% évaluent le risque interne ou externe, 42% font une estimation des économies réalisées en évitant le risque, 40% évaluent la réactivité de leur équipe pour remédier à une vulnérabilité, 39% évaluent l’absence de faille de sécurité et, enfin, 37% mesurent les réductions obtenues sur leur cyberassurance.

Evaluer l’impact sur le coût de la cyberassurance est une tactique que Benjamin Vaughn, RSSI de Hyatt utilise : "Quand j'ai rejoint Hyatt, j'ai travaillé en étroite collaboration avec l’équipe Risk Management pour trouver une police de cyberassurance. Nous avons mis en concurrence les trois principaux acteurs de ce marché et leur avons présenté en détails les incidents survenus ainsi que les actions pour les atténuer. En conséquence, nous bénéficions d’un tarif très performant par rapport à d'autres dans le même secteur".

Avoir une vision long terme

Pour parler de sécurité à un conseil d'administration, le RSSI doit traduire ses enjeux dans une langue qu'il comprend. C’est le meilleur moyen d’obtenir les ressources nécessaires et de gagner la confiance sur le long terme.

D’une manière générale les membres des comités de direction ou conseils d’administration ont besoin que le RSSI présente les conclusions de tests de pénétrations et d’audits de sécurité, explique quels genres d’incidents ont touché l’entreprise et les mesures qui ont été prises, et surtout conseille sur la meilleure stratégie à adopter pour réduire le risque au fil du temps.

A chacun de trouver les outils les plus appropriés pour quantifier le risque et convaincre la direction.  En montrant que la stratégie qu’il a mise en place génère moins d’incidents, et que quand des incidents se produisent, il a pu maîtriser leur impact, le RSSI met tous les atouts de son côté pour améliorer la posture de cybersécurité de son entreprise.