Personne ne veut dépenser des millions d’euros pour protéger son entreprise surtout si le coût actuel des dégâts causés par l’incident ne dépasse pas plusieurs milliers d’euros. C’est tout aussi ridicule de lésiner sur la sécurité pour économiser 100 € lorsque les dommages engendrés par une fuite de données pourraient s’élever à plusieurs centaines de milliers d’euros. Quelles informations devriez-vous prendre en compte pour calculer la somme à laquelle s’expose votre entreprise si elle est victime d’un incident informatique ? Comment pouvez-vous évaluer la probabilité d’une telle situation ? Lors de la conférence Black Hat 2020, deux chercheurs (Professeur Wade Baker de Virginia Tech et David Seversky, analyste senior du Cyentia Institute) ont exposé leurs points de vue quant à l’évaluation des risques. Nous avons trouvé leurs arguments intéressants et sujets à une conversation plus approfondie.
N’importe quel cours de cybersécurité digne de ce nom vous apprend que l’évaluation des risques repose sur deux facteurs : la probabilité de l’incident et les pertes potentielles. Nous nous demandons alors d’où viennent ces données et, plus important encore, comment elles doivent être interprétées. Après tout, si les pertes possibles sont mal évaluées, les conclusions tirées sont incorrectes et les stratégies de protection mises en place ne sont pas optimales.
La moyenne arithmétique est-elle révélatrice ?
De nombreuses entreprises font des études de pertes financières causées par des fuites de données. Leurs « découvertes fondamentales » sont généralement les pertes moyennes subies par les entreprises d’une taille comparable. Le résultat est mathématiquement valide et les nombres peuvent faire bonne impression dans les titres accrocheurs mais pouvons-nous vraiment utiliser ce résultat pour calculer les risques ?
Présentez ces données sous la forme d’un graphique, avec les pertes sur l’axe horizontal et le nombre d’incidents à l’origine des pertes sur l’axe vertical, et il devient évident que la moyenne arithmétique n’est pas le bon indicateur.
Dans 90 % des incidents les pertes moyennes sont inférieures à la moyenne arithmétique.
Si nous faisons référence aux pertes auxquelles une entreprise moyennes s’expose, alors il vaut mieux prendre en compte d’autres indicateurs. Il s’agit notamment de la médiane (le nombre qui divise l’échantillon en deux parties égales de manière à ce que la moitié des chiffres soit supérieure et l’autre moitié soit inférieure) et de la moyenne géométrique (une moyenne proportionnelle). La plupart des entreprises ne souffrent que de ces pertes. La moyenne arithmétique peut donner un nombre très déroutant à cause d’un petit nombre d’incidents périphériques et de pertes anormalement importantes.
Coût moyen d’un bloc de données divulgué
Un autre exemple de « moyenne » discutable découle de la méthode qui, pour calculer les pertes engendrées par des fuites de données, multiplie le nombre de bloc de données affectés par la somme moyenne des dégâts causés par la perte d’un ensemble de données. La pratique a montré que cette méthode sous-estime les pertes causées par les petits incidents et surestime fortement celles des grands incidents.
Voici un exemple. Il y a quelque temps de cela, de nombreux sites analytiques ont partagé une information qui soutenait que certaines entreprises avaient perdu plus de 5 milles milliards de dollars à cause d’une mauvaise configuration des services Cloud. Si vous recherchez l’origine de cette somme astronomique, il ne fait aucun doute que ce nombre de 5 milles milliards a été obtenu en multipliant tout simplement le nombre de blocs « divulgués » par le coût moyen de la perte d’un bloc de données (150 dollars). Cette valeur a été communiqué par le Ponemon Institute dans son rapport intitulé « 2019 Cost of a Data Breach Study ».
Pourtant, cette histoire devrait être assortie de plusieurs mises en garde. Tout d’abord, l’étude n’a pas pris en compte tous les incidents. Ensuite, même lorsque l’on ne considère que l’échantillon utilisé, la moyenne arithmétique ne permet pas d’avoir une idée précise des pertes. Elle n’inclut que les cas de blocs dont la perte aurait un coût inférieur à 10 000 dollars et supérieur à 1 centime. De plus, la méthodologie de cette étude montre clairement que la moyenne ne s’applique pas aux incidents ayant engendré la perte de plus de 100 000 blocs. Par conséquent, en multipliant le nombre total de blocs de données divulgués, après avoir mal configuré les services Cloud, par 150 nous obtenons un résultat fondamentalement incorrect.
Si cette méthode cherche à obtenir une véritable évaluation des risques, elle doit inclure un autre indicateur : la probabilité des pertes selon l’ampleur de l’incident. Cela ressemblerait à ce qui suit :
L’effet de ricochet
Un autre facteur souvent négligé dans le calcul du coût d’un incident est que les fuites de données actuelles nuisent généralement aux intérêts de plusieurs entreprises. Dans de nombreux cas, les dégâts totaux encourus par les entreprises tierces (associés, sous-traitants et fournisseurs) sont supérieurs aux dégâts que connaît l’entreprise dont les données ont été divulguées.
Le nombre de ces incidents augmente chaque année. La tendance générale à la « numérisation » ne fait qu’accroître le niveau d’interdépendance entre les processus de production de diverses entreprises. Selon les résultats de l’étude « Ripples Across the Risk Surface », réalisée par RiskRecon et Cyentia Institute, 813 incidents de ce type ont entraîné des pertes pour 5 437 entreprises. Cela étant dit, pour chaque entreprise victime d’une fuite de données, en moyenne, plus de quatre entreprises sont affectées par l’incident.
Conseils pratiques
Tout cela pour dire que les experts avisés qui évaluent les risques informatiques devraient tenir compte des conseils suivants :
- Ne faites pas confiance aux gros titres accrocheurs. Même si de nombreux sites partagent certaines informations, elles ne sont pas forcément correctes. Regardez toujours quelle est la source qui corrobore cette assertion et analysez vous-même la méthodologie des chercheurs.
- N’utilisez que les résultats d’étude que vous comprenez vraiment pour évaluer les risques de votre entreprise.
- N’oubliez pas que si votre entreprise est victime d’un incident cela pourrait aussi affecté d’autres organisations. Si des données sont divulguées et que vous êtes en tort, alors les autres parties auront probablement recours à la justice et le montant des dégâts risqueraient d’augmenter pour votre entreprise.
- De même, gardez à l’esprit que vos associés et fournisseurs peuvent divulguer vos données lors d’un incident que vous ne pouvez absolument pas contrôler.