« Le “cas Kindle” d’Amazon signe-t-il l’acte de naissance du contenu numérique ?
Devoteam Danet, au coeur de la convergence OSS/BSS »

Evaluation financière d’un incident de sécurité


Jean-Marc Boursat

Cet article est une synthèse de la conférence organisée par le Clusif le 15 Octobre 2009.

28% des entreprises effectuent une évaluation financière des incidents de sécurité d’après le dernier rapport “Menaces informatiques et Pratiques de sécurité en France”. Contrairement à d’autres pays, les entreprises françaises ne sont pas obligées de déclarer les incidents de sécurité qui pourraient impacter leurs clients ou fournisseurs. Par conséquent, il y a très peu de communications sur le sujet et encore moins de statistiques fiables. Au USA, le rapport annuel 2008 de l’IC3 (Internet Crime Complaint Center) fait état d’une perte globale (tous incidents rapportés) de 264,6 Millions de Dollars en 2008. Le CSI (Computer Security Institute) donne quelques chiffres dans son rapport d’enquête 2008 en prévenant que seulement une petite partie des sondés ont bien voulu donner des chiffres : “the most expensive kind of incident on average was financial fraud, with an average reported cost of $463,100, followed by dealing with “bot” computers within the organization’s network, reported to cost an average of $345,600 per respondent. As a point of interest, dealing with loss of either proprietary information or loss of customer and employee confidential data averaged at approximately $241,000 and $268,000, respectively.

Pourquoi faire une évaluation financière d’un incident de sécurité ? La sécurité informatique n’est pas une finalité mais elle a un coût. Ce coût doit être comparé avec les estimations de pertes financières effectuées lors d’une analyse de risque. Les évaluations financières des incidents (avérés) de sécurité permettent de confirmer ou corriger les estimations (démarche RoSI orienté incident). De façon plus pragmatique, un RSSI doit justifier ses investissements et l’évaluation financière d’un incident peut aider à débloquer des budgets. Enfin, si le sinistre est assuré, l’évaluation financière fait parti du processus d’indemnisation.

L’évaluation doit prendre en compte les dommages “directs” sur le matériel et les données, et les dommages “indirects” sur le fonctionnement de l’entreprise. En général, ce sont les dommages “indirects” qui sont les plus importants et les plus difficiles à évaluer. Dans le cas d’un incident de sécurité logique (intrusion, infection virale, …), l’évaluation est complexe et les participants à cette conférence ne sont pas reparti avec une formule toute faite.

Ce que je retiens des débats est que l’évaluation financière doit être pragmatique et justifiée. Elle englobe 4 parties :

  • l’évaluation des coûts de reconstitution matérielle (remplacement des équipements, des infrastructures, des bâtiments, …)
    La technologie évoluant très vite selon la fameuse loi de Moore, l’évaluation doit prendre en compte la valeur de remplacement des équipements perdus, à capacité égale (CPU, Disque, …)
  • l’évaluation des coûts de restauration des données et/ou programmes
    Ces coûts dépendent fortement des moyens de sauvegarde mise en oeuvre. Dans le cas d’un incident entraînant une obligation de fournir des traces, la recherche des données peut coûter très cher si le système d’information n’est pas outillé pour le faire.
  • l’évaluation des coûts métiers (impact sur le chiffre d’affaire de l’entreprise)
    Ce sont les coûts les plus difficiles à évaluer. Les assureurs se focalisent sur l’évaluation de la perte de chiffre d’affaire. Ces pertes doivent être justifiables, basées sur les chiffres de l’entreprise et de son secteur d’activité. Dans le cas d’un incident de sécurité portant atteinte à l’image de la société, il est proposé de s’intéresser à l’évolution de la part de marché de l’entreprise pour estimer la part de la clientèle qui s’est reporté sur la concurrence.
  • l’évaluation des coûts de traitement de l’incident (main d’oeuvre supplémentaire, location, frais juridique, …)

Selon l’incident, les 4 parties de l’évaluation ne seront pas obligatoirement concernées. Par exemple, un incident virale ne nécessite pas de remplacer le contenu d’un datacenter. Autre exemple, une intrusion ayant entrainée une divulgation de données confidentielles devra être évaluée en prenant en comptes les coûts métiers et les coûts de traitement.

La même méthode peut être utilisé lors d’une phase d’estimation financière de l’occurrence des risques lors d’une analyse de risques. Dans ce cas, l’exercice est encore plus difficile car de nombreuses variables inconnues rentreront dans les équations, et certaines valeurs vont dériver dans le temps. C’est certainement pour cette raison que les normes ou guides (ISO27005 par exemple) ne donnent pas de recettes miracles, tout en préconisant de faire ces estimations.

En conclusion, l’évaluation et plus encore, l’estimation financière d’un incident de sécurité est complexe et cette complexité entraîne même certaines sociétés a ne pas faire l’exercice. Je reste cependant convaincu que l’évaluation financière est un moyen de communication auprès de sa direction pour obtenir des moyens. Mais le plus important reste la prévention des incidents de sécurité, et comme la prévention ne peut être infaillible, il faut être en mesure de détecter l’occurrence d’un incident de sécurité. Est ce toujours le cas ?

1 Star2 Stars3 Stars4 Stars5 Stars (14 votes)
Loading ... Loading ...

This entry was posted on Sunday, October 25th, 2009, 11:27 and is filed under Security. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

  1. No comments yet.
(will not be published)
  1. No trackbacks yet.

Le Groupe Devoteam | Devoteam International | Devoteam Jobs | Devoteam Consulting
| Devoteam Opérations | Devoteam Solutions | Devoteam Blog | Devoteam Finance

Devoteam Blog, specialist talk point : Welcome !

Authorize

Lost Password

Register

Please contact the administrator.