Cyberattaques : la quantification financière du risque cyber pour modéliser les pertes en fonction de la menace
Si les cyberattaques ont parfois une visée politique, étatique ou d’espionnage, pour 46% d’entre elles, les motivations sont purement financières. Selon une étude mondiale d’IBM Security sur les violations de données, le coût moyen d’une cyberattaque était de 4,35 millions de dollars en 2022.
Par cyberattaque, nous ferons ici référence à la définition de l’ANSSI : « Ensemble d’actions menées dans le cyberespace consistant à infiltrer, clandestinement ou sous de faux prétextes, les systèmes informatiques d’une organisation ou d’un individu, et à s’emparer de données pour les exploiter. »
Si l’on dit qu’une “attaque coûte cher”, il n’en est pas moins que les organisations doivent pouvoir modéliser ces pertes financières dont l’ampleur dépendra d’un certain nombre de facteurs internes et externes – type d’attaque (méthode et motivation), posture défensive de l’organisation, périmètres impactés, etc. :
- À quel(s) type(s) de pertes (directes et indirectes) s’expose une organisation en cas d’attaque ?
- Quels types de menaces peuvent cibler les organisations publiques et privées et quelles en sont leurs conséquences ?
- Comment quantifier ces pertes, les modéliser pour agir sur le risque ?
- Quel est le rôle de la Quantification du Risque Cyber dans la modélisation de ces pertes ?
Des pertes à brève échéance
En premier lieu, l’interruption ou le ralentissement de l’activité lié à l’attaque constitue une perte financière évidente pour la plupart des entreprises. En effet, si les systèmes d’information sont mis à l’arrêt, l’entité n’est plus en mesure de produire et/ou de vendre, ce qui entraine un manque à gagner plus ou moins important selon la durée, la période d’activité et l’ampleur de l’incident sur le SI.
Ensuite, elle peut être concernée par des coûts techniques. Par exemple, il sera nécessaire de mettre en place une enquête afin de comprendre le déroulement de la cyberattaque et ses dégâts sur le système d’information. Ensuite, il sera nécessaire d’entrer dans une démarche de mise en conformité réglementaire. En effet, à partir de 2025, la réglementation en termes de cybersécurité se renforce en Europe, avec de nouvelles exigences que de nombreuses entreprises et organisations devront adopter. Pour en savoir plus à ce sujet, nous vous invitons à lire notre article sur DORA et NIS2. En cas de dépôt de plainte, des frais de justice peuvent s’ajouter à la liste des coûts générés par l’incident.
La cyberattaque impacte également l’image de l’organisation et beaucoup d’organisations et d’entreprises ne souhaitent pas communiquer à ce sujet. Pourtant, il est parfois nécessaire de gérer l’incident sous l’angle de la communication de crise et d’informer ses clients et parties prenantes que l’on a été touché, car en cas de compromission de données, leurs données personnelles ont pu être exfiltrées. La réputation de l’entreprise ou de l’organisation ayant pu être entachée, un investissement peut être nécessaire en matière de relations publiques et en communication afin de restaurer son image.
La cyberattaque peut être perçue comme le symptôme d’un manque de sécurité. Aussi, des investissements liés au renforcement de la politique de cybersécurité pourraient être engagés très rapidement après la survenue de l’incident afin de rassurer les parties prenantes…
Des dommages sur le long terme
La cyberattaque entraîne aussi des dommages moins visibles. En effet, celle-ci peut être à l’origine d’une perte de confiance de la part des clients de l’entreprise mais aussi venir des collaborateurs eux-mêmes, qui peuvent pâtir directement des conséquences de l’incident. En conséquence l’organisation peut rencontrer des difficultés à embaucher, ce qui peut être important pour certains secteurs stratégiques où les candidats sont peu nombreux. On constate également une dévalorisation des partenariats commerciaux, et un ralentissement de l’activité commerciale.
D’un point de vue financier, la cyberattaque entraîne une perte de valeur de la marque commerciale. Si l’entreprise est cotée en bourse, la valeur de ses actions peuvent subir une dévaluation plus ou moins importante, altérant la confiance des investisseurs. On peut également constater une augmentation de la police de cyber assurance souscrite par l’entreprise victime. En fonction des conséquences financières de l’incident, la cyberattaque peut aussi être à l’origine de l’augmentation de la dette bancaire de l’entreprise ou de l’organisation.
Une pluralité de menaces cyber et de conséquences
Il n’existe pas un modèle unique de cyberattaque. La menace cyber est imprévisible, ce qui constitue sa complexité.
Les rançongiciels constituent l’une des menaces la plus courante, pour la plupart des secteurs économiques. Motivée par l’appât du gain, cette prise d’otage virtuelle du système d’information est la menace dont on parle le plus dans les médias. Cette médiatisation rend l’opinion publique plus clémente, malgré les effets générés par l’attaque. Cette situation rend les effets indirects moins néfastes pour l’organisation, notamment en ce qui concerne la restauration de l’image de l’entité.
Les atteintes à la disponibilité (DDoS) sont les attaques les plus dommageables financièrement. Le ralentissement ou l’arrêt de l’activité est difficile à gérer et à amortir, que ce soit pour les entreprises ou les organisations publiques. Il est d’autant plus dommageable lorsqu’il intervient sur des périodes d’activité cruciales pour le secteur économique (fêtes de fin d’année, grands évènements sportifs ou politiques…). Le ralentissement ou l’arrêt complet de l’activité est l’une des menaces que redoutent le plus les organisations, en raison de l’importance des pertes qui peuvent être générées par cette situation. Dans certains cas, l’atteinte à la disponibilité peut être couplée avec d’autres menaces, telles que le rançongiciel, par exemple.
La fuite de données constitue l’attaque avec le plus d’effets indirects. En effet, l’incident a un poids sur l’image de l’organisation et a des effets négatifs sur le long terme. En effet, les personnes dont les données personnelles ont été subtilisées – clients, collaborateurs, utilisateurs – sont inquiets et ont tendance à reprocher à l’organisation son manque de cybersécurité. Ces données peuvent être utilisées à plusieurs fins selon le contexte : revente, mise en difficulté de l’entreprise… En dehors des données personnelles, ce peut aussi être des données liées à la R&D de l’entreprise ou à sa propriété intellectuelle. Cela peut être un obstacle à son développement et à son innovation, nuisant à sa compétitivité, parfois sur un laps de temps assez long.
Enfin, le cyberespionnage reste encore aujourd’hui l’apanage des acteurs étatiques. Il est souvent difficile à détecter et difficile à prouver, mais génère un grand nombre d’effets indésirables. Il nuit à la compétitivité d’entreprises stratégiques, mais peut aussi mettre à mal certaines actions gouvernementales dans des domaines variées dans le cadre où le système d’information d’une organisation publique aurait été compromis.
Pourquoi quantifier son risque cyber pour modéliser ses pertes ?
La quantification du risque cyber (CRQ) est une méthode qui permet de visualiser l’impact financier des pertes engendrées selon des scénarios d’attaque. Grâce à des indicateurs financiers, il est alors possible de mettre en place une stratégie de cybersécurité efficiente.
Citalid, propose une plateforme qui combine des modèles de calculs reposant sur la méthode FAIR (Factor Analysis of Information Risk) et intégrant des données de Cyber Threat Intelligence pour permettre aux organisations de comprendre et de hiérarchiser les risques grâce au calcul de leur impact financier. L’approche de Citalid consiste à utiliser des distributions de probabilités, ce qui permet à la fin du calcul d’obtenir un « mode » (c’est-à-dire la valeur la plus probable d’une perte). Ainsi, il est possible de fournir une analyse quantitative de l’organisation, avec une fourchette de valeur précise pour estimer les pertes potentielles rencontrées.
Plusieurs modèles de calcul sont utilisés par la plateforme Citalid :
- Calcul de fréquence – on calcule la fréquence de ciblage (l’organisation est visée mais l’attaque ne réussit pas forcément) et la fréquence des attaques réussies.
- Calcul de la vulnérabilité – grâce au rapport entre le type d’acteurs de la cybermenace susceptible de cibler l’organisation et la maturité défensive de cette dernière, on arrive à estimer le pourcentage de fois où l’attaquant est susceptible de tenter une attaque réussie.
- Calcul de la perte financière – ce modèle permet d’obtenir le montant des pertes financières au moment où a lieu la cyberattaque, ce qui est utile pour estimer l’exposition financière au risque cyber.
Pour obtenir des indicateurs fiables, le calcul se fait grâce aux modèles précédemment cités, complété par des informations sur l’organisation analysée, concernant sa résilience, la criticité de l’activité ou sa typologie de cible commerciale. On réalise alors plusieurs “tirages” pour calculer les pertes, afin d’établir une fourchette des coûts. Cela permet d’obtenir des données personnalisées et contextualisée et ainsi aider à une prise de décision en confiance.
Ces calculs sont ensuite effectués sur chacun des types de menaces les plus susceptibles d’être rencontrés par l’organisation
- Rançongiciel (sans double extorsion) ;
- Fuite de données ;
- Espionnage ;
- Fraude bancaire ;
- DDoS ;
- Sabotage ;
- Ransomworm.
Les types de pertes prises en compte par les modèles utilisés par Citalid dépendent du scénario d’attaque, mais en voici quelques exemples :
- Interruption de la productivité ;
- Taux de résiliation (churn rate) ;
- Coût de l’équipe d’investigation ;
- Coût de l’action corrective ;
- Taxe de notification légale ;
- Coûts liés à la communication de crise ;
- Compensations légales ;
- Restauration de l’image de marque…
La plateforme Citalid permet d’estimer quantitativement les pertes potentielles que peut subir d’une organisation en cas de cyberattaque. Quantifier ces pertes et les traduire dans un langage financier a permet d’intégrer toutes les parties prenantes d’une organisation dans les décisions traitant de cybersécurité et d’être en mesure de négocier la police d’assurance auprès de l’assureur, en démontrant quelles sont les menaces les plus susceptibles de vous cibler.