RoSI (Return on Security Investment): Mesurer la valeur de son programme de cybersécurité
Justifier le budget cyber de son organisation est loin d’être une tâche aisée. En témoigne l’étude menée par Wavestone selon laquelle la cyber ne représenterait encore que 6,6% du budget total de l’IT des organisations. Et si mesurer le RoSI de son programme de cyber sécurité était la solution pour défendre rationnellement ses futurs budgets /dépenses en cybersécurité ?
Le retour sur investissement désigne un ratio financier mesurant le montant d’argent gagné ou perdu, par rapport à la somme initialement investie dans un investissement donné. On rencontre souvent cette notion sous l’acronyme “ROI” (“Return on Investment”).
Le concept de RoSI (“Return on Security Investment”) s’inspire de cette notion de ROI, tout en introduisant l’idée selon laquelle la sécurité ne génère pas directement de valeur mais permet de protéger les actifs.
Comment définir le RoSI ? Comment la quantification du risque cyber, aussi appelée CRQ, peut-elle s’avérer être une aide pertinente dans cette démarche ? Cet article se propose de lever le voile sur ces deux questions pour vous permettre de prendre des décisions éclairées concernant votre stratégie de cybersécurité.
Comment calculer son RoSI ?
Le RoSI (Return on Security Investment) est une métrique cruciale pour évaluer l’efficacité des investissements en cybersécurité. Calculer le RoSI permet aux organisations de déterminer si les dépenses effectuées pour protéger leurs actifs numériques génèrent un retour sur investissement positif. La formule générale pour calculer le RoSI est :
RoSI = (Réduction des pertes potentielles – Coût de la mesure de sécurité) / Coût de la mesure de sécurité.
Cette approche aide les décideurs à justifier les investissements en sécurité informatique en quantifiant les bénéfices financiers par rapport aux coûts engagés.
Pour commencer, il est essentiel d’estimer la réduction des pertes potentielles grâce à la mise en place de mesures de sécurité. Cette estimation repose sur l’analyse des risques, qui identifie les menaces potentielles, leur probabilité d’occurrence, et l’impact financier des incidents de sécurité. Par exemple, si une entreprise estime que sans une certaine mesure de sécurité, elle pourrait subir des pertes annuelles de 500 000 €, et que cette mesure réduit le risque de moitié, la réduction des pertes potentielles serait de 250 000 €. Cette étape nécessite une collaboration étroite avec les équipes de gestion des risques et d’audit interne pour obtenir des estimations précises et réalistes.
Le coût de la mesure de sécurité comprend tous les frais associés à son implémentation et à son maintien. Cela inclut les coûts directs, tels que les dépenses pour les logiciels et les matériels, ainsi que les coûts indirects, comme le temps de travail des employés, les formations, et les coûts opérationnels. Par exemple, si l’entreprise dépense 100 000 € pour implémenter un nouveau système de détection d’intrusion, ce montant doit être utilisé dans le calcul du RoSI. Il est important de prendre en compte l’ensemble des coûts sur la durée de vie de la mesure de sécurité pour obtenir une vision complète de l’investissement.
Enfin, en appliquant la formule du RoSI, l’organisation peut évaluer la rentabilité de ses investissements en cybersécurité. Si le calcul donne un résultat positif, cela signifie que la mesure de sécurité est rentable, car elle permet de réduire les pertes potentielles plus que le coût de son implémentation. Par exemple, si la réduction des pertes potentielles est de 250 000 € et que le coût de la mesure de sécurité est de 100 000 €, le RoSI serait de 1,5, indiquant un retour sur investissement de 150 %. Cette métrique aide les entreprises à prioriser les initiatives de sécurité les plus efficaces et à justifier les budgets alloués à la cybersécurité auprès des parties prenantes.
Un cadre pour mettre en place le RoSI au sein de l’entreprise
Lawrence A. Gordon et Martin P. Loeb, deux professeurs respectivement spécialistes des systèmes d’information comptable et des systèmes d’information, ont proposé un modèle d’analyse économique pour les investissements en sécurité de l’information. Leur modèle, connu sous le nom de « Gordon-Loeb Model« , a été publié dans plusieurs articles académiques, notamment dans le Journal of Information Security.
Le modèle Gordon-Loeb propose un cadre permettant de déterminer le montant optimal à investir dans la cybersécurité en fonction de la vulnérabilité des informations et de la probabilité de survenue des incidents de sécurité. Ce modèle suggère que les entreprises devraient investir jusqu’à un certain pourcentage de la valeur attendue des pertes potentielles dues à une cyberattaque pour maximiser leur retour sur investissement en sécurité. Il met également en évidence que l’investissement en sécurité ne devrait pas dépasser environ 37 % de la perte attendue, indépendamment de la vulnérabilité de l’information.
L’intégration des travaux de Gordon et Loeb avec d’autres frameworks et standards de l’industrie, comme le NIST Cybersecurity Framework, permet aux entreprises de développer des stratégies de cybersécurité robustes et économiquement viables. Cela assure non seulement la protection de leurs actifs informationnels, mais aussi l’optimisation de leurs ressources financières dans un contexte de cybermenaces croissantes.
Affiner le RoSI grâce à la quantification du risque cyber
La quantification du risque cyber joue un rôle essentiel dans l’affinement du calcul du RoSI (Return on Security Investment), car elle permet d’obtenir une estimation précise des pertes potentielles liées aux incidents de sécurité. En évaluant les risques cyber de manière quantitative, les entreprises peuvent identifier les menaces les plus probables et les plus coûteuses. Cette approche repose sur des données concrètes, telles que les fréquences historiques des incidents, les types d’attaques les plus courants, et les coûts associés aux violations de données. En disposant de ces informations, les décideurs peuvent mieux apprécier l’ampleur des risques auxquels ils sont confrontés et ajuster leurs investissements en cybersécurité en conséquence.
L’une des principales méthodes de quantification du risque cyber est l’analyse probabiliste, qui aide à estimer la probabilité et l’impact financier potentiel des différents types d’incidents de sécurité. En appliquant des techniques comme la modélisation des pertes et les simulations Monte Carlo, les entreprises peuvent obtenir une distribution de probabilité des pertes potentielles. Cela permet de déterminer des valeurs attendues et des scénarios extrêmes, offrant ainsi une vue plus granulaire des risques. Ces données précises sont essentielles pour calculer le RoSI, car elles fournissent une base solide pour estimer la réduction des pertes potentielles grâce aux mesures de sécurité mises en place.
En intégrant la quantification du risque cyber dans le calcul du RoSI, les entreprises peuvent également hiérarchiser leurs investissements en fonction des risques les plus critiques. Par exemple, si l’analyse révèle que les attaques par ransomware représentent une menace majeure avec des pertes potentielles élevées, les ressources peuvent être allouées en priorité pour renforcer les défenses contre ce type d’attaque. Cela permet non seulement de maximiser le retour sur investissement en ciblant les mesures de sécurité les plus efficaces, mais aussi de renforcer globalement la posture de sécurité de l’organisation.
La quantification du risque cyber permet également de mesurer l’efficacité des contrôles de sécurité existants. En évaluant régulièrement les risques et en comparant les résultats avant et après la mise en œuvre des mesures de sécurité, les entreprises peuvent déterminer l’impact réel de ces contrôles sur la réduction des risques. Ces informations sont incontournables pour ajuster et optimiser les stratégies de sécurité en cours, assurant ainsi que les ressources sont utilisées de manière efficiente. Cela contribue directement à un calcul plus précis et dynamique du ROSI, en reflétant l’évolution des menaces et des mesures de sécurité.
De plus, la quantification du risque cyber facilite la communication avec les parties prenantes internes et externes. Les données quantitatives et les analyses basées sur des modèles permettent de présenter des arguments convaincants et fondés sur des faits pour justifier les investissements en cybersécurité. Les responsables financiers et les membres du conseil d’administration, qui peuvent ne pas être familiers avec les aspects techniques de la cybersécurité, sont plus susceptibles de comprendre et de soutenir les initiatives de sécurité lorsqu’elles sont présentées sous forme de risques financiers et de retours sur investissement potentiels.
Enfin, en utilisant la quantification du risque cyber pour affiner le calcul du RoSI, les entreprises peuvent adopter une approche proactive plutôt que réactive en matière de cybersécurité. Plutôt que de réagir aux incidents après qu’ils se sont produits, les organisations peuvent anticiper les menaces et prendre des mesures préventives pour atténuer les risques les plus significatifs. Cette approche proactive non seulement améliore la sécurité globale, mais elle optimise également l’utilisation des ressources financières, en veillant à ce que chaque euro investi en cybersécurité contribue efficacement à la protection des actifs informationnels et à la continuité des opérations.
Et si vous essayiez la CRQ ? Découvrez tout ce que l’utilisation de Citalid peut apporter à votre entreprise en rejoignant la prochaine session de live demo. Inscrivez-vous ici !
