Cybersécurité – Quel est le coût de la compromission des données en pratique ?
Pas un jour ne passe sans que la presse relate une nouvelle cyberattaque perpétrée contre une entreprise, les difficultés induites par ces extorsions avec parfois des chiffres astronomiques en lien avec la violation des données. Les datacenters sont en permanence victimes d’attaques malveillantes. La plupart sont repoussées avec succès mais d’autres passent entre les filets, souvent à la suite d’une erreur humaine.
Mais comment peut-on évaluer, d’un point de vue financier, les conséquences à court et moyen terme de la violation de ces données ?
Notre spécialiste, Luc Porchon, Chief Information Security Officer (CISO) chez Globaz SA répond à nos questions et nous donne un exemple concret du risque financier pour une PME.
Pour une PME est-il suffisant dans son analyse des risques de prendre uniquement en considération les alertes générales lancées par les spécialistes ?
Les spécialistes en cybersécurité vont vous rendre attentif au fait que votre entreprise court un risque « important » de se faire attaquer par un « ransomware », car la probabilité est « haute » et l’impact « sévère ».
Mais connaissez-vous la valeur de l’investissement que vous devez faire pour que l’impact d’une attaque soit réduit à un niveau acceptable ? Et quel est l’impact de cette possible attaque sur votre chiffre d’affaires ?
Il est primordial pour une PME de se poser ces questions et de pouvoir y répondre afin de mesurer le risque de façon réelle.
Comment pouvez-vous évaluer financièrement ce risque ? Quels sont les coûts dont il faut tenir compte ?
Dans leur étude annuelle « Cost of Data Breach »1, IBM et le Ponemon Institute intègrent les dépenses directes, indirectes et les pertes d’opportunités encourues par les entreprises.
Les coûts directs sont les dépenses liées au traitement d'une violation détectée. Cela comprend les coûts des activités judiciaires, des enquêtes sur l’incident, les pénalités et l'indemnisation des parties concernées.
Les coûts indirects sont liés au temps, aux efforts et aux autres ressources nécessaires pour couvrir les pertes résultant de la violation de données. Ils comprennent notamment les dépenses liées aux communications sur l'état et les effets de la violation, les informations d'identification ainsi que la perte de revenus due aux temps d'arrêt du système.
Les pertes d’opportunités représentent les pertes de clients potentiels, un manque à gagner en raison d’une perte de réputation ou une perte d’avantage concurrentiel sur le marché.
Le coût total de ces dépenses est ensuite réparti par type de données et divisé par le volume de données compromises.
Voici l’estimation du coût de compromission unitaire:
- Information personnelle = CHF 160
- Autre donnée de l’entreprise = CHF 148
- Propriété intellectuelle = CHF 138
- Données anonymisées des clients = CHF 122.
Pouvez-vous nous donner un exemple concret très simple ?
Prenons l’exemple d’une PME de 28 employés. Cette société réalise un chiffre d’affaires d’un million de francs suisses. L'entreprise est composée d’un conseiller ou conseillère par canton et l’ensemble des données de ses 10 400 clients suisses sont stockées dans une application métier. Chaque conseiller n’a accès qu’aux données des clients du canton dont il ou elle a la responsabilité.
Le consultant cyber estime que le facteur humain est à l’origine de 74%2 des attaques cyber, que le risque de fuite de données suite à la perte ou le vol d’informations de connexion est critique, son impact important et sa probabilité haute.
La PME est-elle financièrement suffisamment munie pour faire face à ce risque ? Veuillez noter que l’exemple n’a pour but que de vous fournir une estimation.
La valeur de l’information personnelle est de 160 CHF fois 10 400 clients, soit un total de CHF 1’664’000. La probabilité que plus d’un conseiller se fasse subtiliser son login et mot de passe au même moment est nulle mais l’événement peut se reproduire sur une durée de 3 ans si la PME ne se protège pas.
Le facteur d’exposition au risque est égal à un conseiller sur les 26 soit 3,8%. La perte unitaire attendue, soit le coût d’une attaque est égal à 3,8% fois 1’664'000, donc CHF 64’000 (par souci de simplicité, nous supposons que la PME a le même nombre de clients dans chaque canton).
Doit-elle provisionner cette somme ? Pas nécessairement. En effet, ce n’est qu’un scénario auquel il faudra peut-être ajouter les coûts d’autres scénarii. La somme totale aura un impact négatif sur la valeur de l’entreprise.
Si nous supposons que cet événement ne se produira qu’une fois tous les 3 ans, le taux annuel d’occurrence est donc de 33%.
Nous obtenons, pour l’exercice budgétaire de 2024 des pertes attendues de CHF 64’000 CHF x 33%, soit de CHF 21’120.
Selon cette première estimation, le risque est égal à 2% du chiffre d’affaires de la PME.
Quelle est la valeur ajoutée pour une PME de connaître l’impact chiffré approximatif d’une potentielle attaque malveillante ?
L’estimation chiffrée des risques liés à la cybersécurité permet de mieux décider de sa stratégie financière : accepter le risque et le provisionner ou pas et/ou le couvrir via un contrat d’assurance. L’estimation chiffrée du risque permet aussi de mieux négocier le cas échéant avec les assureurs.
L’introduction de la nouvelle loi sur la protection des données va probablement renchérir l’estimation des risques. A suivre !
Nous remercions vivement Luc Porchon pour cet exemple qui, nous l’espérons, apportera un éclairage complémentaire à vos réflexions.
Luc Porchon
CISO chez Globaz depuis avril 2022
Après un BTS en Informatique industrielle en 1989, Luc Porchon évolue pendant une dizaine d'années dans les télécommunications. Il poursuit ensuite sa carrière dans le domaine bancaire pour devenir, en 2008, expert sécurité dans le domaine monétique.
En 2011, il obtient le brevet "Certified Information System Security Professional", une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d'information et exerce pendant plus de 6 ans le poste de responsable sécurité des systèmes d'information pour un grand groupe français. Il enchaine ensuite avec le poste de responsable de la protection des données et comme consultant senior en cybersécurité.
1. Cost of a Data Breach Report 2023