Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Evaluer l’impact financier d’un incident de sécurité : oui… mais comment ?

octobre 2009 par Emmanuelle Lamandé

Selon la dernière étude MIPS du CLUSIF*, 72% des entreprises ne procèderaient jamais à l’évaluation de l’impact financier des incidents de sécurité informatique. Une « légèreté » surprenante quand l’on sait que la majorité d’entre elles se disent dépendre de leur système d’information. Mais cette insouciance apparente cache peut-être tout simplement un manque certain de méthode de calcul de cet impact.

L’évaluation financière d’un incident de sécurité présente un réel intérêt pour les entreprises puisqu’elle permet d’évaluer le RoI possible sur les investissements sécurité et d’en justifier les dépenses, souligne Pascal Lointier, Président du CLUSIF et Conseiller Sécurité de l’Information Chartis. Toutefois, seules 13%* d’entre elles procèderaient systématiquement à cette évaluation. Cet aspect mal évalué a pourtant son pesant dans la gestion globale des risques de l’entreprise, puisqu’un incident informatique a un impact sur l’ensemble de son activité. Il ne faut pas omettre dans le calcul de l’impact l’ensemble des dommages collatéraux et indirects. L’arrêt du « réseau données voix du London Ealing Council », le 3 septembre dernier, le montre bien. Les préjudices indirects de cette suspension d’activité s’élève à plus de 500 000 GBP.

Que peuvent faire les entreprises face à ces risques ? Outre l’éventuelle résignation, elles peuvent tenter de l’atténuer à travers une politique de prévention ou de transfert du risque, en faisant appel par exemple aux compagnies d’assurance. Deux méthodes de calcul, issues du monde de l’assurance, sont communément utilisées dans l’évaluation des risques : le SMP (Sinistre Maximum Possible) et le SRE (Sinistre Raisonnablement Escomptable), explique Luc Vignancour, Directeur Adjoint FINPRO, Marsh. Le SMP s’apparente à un scénario catastrophe et représente les pertes estimées suite à un accident si rien n’est fait pour l’éviter ou le combattre. Le SRE, quant à lui, correspond aux pertes estimées suite à un accident lorsque la prévention et la protection sont effectives. Cette mesure permet, par exemple, de démontrer le rôle de la sécurité informatique dans la protection de l’activité de l’entreprise.

Cependant, cette démarche est efficace pour des sinistres de type incendie, mais s’adapte beaucoup moins bien aux atteintes logiques sur les données de l’entreprise. Dans l’évaluation d’un incident de sécurité, il existe toujours un modèle commun permettant de déterminer comment traiter les risques et suivre leurs évolutions. Traditionnellement, les risques sont exprimés en terme de disponibilité, confidentialité, intégrité et traçabilité des données. Mais évaluer les conséquences d’un sinistre sur ce modèle ne suffit pas, car chaque entreprise est un cas à part. Luc Vignancour conseille de passer à l’étape de la valorisation. Quelle valeur, par exemple, attribue-t-on à la perte de confidentialité ? La seule façon de le savoir est d’imaginer des scénarios qui s’adaptent à votre entreprise.

Aucune méthode ne permet d’évaluer l’impact financier d’un sinistre informatique logique

« Aujourd’hui, il n’existe pas de méthode pour évaluer l’impact financier d’un sinistre informatique logique. Pourtant, cela s’avère vraiment nécessaire pour permettre une prise en compte correcte des risques informatiques au niveau de la gestion globale des risques de l’entreprise » conclut-il.

Il est toujours ardu de prévoir les risques, souligne Pierre Dewez, Security, Risks & Compliance Manager Devoteam, car certains risques envisagés n’arriveront jamais et vice versa. En outre, la prise de risque peut parfois s’avérer être une opportunité pour l’entreprise.

"La probabilité et l’incidence d’un événement nécessitent une analyse qualitative ou quantitative. Disposer de données, statistiques par exemple, concernant les incidents de sécurité permet de prévoir les risques, de calculer les pertes éventuelles, mais aussi les ressources nécessaires à la sécurité informatique. Cependant, pour mener à bien cette démarche, faudrait-il encore qu’il existe un système de calcul efficace". A l’heure actuelle, les méthodes et normes ne permettent pas l’évaluation financière d’un incident de sécurité. Elles donnent aux entreprises des orientations généralistes, mais la valeur de l’information est beaucoup trop difficile à mesurer. Il n’existe aujourd’hui aucun consensus assez large pour cela.

Quelles alternatives s’offrent alors aux entreprises ? Comment s’y prennent-elles pour tenter d’approcher la juste mesure ? René Saint-Germain, Veridion, conseille aux entreprises de déterminer, dans un premier temps, le seuil d’impact qui mettrait leur survie en danger, puis d’imaginer les scénarios qui provoqueraient un tel impact. Afin d’estimer le risque, il faut au préalable faire la synthèse des impacts potentiels, confirme Jean-François Moulin, Expert d’assurances, Moulin International Loss Adjusters Consulting.

Luc Vignancour recommande, quant à lui, d’estimer une valeur de remplacement. Combien cela coûterait de remplacer le système ? Après reste à estimer le coût pour l’image et la réputation de l’entreprise... une autre paire de manches ! Néanmoins, l’assureur va regarder dans un premier temps si l’entreprise est consciente de ses risques et si elle s’inscrit dans une démarche d’analyse et de gestion du risque. Hélène Courtecuisse, Consultante Lisis Conseil, conseille de chiffrer le report du Chiffre d’Affaires de l’entreprise vers la concurrence. Enfin, France Telecom a choisi de s’inscrire dans une démarche d’optimisation économique. « Nous nous battons pour qu’il y ait une vraie gestion des événements de sécurité. Nos efforts minimisent les événements de sécurité et réduisent leurs impacts. Il s’agit d’agir sur les événements avant qu’il y ait incident » conclut Elizabeth Rizet, Directeur Délégué Evaluation de la Sécurité France Telecom.


* Etude du CLUSIF, Menaces Informatiques et Pratiques de Sécurité en France, parue en juin 2008


Voir les articles précédents

    

Voir les articles suivants