Secu
Cybersécurité : L’impact du taux de détection sur le risque organisationnel
Par Laurent Delattre, publié le 09 novembre 2023
L’essor du travail à distance a élargi le champ de bataille contre les cybermenaces. Face à une surface d’attaque en croissance, les entreprises se doivent de prévoir l’imprévisible et de se prémunir contre des perturbations coûteuses. Dans ce contexte, le taux de détection devient un critère de performance incontournable pour les solutions de cybersécurité. Comment ce taux influence-t-il la protection contre les cyberattaques et quelles répercussions financières peut-il avoir pour les entreprises?
Par Adrien Merveille, Directeur Technique chez Check Point Software Technologies
Selon Gartner, l’année 2022 a été marquée par « l’augmentation de la surface d’attaque », une tendance de fonds qui n’a pas faibli depuis. Les entreprises étendent leur empreinte numérique pour adopter de nouvelles technologies, migrer vers le cloud ou simplifier les modèles de travail. En 2023 par exemple, près de 55 % de la population française serait en télétravail au moins une journée par semaine. Or, dans un monde aussi connecté, les entreprises s’exposent à un environnement de cybermenaces croissant, la moindre avancée technologique apportant son lot de risques.
Pour capitaliser sur l’innovation d’une manière financièrement viable, ces risques doivent être anticipés. Mais les menaces informatiques évoluent selon des variables souvent complexes à évaluer. L’efficacité des solutions de cybersécurité disponibles pour y faire face est donc elle-aussi difficile à mesurer. Pour y aider, le « taux de détection » des solutions de sécurité est l’un des indicateurs clés apparus ces dernières années. Mais que signifie exactement ce taux et comment se traduit-il dans le paysage financier plus large d’une entreprise ?
Démystifier les taux de détection
Le taux de détection d’une solution de sécurité permet de mesurer de manière quantifiable sa capacité à détecter et à traiter diverses cyberattaques. Ces taux sont généralement attribués par des laboratoires d’essai indépendants qui évaluent de manière impartiale les performances d’une solution. Si une solution de sécurité affiche 95 % de taux de détection, c’est qu’elle a détecté et potentiellement neutralisé 95 % des cybermenaces pendant sa phase de test. Pour autant, cela signifie aussi qu’il subsiste un risque résiduel de 5 % que les entreprises ne doivent pas négliger.
Cette « exposition » de 5 % semble faible à première vue, mais les impacts financiers peuvent s’avérer considérables. En consolidant des données issues de diverses sources de référence, telles celle sur le coût des violations de données d’IBM en 2023, le coût du risque résiduel devient plus clair.
Mesurer l’exposition au risque
Prenons l’exemple du phishing. De nombreux analystes s’accordent pour dire que 90% des violations de données réussies commencent par une attaque par spear phishing, c’est à dire une campagne ciblée où l’attaquant personnalise un message trompeur en usurpant l’identité d’une personne ou d’une entreprise, et utilise des détails personnels ou de contexte pour rendre l’attaque plus convaincante. Contrairement au phishing qui ratisse large pour piéger des victimes lambda, le spear phishing s’adresse directement à une cible choisie avec un leurre personnalisé.
Prenons maintenant le cas d’une entreprise confrontée à 1 258 tentatives de phishing chaque semaine. Dans l’hypothèse d’une fréquence d’attaque avérée de 16 %, cela représente 201 brèches potentielles. Selon IBM, le coût moyen d’une attaque réussie atteint $4,76 millions. En considérant que le taux de clic probable s’élève à 18 % pour les employés formés et à 35 % pour ceux qui ne le sont pas, les conséquences financières du risque dit résiduel sont considérables.
Il est possible de calculer le coût probable du risque résiduel en utilisant les formules suivantes :
>> Coût du risque client par violation : Coût moyen par violation * Risque résiduel
>> Nombre d’événements de phishing par semaine : (Attaques par semaine * Fréquence des attaques) * Risque résiduel
>> Probabilité qu’un employé formé clique sur un événement de phishing : Nombre d’événements de phishing * Probabilité de clic (selon niveau de sensibilisation)
>> Coût du risque résiduel par semaine : Coût du risque client par violation * Probabilité qu’un employé clique sur un lien
Si l’on applique ces calculs au scénario décrit précédemment, on constate une différence frappante de « coût hebdomadaire du risque résiduel » selon que le taux de détection est de 5 % ou 10 % : 431 000 $ contre 1,72 million de $, soit un surcoût de 1,3 million de $ en termes de risque pour 5 % supplémentaires.
À LIRE AUSSI :
L’importance des taux de détection
Vu les enjeux financiers liés au « risque », les entreprises ont tout intérêt à considérer les taux de détection lors de la sélection de solutions ou de partenaires de cybersécurité. Comme dans toute décision d’investissement financier, elles doivent mesurer leur exposition au marché, autrement dit, déterminer la probabilité d’échec de leurs solutions de cybersécurité, les coûts induits et si ces coûts peuvent être maîtrisés.
Le hic c’est que le rôle clé des taux de détection est encore trop souvent ignoré et qu’il n’existe actuellement aucune réglementation contraignant les fournisseurs à être transparents sur les taux de détection de leurs solutions. A contrario, les entreprises ont toujours la possibilité de poser la question et d’écouter attentivement la réponse.
Au-delà des taux de détection
Bien que le taux de détection soit un indicateur clé de l’efficacité d’une solution de cybersécurité, la gestion des risques liés à la cybersécurité est une initiative complexe et multidimensionnelle. Elle requiert une communication étroite entre les différentes parties prenantes (collaborateurs, partenaires, banques, assurance, gouvernements).
Parmi les autres mesures conseillées pour consolider leur cyberdéfense, citons l’adoption d’une architecture Zero Trust, le recours à des fournisseurs de services de sécurité gérés (Managed Security Service Providers) ou encore la formation. Les employés peuvent constituer une formidable première ligne de défense et reconnaître un mail de phishing s’ils sont bien sensibilisés.
La cybersécurité peut être comparée à un jeu d’échecs, dans lequel le taux de détection est une variable certes, mais n’est qu’une pièce sur l’échiquier. Une véritable stratégie globale de gestion des risques cybernétiques s’impose, les entreprises pouvant non seulement protéger leurs actifs numériques, mais aussi assurer leur stabilité financière face à des cybermenaces qui ne cessent d’évoluer.
À LIRE AUSSI :