Comment calculer son retour sur investissement sécurité ?

retour sur investissement sécurité Le vrai budget de la cybercriminalité

D’après Ponemon Institute, une attaque informatique significative ferait perdre à une entreprise 5,4% de ses clients en moyenne. Ce genre d’attaque a 22% de chance de se produire dans les 24 prochains mois.
Cette statistique appliquée à une société ayant un chiffre d’affaires annuel de 10 millions d’euros montre que la cybercriminalité lui coûte 540 000 x 0,22 x 12/24 = 59 400 € /an.
Ce montant ne prend pas en compte les dépenses nécessaires aux réparations des dégâts occasionnés par la cyber-attaque.
On peut observer que ces coûts vont impacter directement l’activité de l’entreprise, en mobilisant des ressources financières supplémentaires. Il s’agit ici d’une charge établie si on ne fait rien pour l’éviter. Dans ce cas, comment investir dans la sécurité à moindre coût pour s’en exonérer ?

 

Pourquoi la prévention est votre meilleure alliée ?

Il y a 2 approches complémentaires pour sécuriser son SI :

  • Détection d’intrusion (IPS, analyse de log et SIEM)

Les solutions d’analyse d’événements et d’activités réseau doivent permettent de détecter les intrusions et les comportements suspects. Cependant, le Gartner estimait en 2015 que 92% des entreprises ne décelaient pas une attaque quand elle se produisait. La raison est que la détection des intrusions commence par l’analyse des logs d’exploitation mais seule une taille critique va permettre d’identifier des éléments anormaux pouvant être des indices d’attaques. De plus, elle est permise par une expertise et des ressources qualifiées ayant la capacité d’interpréter ces éléments anormaux dont les sociétés ne disposent pas toujours. Enfin, elle est facilitée par une collaboration avec des SOC (Security Operations Center) matures ayant déjà répertorié ces éléments anormaux (marqueurs).

  • Prévention (audit, analyse de vulnérabilités, sensibilisation utilisateurs)

L’autre solution envisagée est d’empêcher les attaques avant même qu’elles ne se produisent. Toujours d’après le Gartner, la proportion des attaques exploitant une vulnérabilité connue à un moment donné, atteindra bientôt 80%. En effet, les attaques sont de plus en plus complexes et multiformes. Corriger ses failles au fur-et-à-mesure qu’elles sont révélées permet de diminuer fortement le risque d’attaque.

La seconde source de cyberattaque se révèlent être le facteur humain, il est donc primordial de sensibiliser les utilisateurs du SI aux attaques de type « social engineering ». Cela pourra leur éviter de compromettre leur propre système par des emails abusifs ou en suivant les instructions d’un correspondant se faisant passer pour le service informatique.

Si en termes de sécurité, rien n’a été fait, l’approche prévention semble la plus judicieuse. En effet, la détection d’intrusion entraîne des coûts cachés importants : une fois les attaques détectées, l’équipe sécurité va devoir apporter les contre mesures nécessaires. La charge de travail sera conséquente et une réflexion devra être apportée pour construire un plan d’action traitant les priorités.
Pour diminuer le nombre d’alertes liées aux attaques et donc l’efficacité de l’équipe opérationnelle, la prévention permet de réduire la surface d’attaque et d’alléger la pression sur les équipes par rapport aux attaques simples et récurrentes qui exploitent des failles connues.

On observe que la hantise d’un RSSI est de se retrouver surchargé de travail après avoir fait un audit de sécurité ponctuel, une ou deux fois dans l’année. Il ne sait pas par où commencer et doit inclure cette masse de travail à son planning. De plus, il devra construire un tableau de bord pour présenter à sa direction les actions correctives.

Afin de diminuer cette charge de travail, une solution de gestion des vulnérabilités en continu est de loin la plus efficace.

L’automatisation des analyses de vulnérabilités est indispensable pour soutenir le RSSI et ses équipes techniques. La présence d’indicateurs de risque directement dans la solution choisie est un pas de plus pour industrialiser le processus de reporting et s’assurer le respect du plan d’actions établi.

SecludIT propose un scanner de vulnérabilité nouvelle génération, qui est exploitable par les personnes en charge du système d’information sans que ces derniers n’aient nécessairement de connaissances poussées en matière de sécurité. La solution produit, de façon automatique et régulière, des actions à mener en vue de sécuriser le SI. C’est ce qu’on appelle la remédiation. Il est important de noter que cette dernière est à la portée du service informatique en place mais SecludIT peut vous accompagner afin de mobiliser vos ressources sur votre coeur de métier.

Contrairement aux idées reçues, la remédiation n’est pas une nouvelle charge. Elle mobilise ponctuellement votre équipe informatique sur votre SI et devra être menée en continue afin d’éviter une cyberattaque qui, elle, entraînera un coût important (et non prévu dans votre budget).
Enfin, il est important de souligner que ce logiciel permet l’agrégation des résultats des vulnérabilités et des détections d’attaques au sein d’un SOC afin de supprimer les coûts cachés et de faciliter le processus de traitement des failles.

 

Retour sur investissement sécurité

Etudions ce que coûterait l’implémentation d’un scanner de vulnérabilité tel qu’Elastic Detector pour une société générant 10 millions de chiffre d’affaires par an et ayant 20 serveurs :

  • La première année
    – Abonnement pour 20 machines comprenant la maintenance, les mises à niveau et le support : 20 x 102 = 2 040,00 €
    – Afin de structurer votre plan d’action, SecludIT vous accompagne avec sa proposition de Services Managés les 6 premiers mois : 20 x 240 = 4 800,00 €
    – Nous assurons la remédiation : 2 jours par mois les 6 premiers mois puis 1 jour par mois le reste de l’année soit 18 jours = 18 000,00 €
    – 2 jours de formation par an pour les utilisateurs (sensibilisation à l’ingénierie sociale) = 2 000,00 €
    – Coût total de la première année : 26 840,00 €

 

  • Années suivantes
    – Abonnement pour 20 machines comprenant la maintenance, les mises à niveau et le support : 20 x 84 = 2 040,00 € /an
    – 12 jours de remédiation = 12 000,00 € /an
    – 2 jours de formation par an pour les utilisateurs (sensibilisation à l’ingénierie sociale) = 2 000,00 € /an
    – Coût des années suivantes = 16 040,00 € /an

 

A partir de la seconde année, le retour sur investissement sécurité est de 59 400,00 € – 16 040,00 € = 43 360,00 € /an.

Retour sur investissement sécurité

 

Vérifiez par vous-même

Afin d’assurer votre sécurité, il est impératif de connaître votre niveau de risque en temps réel. En effet, la pérennité de votre société impose une surveillance continue ainsi que des investissements efficaces.

Le recours à un outil de détection d’intrusion se révèle être un investissement lourd pour les équipes sécurité. Etant donné que 18 nouvelles vulnérabilités en moyenne sont détectées chaque jour, cet outil ne pourra pas empêcher l’exploitation de ces nouvelles failles qui sont la premiere porte d’entrée pour les attaquants (utilisées dans 53% des cas selon Forrester).
Afin de répondre à vos problématiques de sécurisation de votre SI et de budget, nous vous proposons un logiciel qui vous permettra d’assurer la gouvernance de votre sécurité. Vous pourrez lisser votre budget sécurité tout au long de l’année tout en obtenant un reporting très poussé afin de préparer vos réunions avec votre direction.

SecludIT vous met à disposition gratuitement une version d’évaluation de la solution Elastic Detector pendant 14 jours pour que vous puissiez vérifier par vous-même en interne et en externe, les vulnérabilités résiduelles de vos machines. Ce test vous permettra de connaître l’état de votre infrastructure informatique et de prioriser vos actions correctives.

Si vous avez besoin de plus d’information, n’hésitez pas à vous inscrire à notre webinar.

webinar

Leave a Reply