Insight 〰️ L'évaluation financière de la cybersécurité, un chemin peu fréquenté

Tribune par Sylvan Ravinet

Quand les cultures “hacker” et managériale sont en collision

On l’a appris cette semaine. En juillet 2022, l’ancien directeur de la cybersécurité de Twitter (il l’était jusqu’à son licenciement en janvier 2022), Peiter ‘Mudge’ Zatko, est devenu lanceur d’alerte. Il a dénoncé l’entreprise devant trois institutions américaines : le ministère de la justice, la Securities and Exchange Commission (SEC) et la Federal Trade Commission (FTC). Cette dernière, qui protège le consommateur américain, avait déjà sanctionné Twitter, et même une nouvelle fois en mai 2022.

Ses reproches ? Selon le WashingtonPost, les dirigeants de l'entreprise ont trompé les autorités de régulation fédérales et le conseil d'administration de la société au sujet de "déficiences extrêmes et flagrantes" dans ses défenses contre les pirates informatiques.

Aux USA, la SEC, gendarme boursier, a justement fait au début 2022 des propositions visant à une meilleure transparence des sociétés cotées quant à la supervision de la cybersécurité par leurs “boards” (conseils d’administration). Cette affaire pourrait accélérer leur mise en application.

L’efficacité financière de la cybersécurité est une question centrale. Voici pourquoi.

En entreprise, tout (ou presque ?) peut s’examiner avec une lecture financière, que cela soit sur un aspect comptable (combien d’experts cyber ont déjà parcouru un plan comptable ?) ou même de responsabilité sociétale d’entreprise. Le management rend des comptes aux actionnaires, alors il peut être utile d’avoir une idée de ce qu’il regarde quand il peut évalue une entreprise. Et, lui non plus, le régulateur boursier français ne s’arrête pas aux aspects purement financiers. En 2021, il demande notamment à ce que les comptes sociaux des entreprises contiennent une information obligatoire sur le Covid et la situation environnementale. Va-t-il un jour suivre la SEC avec des obligations de transparence sur le sujet cyber ?

Après un recrutement en grande pompe en novembre 2020 pour faire un grand ménage suite au hack de juillet 2020, comment l’entreprise et son ex. directeur cybersécurité en sont-ils arrivés là ?

Mais comment disposer d’une juste lecture de l’aspect financier de la cybersécurité ?

Etudier la rentabilité de la cybersécurité, est-ce trop compliqué ? 

Il faut le croire, car ce sujet est même souvent tabou pour la génération actuelle des CISO et autres responsables de la sécurité. Nombreux sont les responsables qui indiquent que cela n’est pas possible. Est-ce, vu leur formation et parcours, parce qu’ils disposent encore rarement des “codes” du domaine financier ? Ou parce que c’est fondamentalement impossible ?

En cyber, comment savoir si l’effort financier d’une entreprise est suffisant ou superflu ?

La question revient à trouver plusieurs indicateurs de pilotage synthétiques. Ils combineraient efficacement des aspects opérationnels et financier du domaine cyber.

Dans d’autres métiers, comme en marketing digital, des métriques limpides rendent comparables différentes stratégies : par exemple le coût d’acquisition d’un lead (CPL). La finalité est simple : optimiser la technique d’acquisition. Pour améliorer les ventes. Il existe même des modèles de tableau de bord pour prévoir et piloter l’efficacité du budget de marketing digital, notamment.

Mais en cybersécurité, aucune bonne pratique du secteur norme n’existe aujourd’hui pour fixer un indicateur ou pour mener cet exercice complexe. C’est évidemment dommageable pour le domaine cyber et ses CISO. Rares sont ceux qui parlent le même langage (financier) que leurs dirigeants.

Il suffit de voir la difficulté qu’ont les entreprises à construire un tableau de bord cyber réellement adapté à leur niveau de maturité.

Et si le point primordial concernait la maitrise du risque cyber et son coût ?

Pour aboutir à un pilotage efficace, le WEF, par la voix d’auteurs responsables de Dell et du cabinet PwC, recommande la création d’un '“bilan” cybersécurité pour chaque entreprise. Selon eux, celui-ci combinerait des aspects quantitatifs du risque cyber, avec la méthodologie FAIR, ainsi que des éléments “qualitatifs” avec par exemple ISO 27005. Sans oublier les éléments budgétaires.

Toutefois à ce stade aucune méthodologie claire ne s’impose, car les méthodes courantes en cyber (telles qu’ISO 27005 et EBIOS) sont peu adaptées. Elles permettent très bien d’apprécier les risques au niveau d’une application, d’une infrastructure ou d’un projet de système d’information, mais passent difficilement l’épreuve de l’échelle d’un groupe.

FAIR, de son côté, a pour intérêt de ne pas de limiter à une occurence de risque mais à des distributions de risques. Il pourrait même tirer profit de MITRE ATT&CK, mais, là encore, pour cela nécessite de faire appel à un outil propriétaire (RiskLens) et à ses bases de données propriétaires (non transparentes).

Attention, nous sommes là en zone doublement trouble : le management du risque et de l’incertitude d’une part, et le domaine cyber d’autre part, sont chacun hautement complexes.

Et comme l’ensemble est hautement complexe, voire chaotique, notre cerveau pourrait être tenté de rechercher une nouvelle complexité, dans la quête d’une solution.

Notre avis ? Même agrémenté de x frameworks, FAIR ne peut pas être la méthode et approche unique. Car ce n’est pas avec un management des risques “parfait” que l’on va démontrer disposer de capacités réelles à faire face aux attaquants ou à satisfaire aux attentes des clients.

L’autre extrême ? Se satisfaire d’une approche de cyber-conformité

Beaucoup d’entreprises savent déjà si elles sont en défaut de conformité cyber ou, au contraire, les meilleures de la classe.

Comment ? Grâce à l’audit, interne et externe, aux assureurs, aux autorités et aux réglementations de toute origine, qui mettent une pression croissante sur le sujet cyber. Et grâce aux cabinets d’analystes tels que Gartner, les entreprises disposent de benchmarks leur permettant de se comparer à leurs pairs. C’est un pas vers la maîtrise du sujet cyber.

Pourtant, pour les cybercriminels et cyber espions, la conformité ou non de l’entreprise importe peu. Tout comme un classement des meilleurs élèves “cyber”. La seule chose qui compte : la finalité et le chemin d’attaque.

Peut-on faire confiance au pilote et à ses instruments de vol ?

Fondamentalement, le pilotage stratégique de la cyber nécessite de combiner expertise financière, RH, marketing voire même commerciale et R&D, et bien entendu des tactiques et techniques cyber. Autant dire que c’est un savoir-faire très peu partagé.

Que cela soit en mission de conseil ou en interne, à la différence du traitement d’aspects techniques ou de conformité cyber, il est très difficile de confier un tel exercice qu’il concerne l’évaluation, l’amélioration ou le pilotage, à des profils peu expérimentés.

La conséquence est brutale. Elle ne serait pas acceptable dans beaucoup d’autres contextes business

Concernant le volume des efforts cyber, et leur répartition thématique, nul ne sait si l’entreprise est en surqualité ou en sous-qualité.

Le bon emploi des ressources cyber est pourtant primordial

Devant l’Assemblée nationale, en juin 2021, Guillaume Poupard, directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) déclarait : “La France veut être une puissance en matière de cybersécurité, mais étant donné ceux contre qui nous luttons, la disproportion des moyens rend essentiel le bon emploi de nos ressources. À ce titre, je rappelle en permanence à mes équipes que l’inefficacité n’est pas concevable. Cette approche vaut en interne comme avec tous nos partenaires publics et privés au niveau national, et à l’échelle européenne.”

À tout niveau, entreprise comme État, le bon emploi des ressources cyber est donc clé. Mais, pour apprécier cet emploi, encore faut-il disposer de critères objectifs. Et ces derniers sont peu partagés. Même si des études existent, les pratiques restent trop rares.

Sylvan Ravinet, expert en cybersécurité.