L’évaluation financière de la cybersécurité reste un chemin peu fréquenté

L’une des explications : pour de très nombreuses organisations et professionnels de la cybersécurité, l’étude de la rentabilité des investissements (ROI) de la cybersécurité reste complexe. Ce sujet est même souvent tabou pour la génération actuelle des CISO, qui disposent encore rarement des codes du domaine financier. De plus, si les méthodes courantes en cyber permettent très bien d’apprécier les risques au niveau d’un applicatif ou d’un projet SI, elles passent difficilement l’épreuve de l’échelle d’un groupe.

Combien d’entreprises ont évalué le ROI de leur cyber ? Aucune norme, rassurante, n’existe aujourd’hui pour mener cet exercice complexe. Combinant expertise financière, RH, marketing et bien entendu cyber, c’est un savoir-faire très peu partagé. À la différence du traitement d’aspects techniques ou de conformité, il est difficile de confier cet exercice à des profils peu expérimentés. La conséquence est brutale. Elle ne serait pas acceptable dans beaucoup d’autres contextes business :

Concernant le volume des efforts cyber, et leur répartition thématique, nul ne sait si l’entreprise est en surqualité ou en sous-qualité.

Devant l’Assemblée nationale, en juin 2021, Guillaume Poupard, directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) déclarait : La France veut être une puissance en matière de cybersécurité, mais étant donné ceux contre qui nous luttons, la disproportion des moyens rend essentiel le bon emploi de nos ressources. À ce titre, je rappelle en permanence à mes équipes que l’inefficacité n’est pas concevable. Cette approche vaut en interne comme avec tous nos partenaires publics et privés au niveau national, et à l’échelle européenne.

À tout niveau, le bon emploi des ressources cyber est donc clé. Mais, pour apprécier cet emploi, encore faut-il disposer de critères objectifs. Malheureusement, ces critères objectifs sont peu partagés. Même si des études existent et les pratiques sont trop rares.

Cependant, nous devons le reconnaître, beaucoup d’entreprises savent déjà s’elles sont en défaut de conformité cyber ou, au contraire, les “best in class” de leur domaine. Grâce à l’audit, interne et externe, aux assureurs, aux autorités et aux réglementations de toute origine, qui mettent une pression croissante sur le sujet cyber. Et grâce aux cabinets d’analystes tels que Gartner, les entreprises disposent de benchmarks leur permettant de se comparer à leurs pairs. C’est un pas vers la maîtrise du sujet cyber.

Pourtant, pour les cybercriminels et cyber espions, la conformité ou non de l’entreprise importe peu. Tout comme un classement des meilleurs élèves “cyber”. Seule compte la finalité et le chemin d’attaque.