Comment estimer le coût d’une faille de données potentielle pour son entreprise ?

Pour beaucoup d’entreprises, le monde de la cybersécurité demeure toujours difficile à comprendre, les attaques peuvent surgir de partout et à tout moment, alors que les offres de sécurité sont pléthores. Pour les aider dans leur compréhension, les entreprises peuvent compter sur des études de cabinets indépendants fournissant des estimations du coût des failles de données. Une estimation de coût primordiale pour définir le budget qu’il serait raisonnable de dépenser pour prévenir ces failles, mais également pour justifier ce budget auprès de la direction.   

Sandor-Balint-Balabit

Sándor Bálint, Responsable Sécurité Sciences appliquées des données, Balabit, éditeur de solutions de sécurité contextuelle

Toutefois, s’appuyer simplement sur des indicateurs génériques est une grosse erreur. L’estimation de ce qu’une faille potentielle pourrait coûter à son entreprise ne doit en aucun cas se faire sans prendre en compte spécifiquement le contexte particulier de sa propre entreprise. 

Une étude ne prenant en compte aucun élément de contexte n’a aucun sens pour votre entreprise

Le coût d’une faille de données sera en effet très différent pour une multinationale de la finance ou pour une TPE, un artisan ou une bibliothèque municipale. Proposer des chiffres génériques et uniformes tirés de quelques cas permet certes de tirer quelques enseignements intéressants, mais ces chiffres sont fondamentalement dénués de sens dès lors qu’une entreprise les relie à son cas particulier.

En résumé, ces études ne fournissent que des estimations, rarement utiles pour les décisions prises au jour le jour par les professionnels de la sécurité. A contrario, elles peuvent être intéressantes par exemple pour le monde universitaire.

GUIDE RSSI DE DEMAIN De nombreux coûts à considérer et à anticiper pour disposer d’une estimation précise

Les entreprises doivent procéder à une évaluation des risques afin de déterminer ce qu’une faille pourrait concrètement leur coûter, et cela en tenant compte de leur domaine d’activité, de leurs clients ou encore des données qu’elles traitent. En outre, l’estimation de l’impact n’est qu’une partie de l’évaluation des risques qui doit être réalisée, car il est tout aussi important d’évaluer en parallèle la probabilité qu’une faille arrive…

Pour mieux comprendre ce qu’une faille pourrait représenter au sein de son entreprise, voici les points importants à considérer et les questions à se poser :

  1. Si une faille survient, mon entreprise doit-elle légalement informer ses clients ? Et si oui, comment : email, téléphone, courrier classique ou recommandé ? Qu’est-ce que cela coûterait en termes d’argent, de temps et de matériel ?
  2. Si j’informe mes clients et qu’ils se pressent auprès de mon service client téléphonique pour avoir des explications, faut-il anticiper un besoin de personnel supplémentaire, au moins temporairement, pour offrir un suivi de qualité aux clients ? Si oui, quel surcoût devrions-nous anticiper (ex : heures supplémentaires, personnel intérimaire, etc.) ? Et si plus de clients appelaient ? 
  3. Si la faille entraîne des dommages financiers pour les clients, sommes-nous tenus de les indemniser ?
  4. Si des cartes de crédit de clients devaient être annulées, quel coût cela engendrerait-il pour l’entreprise ?
  5. Quel est le coût moyen d’acquisition d’un nouveau client ? Si ce coût augmente dans l’année à venir, comment anticiper cette augmentation et en prévoir les impacts ?
  6. Quel est le taux de perte d’un client actuellement ? Combien cela couterait-il à l’entreprise s’il venait à augmenter ?
  7. Sommes-nous prêts à offrir une certaine compensation aux clients touchés ? Combien cela coûterait-t-il par client ?
  8. En cas de vol d’identité, allons-nous offrir une surveillance du crédit aux clients touchés ? Pour combien de temps ? Quel serait le coût de ce service ?
  9. Pouvons-nous nous attendre à une amende ? A quelle réglementation l’entreprise est-elle soumise ? Quel serait le montant maximum de l’amende ?
  10. Existe-t-il une loi engageant la responsabilité personnelle de la direction ? Le directeur de l’entreprise peut-il être mis en examen voire être exposé à une peine de prison ?
  11. En cas de faille, devrons-nous faire appel à des experts en investigation numérique ? Si oui, quel serait le coût de ce type de prestation ?
  12. Si une faille survient, l’activité de l’entreprise sera-t-elle impactée tant que l’investigation numérique est en cours ? Où le process d’investigation nécessitera-t-il la suspension provisoire de certaines activités ? Dans ce cas, quelle perte financière cela pourrait représenter ?
  13. Après une faille, il est souvent inévitable de reconstruire les systèmes affectés et de vérifier l’intégrité des données sauvegardées. Quels seraient les coûts liés (à la location de matériel, la main-d’œuvre, le temps et les équipements, ainsi que les revenus perdus si le système compromis doit être mis hors ligne, etc.) à anticiper pour l’entreprise ?
  14. Devrons-nous recourir à une assistance juridique externe ? Quel serait le coût de cette prestation ?
  15. Devrons-nous recourir à des spécialistes de la communication/des relations presse pour travailler sur la réputation et l’image de l’entreprise ? Quel budget anticiper ? 
  16. Quel pourrait être le pourcentage de clients susceptibles de poursuivre l’entreprise en justice en cas de faille de données ? Combien cela pourrait-il coûter à l’entreprise en frais juridiques et en dommages-intérêts ?
  17. Quel impact une faille de données pourrait-elle avoir sur le cours de l’action de l’entreprise à court terme ? Quel effet financier une baisse soudaine du cours de l’action pourrait-elle entraîner ? Quelles seraient les conséquences si la faille survenait en pleine période de négociation pour un projet de fusion/acquisition.
  18. Pour les organismes financiers : si la confiance des clients est fortement affectée et que cela entraine une forte réaction (retrait d’argent par exemple), quel effet cela pourrait-il avoir sur les liquidités de l’entreprise ?

Cela ne fait aucun doute, il est difficile d’anticiper tous ces éléments avec précision et d’estimer concrètement les dégâts que pourraient générer une faille de données. Les apparences sont souvent trompeuses : selon la façon dont elles sont communiquées par l’entreprise, les conséquences d’une faille de données peuvent paraître marginales, dès lors qu’elles sont par exemple simplement estimées par rapport à l’impact qu’elles ont sur le cours de l’action. C’est une vision déformée de la réalité, puisque cela ne tient pas compte de tous les autres aspects : la réputation, l’image, les pertes potentielles de clients dans un avenir proche, les actions en justice qui pourraient être engagées a posteriori, etc.

Yahoo, a fait les frais de ces conséquences imprévues sur le long terme suite à une faille massive de données. Après 3 ans d’investigation, de plaintes, et de gros titres dans la presse, Yahoo payerait certainement très cher pour conclure ce chapitre de son histoire et travailler à l’acquisition de clients, à l’optimisation de son image, etc. Même si une entreprise peut survivre à ce type de failles, la leçon coûte tout de même très cher et les moins bien préparées peuvent mettre la clé sous la porte.

 

 Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête !

guide RSSI de demain Découvrez dans notre dernier guide le portrait-robot de cet acteur incontournable de la transformation numérique.

> Je télécharge