Natee Meepian - stock.adobe.com
Ready for IT : quel ROI pour la cybersécurité ?
C'est le serpent de mer du secteur. Car les RSSI ont toujours du mal à décrocher des budgets et ont bien du mal à convaincre les dirigeants face à un risque qui n'a pourtant rien de virtuel.
Le 29 septembre 2022, les sites Web de la marque de l’enseigne Jules, mais aussi des marques Brice et BZB sont arrêtés. Ceux-ci ont été déconnectés suite à une cyberattaque et ce n’est que la partie émergée de l’iceberg. L’ensemble du groupe est victime d’une cyberattaque provenant d’un partenaire : toute l’informatique du groupe est à l’arrêt.
Florent Plonquet, DOSI du groupe Jules revient sur cette crise sans précédent : « quand mon responsable d’exploitation m’appelle à 5 h du matin pour me dire que nous sommes attaqués, tous les systèmes sont immédiatement arrêtés. L’entrepôt est arrêté, la connectivité avec les 500 magasins aussi, de même que l’ensemble du siège. Sans entrepôt, les magasins ne sont plus alimentés en produits ».
Cette situation critique est la conséquence directe d’un manque d’investissement chronique dans le système d’information, mais aussi dans la sécurité. Le DOSI ajoute : « quand je suis arrivé il y a 3 ans dans l’entreprise, j’ai commencé par un audit sur l’ensemble du SI. Celui-ci a fait apparaître la vétusté du système d’information, un problème de qualité des données et un niveau de sécurité relativement faible. En outre, la sensibilité des collaborateurs vis-à-vis du risque cyber était quasi nulle du côté du board qui estimait que nous ne faisions pas partie des entreprises visées par les cyberattaques ».
Cet audit a permis au DOSI de rédiger un schéma directeur de transformation sur 3 ans. Celui-ci a été présenté au board du groupe, mais Florent Plonquet n’a pas eu le temps de le mettre en pratique : une semaine après la présentation, tout s’est arrêté avec la cyberattaque.
Calculer le ROI d’une solution de sécurité, un véritable casse-tête
Le défi du RSSI est de convaincre sa direction d’investir avant que l’attaque ne survienne. L’idéal sera de calculer le ROI d’une analyse de risque, du déploiement d’un XDR ou d’un IAM, mais un tel calcul est pour le moins complexe.
Néanmoins, l’absence de sécurité a bel et bien un coût et il est élevé. Le DOSI détaille la facture de l’attaque de 2002 : « le premier impact, c’est la remédiation : comment reconstruire les systèmes et comment les redémarrer. Il s’agit d’un coût de plusieurs millions d’euros pour un groupe de 400 millions d’euros de chiffre d’affaires. Le deuxième coût, c’est la perte d’exploitation. Nous avons arrêté l’entrepôt pendant 1 mois et demi ; une période pendant laquelle nous n’avons plus envoyé de marchandises à nos magasins. Plus personne ne savait comment fonctionnait notre ancien système. Le coût est de plusieurs dizaines de millions d’euros ».
Enfin, le troisième poste de coût va perdurer pendant des mois, voire des années, c’est la perte de parts de marché. Beaucoup des clients qui n’ont pu acheter des produits de l’enseigne pendant la crise sont allés chez des concurrents, et tous ne reviendront pas.
Le diagnostic du DOSI est clair : « la dette technique accumulée au fil des années était relativement conséquente, ce qui se traduisait par une insatisfaction de l’ensemble des collaborateurs de l’entreprise. Il y a eu une prise de conscience du board au moment de cet audit. Un gros travail de fond devait être mené sur 3 ans. J’ai obtenu un peu de budget, mais après la cyberattaque, c’est devenu beaucoup ! »
Cette expérience montre l’importance pour un RSSI ou un CISO de convaincre sa direction.
Franck Chemin, CISO du Crédit Agricole Alpes Provence, mais aussi fondateur de Cyber-Way pour accompagner les PME face au risque Cyber souligne : « l’enjeu est d’arriver à démontrer à un chef d’entreprise qu’investir dans la cybersécurité, c’est rentable. Nous avons face à nous des gens qui sont dans une logique business, une logique de profit, et cette mission est quasi impossible. Le challenge est d’estimer les pertes que l’on va éviter alors que tout va bien ! »
Et de souligner que personne ne songe à effectuer un calcul de ROI sur la sécurité physique. Si la réglementation impose d’installer 5 extincteurs dans un entrepôt, personne ne va évaluer la pertinence de cet investissement : « en cybersécurité, c’est très différent. L’enjeu est aujourd’hui de quantifier de façon mathématique l’impact d’une cyberattaque sur l’activité de l’entreprise ».
Le CISO estime qu’il faut plutôt évoquer la valeur de la cyber pour l’entreprise sur le prisme de la pérennité dans le temps que de se lancer dans un calcul de ROI très incertain.
Localiser où se trouve réellement la valeur de l’entreprise
Nadège Reynaud, Directrice Cybersécurité de STET, un fournisseur de services de paiement pour les banques, souligne : « cela fait une vingtaine d’années que je fais de la gestion des risques et EBIOS, c’est très bien, mais ce n’est pas vendeur auprès d’une direction ! Pour moi, il faut vraiment se rapprocher des risques d’entreprise, sortir de son bureau de CISO pour aller chercher les risques qui pèsent sur la valeur de l’entreprise ».
Le responsable de la sécurité doit identifier les machines d’un industriel, la clientèle pour un site marchand, ou la propriété intellectuelle qui compte le plus qui font vivre l’entreprise, et chercher à estimer les coûts liés à leur perte : « la seule manière que l’on a d’évaluer ce que va coûter la perte de ces assets pour les entreprises, ce sont des estimations, des courbes. On peut s’appuyer sur les assureurs dans cette estimation ».
En outre, « plus l’entreprise est grosse, au plus on peut s’appuyer sur des gens qui peuvent le faire pour nous. A partir de ces chiffres, on va essayer de voir ce qu’il faut protéger en priorité et où placer le barycentre des investissements à réaliser ».
Pour la responsable, ce discours axé sur la valeur et les risques qui pèsent sur cette valeur est beaucoup plus crédible qu’une tentative de calcul de ROI. Elle reconnaît néanmoins qu’une telle approche n’est réellement possible que dans une entreprise mature vis-à-vis de la gestion de risque et beaucoup plus facile dans les secteurs régulés.
Nadège Reynaud estime que ceux qui sont les plus durs à convaincre ne sont ni les directions, ni les financiers, ni les métiers qui, en général, savent ce qui est important. Alors selon elle, « le plus dur, c’est l’IT pour l’IT, les informaticiens. Ceux qui connaissent la sécurité, ça va, mais ils ne sont pas toujours suivis. Sans faire de généralité, les développeurs sont les plus durs à convaincre car, mis à part le cas d’une boîte d’IT, ils sont assez loin de la valeur de l’entreprise. Quand on est chargé de maintenir une baie de virtualisation, on ne sait pas très bien quelles applications sont hébergées sur cette baie. Du coup, ils sont très difficiles à convaincre ».
Savoir « pitcher » son projet cyber, une nouvelle compétence pour le RSSI
Fréquemment confronté à des patrons de PME, Franck Chemin explique que les dirigeants sont de plus en plus sensibilisés aux risques cyber par les médias, par le contexte géopolitique : « les attaques font désormais partie du quotidien. En revanche, ce n’est pas la seule priorité des décideurs qui sont confrontés à de multiples points à traiter pour eux. Généralement, les dirigeants d’entreprise sont intéressés, mais ils n’ont pas de temps à y consacrer. Il faut être capable de pitcher son besoin en 2 minutes, leur expliquer en quoi c’est important et qu’il faut investir pour répondre à un besoin. C’est quelque chose que l’on peut comparer à du stand-up : on dispose de 5 minutes pour faire son pitch et réussir sa levée de fond ! »
Le CISO du Crédit Agricole Alpes Provence recommande aux RSSI d’oublier leurs tableaux Excel ou même les slides PowerPoint ; le RSSI doit pouvoir résumer son propos en quelques phrases chocs et pouvoir parler d’homme à femme ou d’homme à homme avec son DG pour décrocher son budget : « c’est aussi une aventure humaine… Ensuite, la confiance se crée et on peut avancer », conclut Franck Chemin.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
![]()
Comment Carrefour a musclé sa cybersécurité avant les JO 2024
Par: Alain Clapaud
-
![]()
Données & cybersécurité : les RSSI se rêvent en centre de profit…
Par: Alain Clapaud
-
![]()
Assises de la cybersécurité 2024 : merci les JO, place à NIS2
Par: Alain Clapaud
-
![]()
Cyberhebdo du 21 juin 2024 : des milliers de concessionnaires automobiles paralysés aux États-Unis
