Comment calculer le ROI de la cybersécurité pour le PDG et le conseil d'administration

Comprendre le retour sur investissement de la cybersécurité

Les experts financiers définissent généralement le retour sur investissement comme le revenu résultant directement d'un investissement, moins le coût de l'investissement, et exprimé en pourcentage.

Prenons l'exemple d'un investissement de 1 000 euros qui a généré un revenu de 100 euros. Le retour sur investissement serait de 10 %, soit un rendement de 10 cents pour chaque euro investi.

Mais les contrôles de sécurité n'entraînent pas directement des recettes. Ils protègent plutôt les revenus en réduisant l'exposition aux risques cyber. C'est pourquoi le retour sur investissement en matière de cybersécurité a une définition plus souple que le retour sur investissement traditionnel : Il fait référence aux avantages financiers directs et indirects d'un investissement dans la cybersécurité, y compris la prévention des pertes, la réduction des risques, le gain de temps et d'argent.

Qu'est-ce que ROI de la sécurité ?

Certains responsables de la cybersécurité préfèrent l'expression retour sur investissement en matière de sécurité, qui fournit une mesure plus précise pour évaluer les investissements en matière de cybersécurité.

Il existe plusieurs façons de calculer ce ROI. La formule traditionnelle du ROI incorpore un chiffre connu sous le nom d'espérance de perte annuelle, soit les coûts financiers annuels anticipés d'un risque de sécurité donné. L'espérance de perte annuelle est calculée en multipliant le taux d'occurrence annuel par l'espérance de perte unique.

Par exemple, si une organisation a subi un type donné d'incident de sécurité deux fois par an, le taux d'occurence annuel sera de 2. Si l'organisation s'attend à perdre 5 000 euros en coûts directs et indirects à chaque fois qu'un tel incident se produit, l'espérance de perte annuelle sera de 10 000 euros.

Calculez le ROI de sécurité en pourcentage en soustrayant le coût de l'investissement en titres de la différence entre l'espérance de perte annuelle - avant et après l'investissement - divisée par le coût de l'investissement et multipliée par 100.

Supposons qu'une organisation ait investi 2 000 euros dans une mesure de sécurité pour remédier à l'incident de sécurité susmentionné, qui se produit deux fois par an et coûte 5 000 euros à l'organisation à chaque fois. Imaginons qu'après l'investissement, l'incident ne se produise plus qu'une fois par an, ce qui se traduit par une nouvelle espérance de perte annuelle de 5 000 euros. En utilisant la formule ci-dessus, calculez le ROI de sécurité comme suit :

ROI de sécurité % = ((10 000 - 5 000 - 2 000) / 2 000) × 100 = 150 %.

Sur la base de ce calcul, pour chaque euro investi, l'organisation a évité 1,50 euro de pertes.

Une autre formule de calcul du ROI de sécurité comprend un ratio d'atténuation, qui se réfère au pourcentage de risque que l'investissement en sécurité pourrait atténuer.

Cette équation est utile pour évaluer les produits ou les contrôles, par exemple. Supposons que l'espérance de perte annuelle d'une organisation pour 100 attaques de phishing par an, à 5 000 euros l'attaque, soit de 500 000 euros. Un RSSI évalue un outil anti-hameçonnage de 80 000 euros qui prétend prévenir 99 % des attaques d'hameçonnage. Calculez le ROI de sécurité en pourcentage en soustrayant le coût de l'investissement de l'espérance de perte annuelle multiplié par le ratio d'atténuation, divisé par le coût de l'investissement et multiplié par 100 :

ROI de sécurité % = (((500 000 × 0,99) - 80 000) / 80 000) × 100 = 519 %.

Sur la base de ce calcul, pour chaque euro investi, l'organisation pourrait éviter 5,19 euros de pertes.

Défis liés au retour sur investissement de la cybersécurité

Que le RSSI utilise le terme de ROI de sécurité, le calcul de la valeur d'un investissement dans la cybersécurité présente des difficultés évidentes :

• La prévention des pertes repose sur des estimations. Il est impossible de prouver qu'une perte donnée se serait produite ou se produira à l'avenir sans la mise en place d'une mesure de cybersécurité. Dans le meilleur des cas, un RSSI peut démontrer de manière convaincante qu'une perte se serait probablement produite ou se produira probablement, sur la base de données internes historiques, de références sectorielles et de mesures de quantification des cyber-risques.
• Les chefs d'entreprise considèrent souvent la cybersécurité comme un centre de coûts. L'objectif de la cybersécurité étant d'atténuer les risques plutôt que de générer des revenus, certains PDG et membres du conseil d'administration la considèrent encore comme un centre de coûts. Le défi du RSSI consiste à démontrer de manière convaincante que les contrôles de sécurité permettent soit d'accroître l'efficacité - et donc d'économiser du temps et de l'argent - soit de protéger la capacité de l'entreprise à générer des revenus.

Comment calculer le retour sur investissement de la cybersécurité

Il peut être difficile de trouver des mesures convaincantes pour calculer le retour sur investissement de la cybersécurité. Envisagez d'utiliser un cadre de quantification des cyberrisques réputé, tel que le modèle FAIR, qui aide les RSSI à traduire les scénarios de cyber-risques en termes financiers, en tenant compte de la probabilité de l'événement et des pertes directes et indirectes.

Il existe également de nombreuses données dans l'environnement de sécurité typique qu'un RSSI peut utiliser pour effectuer des calculs convaincants de ROI de la cybersécurité. Par exemple, il est facile d'examiner les fichiers journaux pour voir si le nombre d'événements de sécurité a diminué depuis la mise en œuvre d'un outil, d'un service ou d'une initiative stratégique donné(e).

Le logiciel de gestion des tickets offre également des informations précieuses. Il enregistre le temps nécessaire pour résoudre les problèmes et suit l'efficacité et la productivité du personnel de sécurité qui résout ces problèmes. Si un investissement aide le personnel à résoudre les problèmes plus rapidement, il est possible de traduire le temps gagné en argent économisé.

Exemples de calculs du retour sur investissement en matière de cybersécurité

Supposons qu'un analyste de sécurité gagne 100 000 euros par an. Si un outil ou un service donné permet à cet employé d'économiser une heure de travail, l'entreprise économise 48 euros. De même, si un analyste de sécurité gère 100 tickets par mois et peut désormais en gérer 200, cela représente une augmentation de 100 % de l'efficacité, soit l'équivalent d'un effectif complet.

La productivité est également mesurable grâce à l'intégration des systèmes, c'est-à-dire la fusion des informations relatives aux réseaux et des informations relatives à la sécurité. Cela permet une analyse plus rapide des causes profondes, qui peut être calculée comme le pourcentage de changement dans les événements détectés au fil du temps, ce qui peut ensuite être pris en compte en termes de réduction du nombre d'employés.

Si une organisation dotée d'une équipe informatique de sécurité de six personnes déploie un logiciel de sécurité qui améliore l'efficacité de 25 %, l'entreprise pourrait réduire cette équipe de 1,5 personne tout en conservant la même productivité. En supposant un coût de main-d'œuvre de 125 000 euros par employé, l'entreprise pourrait économiser environ 180 000 euros en supprimant ces postes. Si le logiciel de sécurité coûte 90 000 euros, le délai de retour sur investissement ne serait que de six mois.

Les dirigeants comprennent aussi aisément combien il est important d'éviter toute perturbation de l'activité, c'est pourquoi ils envisagent de calculer l'augmentation du temps de fonctionnement en fonction de l'argent généré par l'entreprise. Une entreprise de 100 millions d'euros de CA, par exemple, rapporte environ 275 000 euros par jour, soit 11 000 euros par heure. En utilisant des mesures directes comme celle-ci, les RSSI peuvent directement calculer la valeur de la réduction des temps d'arrêt dus aux pannes informatiques liées à la sécurité.

Comment certaines mesures d'évitement des coûts nuisent à la crédibilité des RSSI

Les RSSI pourraient être tentés d'utiliser des mesures d'évitement des coûts dérivées d'incidents de sécurité très médiatisés ou de moyennes sectorielles pour calculer le ROI de la cybersécurité, mais ils risquent ainsi de nuire à leur crédibilité auprès des chefs d'entreprise.

Par exemple, un RSSI pourrait dire : "Parce que j'ai installé l'outil X, nous n'avons pas subi d'attaque de ransomware, ce qui nous a évité de payer une rançon de 10 millions de dollars comme l'a fait récemment notre concurrent". Les PDG et les conseils d'administration rejetteront probablement ce raisonnement comme étant fragile et imprécis - il est impossible de prouver une chose négative - et le coût hypothétique esquivé comme étant, au mieux, vague et variable. Les seuls cadres susceptibles d'adhérer à cet argument sont ceux qui ont déjà subi personnellement des pertes aussi massives. Pour le meilleur ou pour le pire, ces cadres ne sont probablement pas ceux qui sont aujourd'hui aux commandes.

Dans cette optique, il convient d'éviter de s'appuyer sur les mesures d'évitement des coûts suivantes dans le calcul du retour sur investissement.

Incidents de sécurité très médiatisés

Une statistique souvent citée est le coût moyen d'une violation de données selon IBM, qui atteindra 4,88 milliards de dollars en 2024. Bien que chaque RSSI et son équipe souhaitent - et devraient certainement - réduire le risque de violation de données, l'utilisation de cette mesure pour calculer le retour sur investissement n'est ni efficace ni réaliste. Il est plus efficace de présenter certains investissements en utilisant des scénarios de cyber-risques et en discutant de l'appétence de l'organisation pour le risque plutôt que du retour sur investissement.

Atteinte à la réputation

Les coûts de réputation sont nébuleux. L'estimation des dommages causés par un incident de sécurité rendu public peut être un exercice intéressant pour l'analyse d'un scénario de cyber-risque ou les discussions sur l'appétit pour le cyber-risque, mais ce n'est pas nécessairement un moyen crédible de calculer le retour sur investissement de la cybersécurité dans un autre cas ou dans une autre organisation.

Prenons l'exemple de la faille de SolarWinds en 2020. L'entreprise a subi une perte de capitalisation boursière de plus d'un milliard de dollars en l'espace de quelques jours. Mais il n'existe aucun moyen d'utiliser ce chiffre pour calculer directement la valeur de la prévention d'une autre faille de sécurité dans une autre entreprise. En d'autres termes, toutes les organisations victimes d'une faille ne perdront pas un milliard de dollars en capitalisation boursière. Chaque organisation a des enjeux de réputation qui lui sont propres, avec des coûts potentiels qui varient d'un incident à l'autre.

Amendes réglementaires

Tout comme les atteintes à la réputation et les autres coûts indirects, les amendes réglementaires hypothétiques sont également difficiles à estimer. Par exemple, les amendes moyennes pour non-conformité à la norme PCI DSS vont de 5 000 à 100 000 dollars. Mais dans le cas de la violation de 2008 chez Heartland, l'entreprise de traitement des paiements a payé près de 110 millions de dollars de frais à Visa, MasterCard, Discover et American Express, ainsi que des frais de justice supplémentaires.

Les RSSI auraient du mal à quantifier de manière significative le risque de non-conformité en comparant leurs activités à celles d'autres entreprises qui ont payé des amendes pour des erreurs réglementaires, car chaque situation et chaque exposition sont différentes.

Comment communiquer le retour sur investissement de la cybersécurité à la direction générale ?

Les cadres dirigeants s'intéressent à la sécurité, même si ce n'est que de manière indirecte, dans la mesure où ils se soucient des risques métiers que les menaces de sécurité engendrent. Ils s'intéressent à la manière dont les outils de sécurité peuvent atténuer ces niveaux de risque.

Lorsqu'ils communiquent le retour sur investissement de la cybersécurité aux dirigeants, les RSSI doivent tenir compte des éléments suivants :

• Utilisez un langage clair et concis, et non un langage sécuritaire. Évitez d'utiliser un jargon technique ou de partager des détails tactiques et opérationnels lorsque vous communiquez la valeur de la cybersécurité aux dirigeants d'entreprise. En d'autres termes, pas de discussions sur la mécanique du chiffrement RSA ou d'exposés sur la manière dont la superposition quantique permet d'éviter les fonctions de hachage.
• Parlez en termes métiers, en vous alignant sur les investissements et les besoins de l'entreprise. Souligner comment les investissements spécifiques dans les personnes, les processus et la technologie atténuent les facteurs de risque critiques de l'entreprise et garantissent une rentabilité maximale.
• Utilisez des aides visuelles. Fournissez des éléments visuels tels que des graphiques, des tableaux et des infographies pour illustrer les données relatives au retour sur investissement.
• Construisez un récit. Utilisez la narration pour construire un récit cohérent sur le retour sur investissement de la cybersécurité, en vous concentrant sur la façon dont les dépenses de sécurité optimisent la capacité de l'entreprise à générer des revenus.
• Compléter les demandes de budget pour la cybersécurité par des discussions sur les cyber-risques. Outre les calculs de retour sur investissement de la cybersécurité, présentez au PDG et au conseil d'administration des scénarios de cyber-risque et une analyse de l'appétit pour le cyber-risque, afin de contextualiser davantage les dépenses de sécurité en termes commerciaux.
• Ne parlez pas d'éliminer les risques. Ne parlez jamais d'éliminer les risques, car c'est une attente impossible à satisfaire. Il faut plutôt mettre l'accent sur les investissements de sécurité fondés sur le risque qui ont un effet direct sur les résultats. Plus les responsables de la sécurité se concentreront sur les prérogatives de l'entreprise et la gestion des risques, plus ils gagneront la compréhension et le soutien des chefs d'entreprise qui dépendent d'eux.

Jerald Murphy est vice-président senior de la recherche et du conseil chez Nemertes Research. Fort d'une expérience de plus de trente ans dans le domaine des technologies, il a travaillé sur un large éventail de sujets technologiques, notamment la recherche sur les réseaux neuronaux, la conception de circuits intégrés, la programmation informatique et la conception de centres de données mondiaux. Il a également été PDG d'une société de services managés.