De l'informatique au ROI : Définir la cybersécurité pour le conseil d'administration

Présenter la cybersécurité comme un risque pour l'entreprise

Comme indiqué précédemment, de nombreux conseils d'administration considèrent déjà la cybersécurité comme un risque métier de premier ordre. Toutefois, il reste à savoir dans quelle mesure ils comprennent la corrélation entre la cybersécurité et le retour sur investissement. Les RSSI doivent mettre en place un cadre permettant d'établir une correspondance entre les risques liés à la cybersécurité et les risques de l'entreprise. Parmi ces risques et d'autres, citons :

• Les risques financiers peuvent inclure la perte de revenus due à l'indisponibilité des systèmes ou des fournisseurs tiers, des amendes réglementaires ou des poursuites judiciaires.
• Les risques opérationnels peuvent inclure la perte de données, l'incapacité à se rétablir après une catastrophe naturelle, voire des menaces internes.
• Les risques pour la réputation sont souvent surestimés, mais ils existent bel et bien. Si les atteintes à la réputation peuvent avoir des conséquences immédiates à la suite d'un événement de cybersécurité, elles peuvent également avoir des effets à long terme, si la gestion de la crise - avec son volet communication - n'est pas à la hauteur.

Voyons comment recadrer le risque de cybersécurité en tant que risque d'entreprise pour soutenir les résultats de l'entreprise. La gestion des correctifs, par exemple, est une bonne pratique fondamentale en matière de cybersécurité. Auparavant, les présentations du RSSI au conseil d'administration mentionnaient le nombre de dispositifs non corrigés, le nombre de jours pendant lesquels un système n'avait pas été corrigé et la gravité des vulnérabilités nécessitant des correctifs. Si ces chiffres permettent de quantifier l'ampleur du problème, ils ne permettent pas d'en mesurer l'impact sur l'activité de l'entreprise. Les RSSI doivent apprendre à communiquer sur la manière dont la cybersécurité gère et atténue les risques métiers ou, mieux encore, soutient les résultats de l'activité.

Passer au langage du retour sur investissement

Selon l'approche fondée sur les résultats, l'absence de correctifs pour les systèmes et applications critiques augmente la probabilité d'une défaillance du système causée par un événement de cybersécurité, tel qu'une cyberattaque avec ransomware. 

Dans le secteur de la santé, une application métier peut faire partie d'un système d'imagerie. Sans le système d'imagerie, l'entreprise risque de perdre les revenus générés par ce système. En outre, il existe des impacts potentiels en aval, tels que la nécessité de retarder ou d'annuler une procédure chirurgicale. Cela pourrait faire boule de neige et entraîner un diagnostic manqué, des sanctions financières réglementaires, la perte du remboursement par l'assurance et des poursuites civiles et pénales. Les patients peuvent se sentir frustrés lorsqu'ils attendent un rendez-vous d'imagerie reporté. Dans le pire des cas, tous ces effets boule de neige pourraient conduire à des résultats de soins défavorables, y compris la mort.

Dans ce cas, le coût de l'atténuation du risque de cybersécurité se limite au temps nécessaire à l'allocation des ressources et aux temps d'arrêt programmés, ce qui est bien inférieur à l'impact d'un système non patché.

Au lieu d'essayer d'établir un retour sur investissement pour les capacités de cybersécurité, il faut se concentrer sur le retour sur investissement des produits métiers existants. Lors du déploiement de nouveaux produits et de nouvelles capacités, il convient de prendre en compte le coût de la protection des systèmes sous-jacents par rapport à la perte de revenus qui résulterait de l'indisponibilité du produit. Cela permet d'intégrer la cybersécurité dans l'entreprise, plutôt que de l'ajouter après coup. Au fil du temps, cela favorisera une culture de la cybersécurité qui favorisera la croissance et l'innovation au lieu de les étouffer.

Stratégies concrètes pour les DSI/RSSI

Il fut un temps pas si lointain où il était acceptable de lancer une nouvelle technologie et de s'engager à mettre en œuvre des contrôles de cybersécurité dans le cadre de la deuxième phase ou même plus tard, en tant qu'amélioration des fonctionnalités.

Le RSSI d'aujourd'hui doit être en mesure d'aligner les coûts de la cybersécurité sur les coûts de l'entreprise et, dans certains cas, sur la valeur de l'entreprise. Posez-vous la question suivante : continueriez-vous à faire des affaires avec une banque qui a ou qui fait des achats auprès d'un détaillant en ligne qui subit fréquemment des pannes de système ?

L'alignement des piliers de la cybersécurité que sont la confidentialité, l'intégrité et la disponibilité sur les indicateurs de performance clés au niveau du conseil d'administration démontre la corrélation directe entre le coût de l'atténuation, de la gestion ou du transfert (par exemple, par le biais d'une assurance) d'un risque et la décision de l'accepter.

• Confidentialité. Pour quantifier le risque, multipliez le nombre d'enregistrements de données sensibles (telles que les informations personnelles sur la santé) par les pénalités de conformité potentielles et les éventuelles poursuites judiciaires.
• Intégrité. Multipliez le nombre d'employés par le nombre de systèmes ou d'applications auxquels ils ont accès pour quantifier les possibilités qu'un acteur malveillant ou un employé négligent perturbe les résultats de l'entreprise. Quel est l'impact de l'arrêt des soins dans un hôpital parce que les dossiers médicaux des patients ne sont pas fiables ?
• Disponibilité. Multiplier le volume moyen des ventes par heure par le nombre d'heures d'indisponibilité d'un système (objectif de temps de rétablissement) pour obtenir une estimation de la perte de chiffre d'affaires.

Il s'agit évidemment de simplifications, mais ces exemples illustrent la manière dont le risque de cybersécurité peut être efficacement communiqué en termes de valeur pour l'entreprise. Dans une organisation mature, le risque de cybersécurité, comme d'autres risques d'entreprise, peut informer l'entreprise sur le moment d'entrer ou de sortir d'une stratégie métier.

Il est également important de noter que ces informations et analyses ne devraient pas être présentées au conseil d'administration une seule fois, voire une fois par an. Dans l'idéal, ces informations sont disponibles en temps réel grâce à des tableaux de bord, qui peuvent avoir des objectifs multiples. Du côté des entreprises, les capacités de cybersécurité sont mises en correspondance avec les opérations et la stratégie de l'entreprise. Cela montre comment les investissements en cybersécurité protègent la valeur de l'entreprise. Par ailleurs, à moins que votre programme de cybersécurité ne dispose de ressources illimitées, ces tableaux de bord peuvent vous aider à identifier les lacunes et les faiblesses à combler, ce qui permet d'optimiser les opérations et la stratégie de l'entreprise. Cela permet également de redéfinir les priorités en cas d'incident inattendu.

Le conseil se préoccupe également des risques émergents, y compris des menaces actuelles et futures, telles que les attaques basées sur l'IA. Lorsque l'on travaille avec n'importe quel fournisseur, il existe des risques liés à la chaîne logistique ; il est donc essentiel de prévoir des scénarios et de diversifier les fournisseurs. Les mauvaises configurations du cloud doivent également être prises en compte, et l'utilisation du temps d'arrêt associé à la panne d'AWS en octobre 2025 est une bonne référence pour le risque de concentration des fournisseurs. La conformité réglementaire est un autre sujet qui préoccupe le conseil d'administration, les lois changeant régulièrement, en particulier avec les progrès de l'IA.

Ce qu'en retirent les dirigeants

Le conseil d'administration comprend clairement que l'ajout d'une nouvelle implantation s'accompagne d'importantes dépenses d'investissement et de fonctionnement. Par exemple, une surface supplémentaire s'accompagne d'une augmentation des coûts en utilités, des taxes foncières, de l'équipement et de nombreuses autres dépenses. Il comprend même que la sécurisation de la propriété entraîne des coûts, notamment des portes à accès contrôlé, des caméras de surveillance et, éventuellement, des agents de sécurité. Pourquoi les coûts de cybersécurité ne devraient-ils pas augmenter au fur et à mesure que l'empreinte physique et numérique d'une organisation s'accroît ? Les coûts de cybersécurité devraient faire partie de la proposition de valeur, plutôt que d'être un poste du budget informatique global.

L'intégration des capacités de cybersécurité dans les KPI de l'organisation permet d'améliorer la visibilité de la valeur métier ou du retour sur investissement généré. Sans contrôles efficaces de la cybersécurité, les services d'entreprise risquent de ne pas respecter les exigences réglementaires, de subir des violations de données ou des pannes. Tous ces éléments peuvent entraîner des pénalités financières supplémentaires et une atteinte à la réputation, ce qui, en fin de compte, a un impact sur les résultats.

Enfin, les DSI et les RSSI capables d'articuler la valeur que la cybersécurité apporte à l'entreprise peuvent se retrouver à guider l'entreprise sur les risques et les bénéfices de l'entrée dans une activité ou une offre particulière. Il ne suffit pas d'avoir un siège à la table pour répondre aux questions du conseil d'administration ; les dirigeants efficaces en matière de cybersécurité auront l'influence et la crédibilité nécessaires pour façonner l'entreprise, et peut-être même tout un secteur.

En résumé, voici une liste de choses à faire lorsque l'on aborde la question de la cybersécurité avec le conseil d'administration :

• Utilisez un langage métier lorsque vous discutez des contrôles de sécurité. Par exemple, utiliser des énoncés de résultats commerciaux tels que les correctifs apportés à ces systèmes réduisent les temps d'arrêt de X heures, ce qui permet de protéger Y $ de revenus.
• Établir des KPI en matière de cybersécurité. Lier directement les KPI de l'entreprise, tels que la protection des systèmes d'accès aux patients, à l'exemple du KPI de disponibilité des plateformes pour réduire les vulnérabilités à haut risque.
• Créez une carte thermique de la cybersécurité. Utilisez-la pour cartographier toutes les vulnérabilités au sein de l'organisation et ajoutez l'impact en dollars ou l'exposition aux revenus. Cela permet d'identifier les domaines les plus prioritaires en fonction de l'exposition aux pertes de revenus et de la continuité des activités. N'oubliez pas de prendre en compte l'impact réglementaire potentiel sur l'exposition à la perte de revenus, qui comprend les coûts tels que les amendes, ainsi que les coûts de récupération.
• Organiser des réunions régulières avec les différentes unités de l'entreprise, y compris l'informatique, les produits et le service juridique. Ces réunions devraient inclure l'examen des plans de résilience, la mise à jour des modèles de menace et l'alignement de la tolérance au risque.
• Créer un tableau de bord adapté au conseil d'administration. Le fait de disposer d'indicateurs tels que le temps de fonctionnement des services, les risques et l'exposition financière de l'entreprise, l'état de la conformité et le temps nécessaire pour détecter les menaces et y répondre permet d'intégrer la cybersécurité comme un retour sur investissement dans toutes les initiatives. Veillez à ce que tous ces paramètres soient alignés sur l'impact métier.
• Quantifier les cyberincidents. Cela permet de montrer au conseil d'administration la valeur financière de la prévention. Ces formules devraient inclure le coût des indisponibilités, les pertes de revenus, les amendes réglementaires et les coûts de rétablissement de la réputation.

John Doan est directeur principal du conseil en cybersécurité et architecte du domaine de la cybersécurité pour une organisation de soins de santé de renommée mondiale.