Cybersécurité : les directions financières enfin prêtes à investir

Si la cybermenace est connue de tous, ses effets sont encore trop souvent mal mesurés. Cette difficulté à évaluer l’impact d’un piratage complique la tâche des équipes en charge de la sécurité des SI pour chiffrer les investissements nécessaires à une protection efficace des actifs de l’entreprise et affronter l’examen des directions financières.

Tirer les enseignements des cyberattaques précédentes

L’analyse de cyberattaques passées éclaire sur les coûts suscités par les opérations de restauration et de remise à niveau de l’IT. Ainsi, le sénateur français Jérôme Bascher détaille dans un rapport d’octobre 2019 les sommes dépensées à l’issue des intrusions informatiques subies par TV5 Monde au printemps 2015. Une étude d’autant plus instructive que cette mobilisation financière se ressentait encore dans les budgets de 2019. On y apprend que les éléments permettant de mesurer le poids de cette cyberattaque dans les dépenses de TV5 Monde sont à apprécier en matière de surcoûts, comme l’explique le parlementaire. Ceux-ci ont été évalués de la sorte :

  • en 2015, 4,4 millions d'euros ont été consacrés à la reconstruction du dispositif informatique, au lancement du système de supervision et à l’absorption des pertes de recettes évaluées à 200 000 euros,
  • en 2016, les coûts additionnels ont été évalués à hauteur de 3,1 millions d'euros,
  • de 2017 à 2019, ceux-ci se sont stabilisés à environ 2,6 millions d'euros par an.

Au regard de l'ensemble du budget de TV5 Monde, ces dépenses supplémentaires impliquées par les suites de la cyberattaque ne sont nullement négligeables : elles représentent 2,4 % des dépenses totales de la chaîne. Celles-ci s'élèvent en 2019 à environ 111 millions d'euros.

Cette recension illustre la nécessité de penser la cybersécurité comme un investissement continu qui s’envisage sur le temps long. Surtout si des événements inattendus surviennent. Par exemple, le Conseil constitutionnel français a constaté que depuis le lancement de la procédure du Référendum d’Initiative Partagée (RIP) sur la privatisation d’Aéroports de Paris (ADP), une multiplication par huit du nombre de tentatives d’hameçonnage (phishing) par messagerie. Une intensification des cyberagressions qu’il était difficile de planifier… et donc de budgéter, notamment au niveau du déploiement renforcé d’un pare-feu sur le réseau du Conseil. Une réactivité qui sied mal avec le goût pour la planification paisible des cycles budgétaires.

La cybercriminalité boursière, une réalité bien ancrée

La valeur d’une information et la capacité à en disposer en priorité pour prendre des positions sur les marchés, à l’achat ou à la vente, est la base de la création de valeur sur une place boursière. Dans un environnement dématérialisé, les tentations sont grandes de miser sur les outils d’interception ou de fraude à l’identité pour s’accaparer des données confidentielles ou fausser les informations portées à la connaissance des investisseurs.

L’étude sur la cybercriminalité boursière signée par Alexandre Neyret, adjoint au directeur des enquêtes de l’Autorité des Marchés Financiers (AMF) à l’automne 2019, illustre la variété des menaces qui visent la communauté financière. Atteinte au cours de Bourse par propagation de fausses nouvelles ou tentative de piratage des bases de données des places de marché ou des plateformes de trading : les nombreux cas à l’échelle de la planète témoignent de l’importance prise du risque cyber au sein de la sphère financière. Cet essor – s’il est regrettable – contribue néanmoins à faire comprendre la dimension stratégique de la cyberdéfense aux yeux des services financiers. Cette dynamique permet à la sécurité numérique de sortir de son « ghetto technique », selon l’expression reprise de l’analyse que j’ai publiée dans le numéro de décembre 2019 des Annales des Mines.

Des régulations pour une nouvelle dynamique

L’entrée en vigueur depuis 2018 de textes comme le Règlement général sur la protection des données (RGPD), qui établissent des sanctions conséquentes en cas de pertes ou de vols de données personnelles, permet de valoriser les investissements en cybersécurité. Ainsi, l'amende de 183 millions de livres sterling infligée à British Airways en juillet 2019 a clairement incité les autres entreprises détentrices de données similaires à ausculter leur niveau de protection. Là encore, les directions financières sont les plus à même de procéder à des arbitrages en faveur des demandes des CISOs pour éviter que de telles pénalités ne viennent grever leur budget. D’autant qu’il faut y ajouter les dépenses des avocats, des communicants, les mesures de remédiation et les gestes commerciaux à destination des clients. Une addition qui rend les devis initiaux des équipes en charge de la sécurité des systèmes informatiques (SSI) plus acceptables.

Enfin, cette financiarisation de la sécurité numérique doit inciter à généraliser la notion de retours sur investissements (ROI) appliqués à la SSI : avec de nouveaux indicateurs et une relation apaisée entre équipes techniques et professionnels du chiffre.

 

Nicolas Arpagian
VP Strategy & Public Affairs Orange Cyberdefense

Il est enseignant à l’Ecole Nationale Supérieure de la Police (ENSP) et intervenant à l’Ecole Nationale de la Magistrature (ENM) et à l’Ecole Nationale d’Administration (ENA).
Nicolas est Administrateur du programme gouvernemental Cybermalveillance.gouv.fr et de l’Alliance pour la Confiance Numérique (ACN). Il est membre du Conseil d’orientation de l’Institut Diderot.
Il a fondé et dirigé le Cycle « Sécurité Numérique » à l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ), établissement public auprès du Premier ministre. Nicolas est l’auteur d’une quinzaine d’ouvrages parmi lesquels :

  • « La Cybersécurité » dans la collection Que Sais-Je ? aux Presses Universitaires de France (PUF).
  • « Quelles menace numériques dans un monde hyperconnecté ? », Institut Diderot, 2018.
  • « L’Etat, la Peur et le Citoyen », Editions Vuibert
  • « La Cyberguerre – La guerre numérique a commencé », Editions Vuibert.
  • « Pour une stratégie globale de sécurité nationale », Editions Dalloz.
  • « Liberté, Egalité… Sécurité », Editions Dalloz.

 

Pour aller plus loin