Le rapport, rédigé par des experts en économie et cybersécurité chez RAND, révèle que les responsables de la sécurité se retrouvent souvent dans une situation confuse et déroutante lorsqu’ils doivent choisir le moyen le plus efficace et le plus économique pour gérer les risques liés à la sécurité. Plus troublant encore, il ressort de l’étude que les entreprises investissent de plus en plus dans des outils de cybersécurité, sans être convaincues qu’ils apporteront le résultat escompté.

Selon Juniper Networks, ces conclusions sont liées à la difficulté de prendre en compte le coût des ressources et des outils de sécurité, ainsi que les potentielles dépenses liées à une faille qui n’est ni certaine, ni prévisible. Les responsables de la sécurité ont besoin de mieux appréhender les variables qui ont de l’influence sur le coût de la gestion des risques en matière de cybersécurité, mais aussi les décisions envisageables pour protéger leur entreprise. Pour les aider dans cette démarche, RAND a développé un modèle économique heuristique qui cartographie les principaux facteurs et décisions qui ont une incidence sur le coût de ces risques. Ce modèle est expliqué dans le deuxième volet d’une série de rapports intitulé « The Defender’s Dilemma : Charting a Course Toward Cybersecurity » (Le dilemme du défenseur : tracer la voie vers la cybersécurité).

Sachant que le modèle de RAND prévoit une progression de 38 % des dépenses liés à la gestion du cyber risque au cours des 10 prochaines années, Juniper Networks estime que les entreprises doivent considérer la gestion des risques et les dépenses de sécurité comme une activité à part. À l’instar des entreprises qui s’appuient sur des modèles pour analyser leur stratégie marketing et atteindre leurs objectifs commerciaux, les équipes en charge de la sécurité ont besoin de solutions pour mieux cerner la performance économique de la gestion des risques, les différentes variables impliquées et les investissements nécessaires pour sécuriser efficacement leur infrastructure.

Les 5 facteurs clés pour améliorer une politique de sécurité

D’après Juniper Networks et le modèle de RAND, les entreprises doivent tenir compte de cinq facteurs pour améliorer leur politique de sécurité :

• Nombre d’outils de protection ont une « demi-vie » et perdent de leur valeur – Les attaquants développent continuellement des mécanismes permettant de contrer les nouveaux systèmes de détection, notamment les « sandbox » et antivirus, ce qui oblige les entreprises à multiplier les dépenses pour conserver le même niveau de protection. D’après le modèle de RAND, l’efficacité de ces technologies devrait chuter de 65 % au cours des 10 prochaines années. Les entreprises doivent donc étudier attentivement les nouveaux outils qu’elles souhaitent adopter, choisir ceux se prêtant le moins aux contre-mesures et se focaliser sur l’amélioration de la sécurité, de l’automatisation des processus et de l’application des règles sur l’ensemble de leur réseau.

• L’Internet des objets à la croisée des chemins – D’après RAND, l’Internet des objets aura une incidence sur les coûts de sécurité. Toutefois, rien ne dit si cet impact sera positif ou négatif. Si la gestion et les technologies de sécurité sont correctement appliquées à l’Internet des objets, les entreprises devraient réaliser des économies sur le long terme. D’un autre côté, si elles ont du mal à appliquer les contrôles de sécurité, le modèle de RAND indique que l’Internet des objets pourrait augmenter de 30 % les pertes occasionnées par les cyberattaques au cours des 10 prochaines années.

• Investir sur les effectifs favorise la diminution des coûts au fil du temps – Les entreprises ont tout à gagner, si elle prévoient des investissements centrés sur l’humain comme des technologies capables d’automatiser les processus et la gestion de la sécurité, des formations avancées et des recrutements de spécialistes de la sécurité. Selon le modèle de RAND, les entreprises les plus assidues peuvent limiter le coût de la gestion des risques de 19 % la première année et de 28 % en 10 ans.

• Il n’existe pas d’approche standard – De toute évidence, les investissements ne permettent pas aux entreprises d’adopter une stratégie économique optimale. Ils doivent varier selon la taille des entreprises. RAND révèle que si les petites et moyennes structures peuvent se contenter d’utiliser des outils et règles élémentaires, les grandes entreprises doivent, quant à elles, investir dans une gamme complète d’outils et de stratégies pour se prémunir contre les attaques sophistiquées dont elles peuvent être la cible.

• L’élimination des failles logicielles réduit considérablement les coûts – D’après le modèle de RAND, le nombre de vulnérabilités dans les applications et logiciels qu’utilisent les entreprises est l’un des facteurs d’augmentation des coûts. En réduisant de moitié la fréquence de ces vulnérabilités, les entreprises pourraient enregistrer une baisse de près de 25 % du coût global lié à la cybersécurité.

Pour donner vie au modèle économique de RAND, Juniper Networks lance un nouvel outil interactif qui fournit aux entreprises des conseils sur les investissements nécessaires par domaine d’activité, afin de réduire les coûts potentiels.

Le rapport « The Defender’s Dilemma : Charting a Course Toward Cybersecurity » a été rédigé par Martin Libicki, Lillian Ablon et Timothy Webb, trois spécialistes de la sécurité chez RAND Corporation. Il s’appuie sur des entretiens approfondis de responsables de la sécurité, menés entre octobre 2013 et août 2014. Cette étude sur les menaces actuelles et émergentes s’appuie également sur le premier des deux rapports publiés par RAND et sponsorisés par Juniper, « Markets for Cybercrime Tools and Stolen Data : Hackers’ Bazaar » (Marché des outils de la cybercriminalité et des données volées : le bazar du pirate), qui examine les leviers économiques pour les pirates ainsi que le marché noir mis en place pour arriver à leurs fins.

« Aujourd’hui, les menaces continuent d’émerger et deviennent de plus en plus sophistiquées. Afin de permettre aux entreprises de renverser la situation et de prendre le dessus sur les attaquants, elles doivent évaluer leurs investissements et se concentrer sur la gestion des risques, en plus des menaces. La sécurité doit être gérée comme une activité business à part entière et doit être réévaluée continuellement. Les responsables de la sécurité des SI doivent réfléchir à des mesures pérennes et dynamiques pour sécuriser leur réseau. »
– Ghaleb Zekri, consultant sécurité et cloud, EMEA, Juniper Networks