Lorsque nous parlons de sécurité, l'une des choses qui est souvent négligée ou qui n'est pas entièrement calculée est le risque réel. Quel est le risque réel que vous courez en tant qu'entreprise ? Qu'est-ce qui a de la valeur pour vous ? Qu'est-ce que vous ne voulez pas voir divulgué, exposé ou volé ? Dans la plupart des cas, il s'agit d'informations. L'information est le bien le plus précieux que nous possédons. Et comme elle a de la valeur, elle comporte toujours un certain degré de risque.
Pour calculer le risque, vous devez d'abord savoir ce que vous possédez et ce que vous considérez comme précieux pour votre entreprise, et quelle est la valeur réelle de cet élément d'information. Il peut s'agir du coût initial que vous avez payé pour quelque chose, du temps qu'il a fallu pour le développer, de la valeur marchande future et même de ce qu'il en coûterait pour le remplacer. Un disque dur est un objet relativement bon marché, mais les informations qu'il contient peuvent potentiellement valoir des milliards, pour vous ou même pour quelqu'un d'autre.
La menace est également un facteur de calcul du risque. Quelles sont les plus grandes menaces auxquelles vous êtes confronté ? Elles vont des catastrophes naturelles à l'espionnage d'entreprise, en passant par les espions, les employés mécontents... En gros, si vous exercez une activité qui consiste à fournir quelque chose que quelqu'un veut, il y a de fortes chances que quelqu'un d'autre veuille savoir ce que vous savez ou posséder ce que vous possédez. Les menaces sont les éléments qui causeront des dommages à votre organisation.
Les vulnérabilités sont le point d'entrée dans l'organisation ou permettent d'accéder à des informations de valeur. En ce qui concerne la sécurité informatique, les vulnérabilités peuvent être l'exposition sur l'internet, l'accès facile au réseau de l'entreprise, ou des machines clientes et des serveurs compromis. Mais les vulnérabilités comprennent également le fait de ne pas contrôler toutes les personnes entrant dans le bâtiment, les entrées latérales non verrouillées ou non surveillées, la perte ou l'abandon d'informations, ou même une soirée en ville avec les cadres. Ne négligez jamais l'erreur humaine et l'ego. Les personnes ivres aiment parler et ne sont pas toujours conscientes de leur environnement. Vous ne savez jamais quand quelqu'un peut écouter vos conversations ou fouiller dans les poches du manteau que vous avez enregistré au vestiaire.
L'entreprise X est une grande entreprise mondiale. Elle possède des bureaux et des usines répartis dans le monde entier. Elle s'est développée très rapidement et n'a pas mis à jour sa sécurité (vilain vilain...). Elle possède bien sûr des informations que quelqu'un d'autre pourrait vouloir obtenir, mais elle est aussi une cible comme toute autre entreprise, simplement parce qu'elle existe. Que se passerait-il si une petite partie de leur activité tombait en panne ? Disons une région où elle fabrique le produit Z. Combien de personnes seraient touchées ? Quels seraient les coûts ? Peut-on chiffrer cette attaque ? Oui, nous le pouvons.
Cette attaque hypothétique a frappé la région avec un bon vieux casier cryptographique qui a été introduit par une campagne de phishing ciblée et qui s'est appuyé sur des systèmes obsolètes auxquels il manque des correctifs de sécurité indispensables.
Le premier coût que nous examinons est la perte de production de tout ce qui est fabriqué. Supposons que leur production journalière s'élève à 1 000 000 € et qu'ils sont restés inactifs pendant deux semaines ! Cela représente une perte de 10 à 14 millions d'euros (en fonction des week-ends de congé). Et comme ils ont pris du retard, ils devront peut-être augmenter leur production pour rattraper ce retard lorsqu'ils redémarreront. Mais ce n'est pas le seul coût. Il y aura sans aucun doute des personnes qui travailleront jour et nuit pour arrêter l'attaque, essayer de la réparer et comprendre ce qui a mal tourné. Disons qu'une centaine de personnes ont travaillé d'arrache-pied pendant un mois pour contenir et réparer l'attaque afin que la production puisse reprendre. 100 personnes avec un coût moyen (estimons-le) de 50 €/heure pour l'entreprise, à raison de 10 heures par jour. Cela représente un coût supplémentaire de 1 500 000 euros ! Rien que pour les personnes qui tentent de contenir l'incident. D'autres coûts pourraient inclure le remplacement de l'équipement qui aurait pu être endommagé.
Il existe également quelques coûts cachés auxquels on ne pense pas immédiatement. Avant que les attaquants ne lâchent le crypto-monayeur, ont-ils également volé des données ? Il est possible qu'ils aient également volé des informations précieuses. S'agit-il d'un concurrent qui connaît désormais vos secrets ? Ou de quelqu'un qui les vend à vos concurrents ? Cela pourrait vous faire perdre des marchés lorsque quelqu'un propose votre produit à un prix légèrement réduit.
L'autre coût caché est la dégradation de la marque. Si l'incident fait la une des journaux, les clients risquent de se désintéresser de l'entreprise et de ne plus acheter ce qu'elle essaie de vendre. Il pourrait s'agir de la situation la plus difficile à surmonter.
Compte tenu de ce scénario terrifiant, qu'aurait-on pu faire pour contrer ce phénomène et combien cela aurait-il coûté ? Pour faire vite, il aurait fallu mettre à jour et corriger les systèmes, filtrer les courriels et former les utilisateurs à la sécurité. Supposons que cela leur coûterait 2 000 000 d'euros supplémentaires par an en ressources, logiciels et équipements pour limiter l'attaque à un niveau raisonnable. Cela ne représente que 166 666 euros par mois. Si l'on considère que leurs pertes ont dépassé les 15 000 000 d'euros en un mois, c'est un petit prix à payer pour la prévention.
Pour plus de ressources sur ce sujet, veuillez lire le livre d'Ira Winkler "Des espions parmi les États-Unis". L'équation d'Ira donne une valeur monétaire au risque, ce qui en fait un bon facteur de motivation. Ou encore le livre de Tony UcedaVelez "Risk Centric Threat Modeling“.
En résumé, les entreprises devraient se concentrer davantage sur leur risque réel et lui attribuer une valeur monétaire. Il est beaucoup trop fréquent que des incidents tels que l'exemple ci-dessus se produisent. Les coûts peuvent être et ont été considérables. Mais avec un peu de planification de la prévention, beaucoup de ces incidents peuvent être réduits de manière drastique. Certaines choses se produiront toujours, et il est impossible de prévenir toutes les attaques, mais il existe de nombreux moyens de les détecter à temps et de les arrêter avant qu'elles ne deviennent trop graves.
Les seules personnes qui prétendent pouvoir vous assurer une sécurité totale sont des imbéciles ou des menteurs".
Ira Winkler - Les espions parmi nous
Si vous souhaitez en savoir plus sur la sécurité des applications, rejoignez-nous pour un webinaire au cours duquel nous aborderons des domaines clés tels que la manière d'intégrer la sécurité dans le processus de développement, les attaques les plus courantes et le choix de l'open source. Inscrivez-vous ci-dessous en cliquant sur l'image