Il y a 28 % de chances que les entreprises subissent une atteinte à la protection de leurs données portant sur au moins 10 000 enregistrements, affectant ainsi des actifs incorporels tels que la réputation, les droits de propriété intellectuelle, l’expertise et le savoir-faire. Une initiative de l’UE s’est penchée sur les aspects économiques liés à la cybersécurité afin de remédier au manque d’informations quantitatives à disposition des décideurs pour établir des priorités en matière d’investissements au service de la sécurité.

Économie numérique

Sécurité

En 2018, le coût estimé d’une atteinte à la protection des données s’élève à 3,5 millions d’euros de plus que l’année précédente, ce qui équivaut à une augmentation d’environ 6,8 %. La plupart des entreprises adoptent encore une simple stratégie de réparation puisque les atteintes à la protection des données peuvent coûter moins cher que les mesures de sécurité préventives. Par ailleurs, mesurer l’impact réel des incidents en termes de coûts requis pour une récupération complète des données constitue est une tâche délicate. Dans l’ensemble, les modèles actuels sont inappropriés. Le projet HERMENEUT, financé par l’UE, permet aux organisations de mieux évaluer leur exposition aux cyber-risques et l’impact que les cyberattaques pourraient avoir sur leurs actifs, en estimant les pertes financières potentielles. «Nous avons accordé une attention particulière à des actifs tels que la réputation, le capital humain et la marque», explique Paolo Roccetti, chercheur confirmé et chef d’équipe chez Engineering Ingegneria Informatica, l’entreprise qui coordonne le projet. «Nous avons opté pour une certaine simplicité afin que les organisations ayant peu de connaissances en cybersécurité puissent aussi utiliser la solution proposée.» L’équipe HERMENEUT a développé une méthodologie et un outil d’aide à la décision pour évaluer et quantifier les conséquences économiques potentielles des cyberattaques sur les actifs d’une entreprise ainsi que les pertes concernant ses actifs incorporels. L’outil open source d’évaluation des risques intègre les connaissances et les modèles mis en place au cours du projet. Il fournit aux utilisateurs de nouvelles fonctionnalités pour faciliter l’estimation des coûts matériels et immatériels d’une attaque, une analyse des risques et des coûts ainsi qu’une évaluation des contre-mesures de protection appropriées.

Œuvrer en faveur d’évaluations globales et plus simples en matière de cybersécurité

Un autre résultat innovant concerne l’approche globale adoptée pour analyser le rapport coûts-avantages des mesures de cybersécurité et de l’atteinte de nombreux objectifs clés dans la lutte contre les cyberattaques. Il s’agit notamment d’élaborer un modèle d’évaluation amélioré des vulnérabilités organisationnelles et des risques auxquels sont exposés les actifs corporels et incorporels ainsi qu’un modèle de coût destiné à identifier et à mesurer les coûts incorporels pour les organisations. La solution HERMENEUT est conçue pour aider à prendre des décisions en matière de cybersécurité et s’adresse aux responsables de la sécurité de l’information, aux dirigeants et aux membres des conseils d’administration dans un large éventail d’entreprises, des PME aux grandes organisations. «Cela rend les entreprises autonomes pour adopter une première posture de cybersécurité, sans avoir à supporter les coûts énormes d’une évaluation des risques effectuée par un consultant, qui s’avère souvent trop complexe pour être réalisée à d’autres reprises et mise à jour», indique M. Roccetti. L’expression «posture de cybersécurité» décrit la résilience d’une entreprise face aux menaces relatives à la cybersécurité.

Favoriser une culture de gestion des risques

Pour finir, les partenaires du projet ont présenté une série de recommandations politiques sur les modèles économiques des coûts cybernétiques et les solutions en matière de gestion des risques, ainsi que sur la façon de tirer parti des meilleures pratiques existantes. L’objectif consiste à informer les décideurs politiques européens et les autres acteurs majeurs, notamment les régulateurs, les opérateurs du marché et les compagnies d’assurance, sur les priorités principales dans ce domaine et sur les points auxquels l’Europe devrait consacrer des investissements. Acteur clé dans la transformation numérique des entreprises et des organisations publiques et privées, avec environ 11 000 professionnels répartis sur 65 sites dans le monde entier, la société italienne Engineering Ingegneria Informatica s’appuie sur les résultats du projet. Elle souhaite faire un pas de plus vers la commercialisation de sa solution. «Grâce à HERMENEUT, les organisations individuelles et un certain nombre de secteurs d’activité disposent désormais d’une suite d’outils leur permettant de mieux évaluer leurs vulnérabilités aux cyberattaques ainsi que leurs actifs matériels et immatériels menacés», conclut M. Roccetti. «Ces outils aideront également les décideurs à estimer les risques cybernétiques et à comprendre les mesures d’atténuation à adopter.»

Mots‑clés

HERMENEUT, cyberattaque, cybersécurité, actifs incorporels, vulnérabilités, atteinte à la protection des données, cyber-risque, évaluation des risques, gestion des risques