Comment calculer le retour sur investissement en sécurité

Le Retour sur Investissement Sécuritaire (ROSI) quantifie combien une organisation évite de pertes grâce aux dépenses en cybersécurité, permettant ainsi de justifier les budgets et d'évaluer l'efficacité de la stratégie. En utilisant l'analyse quantitative des risques, le ROSI prend en compte l'annualized loss expectancy, la fréquence des menaces, le coût d'un incident unique et le taux d'atténuation pour estimer les économies. Des évaluations précises des risques, des considérations de conformité et la préparation organisationnelle améliorent tous les calculs et aident à prioriser les investissements.

Au cours de ma carrière de plus de 20 ans dans l'informatique, j'ai participé à des projets sous de nombreux angles différents. J'ai été un utilisateur final et un consultant ; j'ai géré la technologie et je l'ai vendue. Mais tout au long de cette période, un défi constant est resté : Comment évaluer le retour sur investissement pour une technologie que vous fournissez ou consommez.

Mon parcours m'a conduit à la sécurité informatique, et j'entends souvent des affirmations comme : « Il est difficile de mesurer l'efficacité des investissements en sécurité. C'est comme une assurance : on sait qu'on en a besoin, mais on ne peut pas lui donner de valeur. » Mais cette attitude est inacceptable si vous voulez être un gestionnaire IT efficace. Vous avez absolument besoin d'une méthode pour calculer précisément votre retour sur investissement en sécurité (ROSI), afin d'évaluer si votre stratégie de cybersécurité répond aux objectifs de votre département et de votre organisation, et si nécessaire, plaider pour un budget supplémentaire. Dans ce billet de blog, je décris comment calculer le ROSI.

Retour sur investissement classique

Le retour sur investissement (ROI) est un ratio de rentabilité pour un investissement spécifique. Il vous aide à déterminer si vous devriez réaliser un achat ou l'ignorer, ou comment un investissement particulier s'est comporté jusqu'à présent.

La manière la plus simple de calculer le ROI consiste à quantifier une sorte de « retour » ou « bénéfice » et à le diviser par l'« investissement » ou « coût » :

Calcul du ROI

Pourquoi le ROI classique ne fonctionne pas pour le retour sur investissement en sécurité

Cette équation de retour sur investissement fonctionne uniquement pour les investissements qui génèrent des résultats positifs, tels que des économies de coûts ou des augmentations de revenus. Mais qu'est-ce qu'un investissement en sécurité ? Ce type d'investissement n'augmente pas directement les revenus ni ne fournit un retour immédiat ; en réalité, les investissements en sécurité concernent la gestion des risques qui se traduit par la prévention des pertes et l'atténuation des risques. Ainsi, un calcul de retour sur investissement en sécurité devrait indiquer dans quelle mesure l'organisation pourrait éviter des pertes grâce à l'investissement en sécurité, nous avons donc besoin d'une formule différente.

Choisir les bonnes métriques pour le ROSI

Avant de plonger dans le calcul du ROSI, il est important de s'assurer que le processus est pratique et fournit des résultats fiables et exploitables. Il est essentiel de vérifier que vos métriques sont :

• Facile à rassembler sur une base régulière. Si cela coûte beaucoup de temps ou d'argent pour rassembler les données nécessaires, le calcul du ROSI deviendra très rapidement un fardeau et surpassera tout bénéfice perçu.
• Pertinent à votre entreprise et aux risques auxquels elle est confrontée.
• Assez précis. Puisque vous estimez les menaces susceptibles de frapper votre entreprise, vos calculs ne seront pas précis à 100%. Acceptez cela et faites de votre mieux.

Calcul du ROSI — la formule d'analyse quantitative du risque

L'Institut SANS propose une formule d'analyse des risques quantitative pour estimer le ROSI qui a été largement adoptée. Contrairement aux formules simples de ROI, elle est basée sur votre évaluation des risques spécifiques qu'un investissement de sécurité donné vise à adresser. Par conséquent, vous devez clairement comprendre votre exposition au risque de sécurité et estimer la valeur de chaque actif que l'investissement de sécurité cherche à protéger. Voici la formule :

Formule d'analyse des risques quantitatifs pour calculer le ROSI

Explorons comment calculer chacun des composants de cette formule.

Espérance de perte annuelle (ALE)

L'espérance de perte annualisée (ALE) représente la perte monétaire totale annuelle attendue par année résultant d'un facteur d'exposition spécifique si l'investissement en sécurité n'est pas réalisé. Pour calculer l'ALE, nous multiplions l'espérance de perte simple (SLE) par le taux d'occurrence annualisé (ARO) :

Calcul d'ALE

Voici les deux composants de la formule ALE :

• L'espérance de perte unique (SLE) est le montant d'argent qui sera perdu lors d'un seul incident de sécurité. Pour estimer le SLE, vous devez inventorier vos données et autres actifs informatiques et additionner les coûts directs (par exemple, les enquêtes techniques et les pénalités légales) et les coûts indirects (par exemple, l'arrêt de l'activité commerciale et l'augmentation du taux de perte de clients) des dommages ou de la perte de ces actifs. ­
• Le taux d'occurrence annualisé (ARO) est la fréquence estimée ou l'espérance qu'une menace frappe dans une année. Il s'agit d'un chiffre simple que vous pouvez déduire des archives historiques. Par exemple, si une menace particulière a frappé votre organisation seulement une fois au cours des 10 dernières années, elle a un ARO de 0,1 ; si une menace se produit environ 10 fois chaque année, elle a un ARO de 10.

Taux d'atténuation

Le taux d'atténuation est le pourcentage de risques que l'investissement en sécurité pourrait couvrir.

Selon Sonnenreich, Albanese et Stout — certains des premiers chercheurs à aborder le problème de la quantification de la valeur des contrôles de sécurité — il est acceptable que votre ratio de mitigation des risques soit approximatif. La meilleure approche consiste à évaluer le nombre prévu de risques atténués en fonction d'un algorithme de notation que vous choisissez vous-même. Même si les données pour le modèle ROSI sont inexactes, l'utilisation de cet algorithme de manière répétable et cohérente vous permettra de comparer la valeur relative de différents investissements en sécurité.

Exemple

Estimons l'ALE et le taux d'atténuation pour un scénario fictif et utilisons-les pour calculer le ROSI pour un investissement de sécurité proposé.

Supposons que vous savez que vos serveurs de fichiers ont des dossiers partagés contenant des fichiers avec des informations sensibles qui sont accessibles par tous dans votre entreprise. Vous savez que cette surexposition des données augmente le risque de compromission et de perte de données, mais vous ne connaissez pas le nombre exact ou l'emplacement des dossiers. Pour réduire ce risque, votre entreprise envisage d'investir dans une solution pour découvrir les données sensibles. Pour déterminer si cet investissement est justifié, vous devez faire le calcul.

Vous prévoyez que si vous n'avez pas la solution, vous aurez en moyenne 10 incidents de sécurité par an (ARO = 10). Chaque incident pourrait conduire à une violation coûtant environ 40 000 $ en perte de données, amendes, perte de productivité et perte d'affaires (SLE = 40 000). Par conséquent, l'ALE est de 400 000.

La solution proposée de découverte de données devrait atténuer ce risque de 94% (taux d'atténuation = 94%). Le coût estimé de l'achat et de la gestion de la solution est de 60 000 $.

Ainsi, vous pouvez calculer en utilisant la formule ROSI ci-dessus comme suit :

Exemple de calcul de ROSI

En utilisant ce calcul, vous pouvez soutenir que cet investissement permettra à l'entreprise d'économiser environ 316 000 $ (400 000 $ * 0,94 – 60 000 $), soit un retour sur investissement de 526 %.

Vous pouvez également utiliser cette formule pour évaluer le ROSI d'un investissement existant. Assurez-vous simplement de réaliser une évaluation précise des risques et de comprendre l'exposition aux risques de votre entreprise.

Modifier la formule ROSI avec des métriques supplémentaires

Vous pouvez modifier la formule d'analyse des risques quantitatifs en incluant des critères supplémentaires spécifiques à votre secteur ou tout simplement plus importants pour votre organisation. Voici quelques exemples :

• Profil de risque par rapport aux pairs du secteur — Comparer votre budget de sécurité et son exécution à ceux de vos pairs dans votre secteur peut être très utile. Des recherches spécifiques à l'industrie vous aideront à identifier des meilleures pratiques quantitatives, à apprendre quels menaces vos pairs rencontrent et comment ils les adressent, et à voir des références pour vous orienter. Je conseille de commencer par des recherches menées par Gartner.
• Statut de conformité — Si votre entreprise est soumise à une nouvelle norme de conformité ou souhaite améliorer sa conformité avec une norme existante, vous devriez inclure votre statut de conformité comme un facteur lors de l'évaluation des investissements en sécurité. Vous pouvez recueillir ces données en menant des audits internes réguliers pour vérifier si vos processus sont alignés avec les cadres de sécurité imposés par la norme, en vérifiant vos notes sur les audits récents et en déterminant les domaines sur lesquels vous devez travailler.
• Préparation organisationnelle pour faire face aux incidents — J'ai écrit à propos des simulations de sécurité (« jeux de guerre ») dans un autre article de blog. Vous divisez vos professionnels de la sécurité en deux groupes : une équipe attaque votre infrastructure et l'autre la défend. En menant ces jeux de temps en temps, vous pourrez suivre les performances de vos membres d'équipe pendant l'attaque, tester l'efficacité de votre programme de sécurité et de vos investissements, et comparer les résultats obtenus avec les jeux précédents. Par exemple, vous pouvez examiner combien de temps l'équipe a eu besoin pour détecter et répondre à l'attaque et quels individus se sont mieux comportés et qui nécessite une formation supplémentaire.

Conclusion

Prendre le temps de calculer le ROSI avant de réaliser des investissements et de le calculer régulièrement pour les investissements existants peut apporter plus d'avantages que vous ne le pensez. Calculé avec précision, le ROSI vous fournira les données exploitables et fiables dont vous avez besoin pour déterminer si vos efforts soutiennent réellement votre stratégie de sécurité informatique et réduisent les risques cybernétiques, pour décider si vos dépenses de sécurité actuelles sont justifiées, pour ajuster votre budget en réaffectant des ressources aux problèmes prioritaires, ou pour demander des investissements supplémentaires.