Le devoir douloureux d’informer la suite C ou la pension du coût d’incident est essentiel au rôle de la CISO, mais un bon plan de réponse, des exercices de table et un engagement proactif peuvent lisser le processus.
En 2017, l’agence de notation de crédit Equifax a subi une violation de données massive, ce qui coûte finalement à l’entreprise plus de 1,4 milliard de dollars de règlements juridiques, d’amendes réglementaires et de dépenses de cybersécurité. La même année, le géant du transport maritime Maersk a été victime de l’attaque de ransomware notpetya, qui a infligé environ 10 milliards de dollars de dommages-intérêts mondiaux. Maersk à lui seul a engagé plus de 300 millions de dollars en restauration du système, en interruption des entreprises et en perdus de revenus.
Même en mettant de côté ces marques à haute eau, le dernier coût d’IBM d’un rapport de violation de données a découvert que de mars 2023 à février 2024, le coût mondial moyen d’une violation de données a atteint un sommet de 4,88 millions de dollars, un bond de 10% par rapport à la période précédente.
Compte tenu du bilan financier potentiellement dévastateur et rapide des cyber-incidents, les CISO font face à une pression croissante pour communiquer efficacement les coûts financiers des cyber-incidents aux dirigeants de la suite C et aux conseils d’administration des entreprises, naviguant souvent entre des projections réalistes et des scénarios les pires. Les erreurs de calcul qui sous-estiment les coûts d’incident peuvent entraîner des répercussions internes négatives et même une perte d’emploi pour certains CISO.
Les experts conviennent que le moyen le plus efficace pour les CISO de communiquer les coûts potentiels d’une violation des décideurs est de développer une estimation aussi précise que possible, faisant souvent référence aux incidents comparables. Ils disent que la meilleure approche pour développer ces estimations est d’établir et de pratiquer un plan de réponse aux incidents et de mener des exercices sur table.
Enfin, ils recommandent que les CISO engagent de manière proactive le leadership dans des discussions sur les coûts potentiels avant qu’un incident ne se produise, garantissant que l’organisation est prête pour les réalités financières d’une cyberattaque.
Compter les coûts d’un cyber-incident
Les deux gros seaux de coûts d’incident sont des coûts directs et indirects.
« Les frais d’incident direct sont les choses que l’organisation fait pour sortir immédiatement de cet incident », a déclaré Draeger lors d’une conférence au SHMOOCON de cette année. «Pensez à vos activités d’arrêt de saignement, de corriger immédiatement le serveur, de le mettre hors ligne, de reconstruire, ce genre de choses.
« Il pourrait y avoir un paiement de rançon et les frais qui accompagnent cela et les frais de conversion de crypto-monnaie », a-t-elle déclaré. « Travailler avec un négociateur professionnel – je recommande fortement de ne pas faire cela par vous-même – ils peuvent vous faire économiser beaucoup d’argent.
Les CISO devraient en outre tenir compte des coûts de conformité qui accompagnent certains incidents. Par exemple, «si des données personnelles sensibles étaient divulguées, il pourrait y avoir une notification des organismes de réglementation», a déclaré Draeger. «Il pourrait y avoir une notification aux personnes affectées.»
Les coûts indirects, tout en évaluant la suite immédiate d’un incident, peuvent être étendus et peuvent inclure des amendes réglementaires, une augmentation des primes d’assurance, des dommages de réputation et une perte de part de marché. Cependant, la perturbation des entreprises peut être le coût le plus important et le plus difficile à estimer.
« La très grande chose ici est de comprendre combien de temps prend une interruption d’entreprise », a déclaré Draeger. «Un court incident de ransomware peut prendre environ trois semaines.
La plupart de ces articles sont couverts par une assurance, mais une dépense importante, l’amélioration des systèmes organisationnels après l’incident, ne l’est pas. « Vous êtes seul », a déclaré Draeger. «Vous devrez investir les dollars de votre organisation pour le faire.»
L’importance de la pratique dans l’estimation des coûts
Il aide également à développer un plan de réponse aux incidents (IR) et à le pratiquer fréquemment. «Je recommande fortement d’avoir un plan de réponse aux incidents qui existe sur le papier», explique Draeger. «Je veux dire du papier littéral pour que lorsque votre réseau entier explose, vous avez toujours une liste de numéros de téléphone et de contacts et quelque chose pour vous aider à démarrer.»
Non seulement le plan de réponse aux incidents conduit à de meilleures estimations de coûts, mais cela entraînera également un retour plus rapide des fonctions de réseau. «Pratique, pratique, pratique», explique Draeger. «Pratiquez absolument à chaque étape de votre plan de réponse aux incidents et que vos processus critiques soient en mesure de courir manuellement.
« Mais, il n’y a pas de norme universellement acceptée pour mesurer et prédire les pertes », explique Boyer. La fausse calcul des coûts peut endommager considérablement la réputation d’un CISO ou même entraîner une perte d’emploi. « Si quelque chose revient et que nous avons une perte annuelle attendue de 50 millions de dollars, c’est peut-être 54 millions de dollars, c’est peut-être 48 millions de dollars.
« La durée de vie moyenne d’un CISO est d’environ 18 à 24 mois, ce qui n’est pas ce que je veux pour un membre de mon équipe de direction », explique Draeger, parlant des retombées potentielles pour les CISO. «Nous avons vu des CISO utilisés comme quelque chose d’un bouc émissaire, ce qui montre un manque fondamental de compréhension de la façon d’utiliser bien ces personnes.»
Soyez proactif dans la communication des coûts d’incident
Après avoir développé les estimations des coûts de violation, les CISO bénéficient de leur communication au conseil d’administration et à d’autres dirigeants dès que possible, idéalement bien avant qu’un incident ne se produise. « La proactivité est meilleure que la réactivité », selon Boyer.
« Disons que je n’ai pas été frappé par une attaque de ransomware », dit-il. «Il n’y a pas de compromis par e-mail, mais je sais que ce n’est qu’une question de temps avant que ces choses ne se produisent.
Informer de manière proactive le conseil d’administration et le leadership aide également à répandre le risque. « Si vous voulez faire un montant de transfert de risques, qui est une assurance, vous devrez quand même passer par cet exercice, car vous devrez décider de la couverture que vous voulez », explique Boyer.
Brickhouse conseille aux CISO d’établir une «cadence et une communication» avec la direction et le conseil d’administration avant que quelque chose ne se produise. Il suggère également que les CISO devraient contacter la direction et le conseil d’administration pour profiter du moment des incidents de cybersécurité très remarquables.
L’essentiel pour Brickhouse: « Il y a certainement quelque chose à dire sur la construction de cette relation avec le conseil d’administration et en parlant dans ce contexte avant d’avoir votre propre incident. »
