Calculer le retour sur investissement d’une mesure de sécurité constitue l’exercice le plus difficile pour une entreprise, au moins pour deux raisons. D’une part, parce qu’il s’agit de se couvrir contre des risques futurs, par définition aléatoires. D’autre part, pour obtenir un chiffre fiable, il faudrait prendre en compte de façon exhaustive tous les paramètres, y compris les moins quantifiables.
D’autant que le sentiment de sécurité, ou d’insécurité, reste très subjectif dans l’esprit des managers. Mais il n’est pas utile de calculer un ROI à la virgule près, l’essentiel est d’estimer les ordres de grandeur.
Concrètement, les calculs sont simples puisqu’il suffit de faire la différence entre les coûts de la sécurité et les bénéfices. Si le résultat est positif, il y a un retour sur investissement.
Si le résultat est négatif, c’est raté. Les grandes organisations peuvent recourir à des modèles complexes, teintés de mathématiques mais, pour une approche simplifiée, le principe est le suivant : l’entreprise quantifie l’argent qu’elle estime devoir perdre chaque année en raison d’un incident de sécurité particulier. Il ne s’agit pas du coût brut d’un incident, mais le produit de celui-ci par la probabilité de l’événement au cours de l’année.
Par exemple, le résultat pour une attaque logique du système informatique engendrant, faute de sauvegarde, une perte de 100 000 euros et dont la probabilité d’apparition est de 25 %, est de 25 000 euros (100 000 X 0,25).
On peut bien sûr pondérer ces éléments par les mesures de prévention mises en œuvre. Par exemple, l’installation d’un système de sauvegarde peut réduire les pertes de moitié, de même qu’une sensibilisation des utilisateurs permet de réduire la probabilité de déclenchement de l’attaque de 20%.
Lorsque ce type de calcul est effectué pour divers types de mesures de prévention, il est alors possible de choisir celle(s) qui sont les plus importantes et, de fait, les plus rentables.
Si l’exercice vous paraît quand même difficile, pour se convaincre que la sécurité et, surtout, la sauvegarde des informations stratégiques, reste un bon investissement, il suffit de lister les coûts qui faudra financer en cas d’incident entraînant la perte de données. Et la liste est longue :
– les coûts salariaux (honoraires d’experts, de conseil, heures supplémentaires),
– les coûts liés aux pertes de production,
– les coûts des matériels (remplacement des ordinateurs, remise en état des locaux),
– les coûts administratifs (gestion des dossiers d’assurances, frais d’investigation),
– les coûts commerciaux (pénalités de retard, pertes de parts de marché),
– les coûts juridiques (sanctions pénales, dommages et intérêts, responsabilité civile),
– les coûts sociaux (altération du climat social, élévation du turn over, baisse de productivité),
– les coûts de formation (des utilisateurs, des responsables sécurité),
– les coûts de mise à niveau des systèmes de sécurité (licences logicielles, matériels de sécurité),
– les coûts informatiques/applicatifs (reconstitution des données, mise à niveau des sauvegardes).
Une telle liste sera d’autant plus efficace qu’elle sera affichée en permanence dans le bureau du dirigeant d’entreprise !