La survie de l'entreprise est cruciale. Elle est soumise à des menaces à sa réputation, notamment des attaques internes et externes, des vols, des pertes, l'utilisation de politiques de sécurité insuffisantes, la fraude, etc., pouvant entraîner des usurpations d'identité. Par exemple, LulzSec a publié des identifiants et mots de passe volés à Sony lors de cyberattaques. De nombreuses entreprises et institutions subissent également des représailles de la part d'anciens employés ou de membres du personnel mécontents, voire hostiles, de leurs supérieurs. Enfin, les entreprises sont tenues de se conformer à la législation, notamment aux lois et réglementations en vigueur telles que la LOPD-RMS (Loi organique sur la protection des données – Règlement relatif aux mesures de sécurité pour la protection contre le vol d'informations personnelles identifiables), la norme PCI-DSSv2 (pour les transactions électroniques), la loi HIPAA, la GLBA, la loi SOX (loi Sarbanes-Oxley sur l'indépendance des auditeurs), etc. Certaines entreprises préfèrent payer des amendes plutôt que de mettre en œuvre correctement les exigences techniques nécessaires à leur conformité. Ces négligences peuvent impacter les tiers (partenaires commerciaux) qui, eux, respectent la législation et la réglementation. (2) Économie souterraine.
Selon le rapport Symantec Norton de 2011, la cybercriminalité organisée coûte plus cher que le trafic de drogue. Les réseaux de zombies comme Zeus, qui combinent spam et phishing, peuvent générer jusqu'à 9,4 millions de dollars (Clusif-2011). Parmi les autres domaines figurent la pornographie et la cybercriminalité, où, en 2011, le nombre de victimes dans le monde s'élevait à 431 millions, générant 114 milliards de dollars de revenus (Symantec-2011). (3) Cyberguerre. Cela inclut les attaques contre les infrastructures critiques et les installations industrielles. Par exemple, le ver Stuxnet, une menace industrielle ciblant les installations nucléaires iraniennes ; l'attaque chinoise présumée contre les fichiers du G20 à Paris (BBC-2011) ; et l'attaque contre DigiNotar par Black Spook et des pirates informatiques iraniens, au cours de laquelle plus de 200 certificats illégitimes ont été extraits des autorités de certification de DigiNotar (F-Secure-2011). (4) Hackers activistes. Ce sont des individus membres de groupes de protestation spécifiques. Ils peuvent être considérés comme dangereux car certaines de leurs actions peuvent constituer des cybercrimes, et les gouvernements craignent leur désobéissance civile. On peut citer, par exemple : Wikileaks (qui souhaite savoir et divulgue des informations aux médias), le groupe Anonymous qui défend des actes qu’il juge injustes en menant des attaques DDoS contre des sites tels que PayPal, Amazon, Visa/Mastercard (Opération Payback), Twitter, le gouvernement tunisien (contre la censure), le gouvernement américain (en faveur de la loi SOPA), et le groupe LulzSec (qui attaque le site web de la CIA par DDoS et vole des mots de passe à Sony (par injection SQL), Nintendo, X-Factor, etc.).
Faisabilité économique.
Une approche applicable à toute mise en œuvre de mesures et de contrôles de protection de l'information consiste à évaluer sa faisabilité économique. Cette évaluation débute par l'analyse de la valeur des actifs informationnels à protéger et des pertes potentielles en cas de compromission de leur sécurité et de leur confidentialité. Il est évident que toute entreprise ou organisation doit investir davantage dans la protection de ses actifs les plus précieux. Le processus formel, appelé analyse coûts-avantages (ACA), permet le calcul quantitatif de la faisabilité économique. Parmi les éléments influençant le coût d'un contrôle ou d'une mesure de protection, on peut citer : (i) les coûts de développement ou d'acquisition ; (ii) les frais de formation ; (iii) les coûts de mise en œuvre ; (iv) les coûts de service ; (v) les coûts de maintenance et de mise à niveau. Le bénéfice correspond à la valeur ajoutée que l'entreprise retire de l'utilisation des contrôles pour prévenir les pertes liées à une vulnérabilité ou une menace spécifique. Cette valeur est généralement déterminée en évaluant l'ensemble des actifs informationnels exposés au risque, puis en déterminant leur valeur en cas de risque. L'évaluation des actifs consiste à attribuer une valeur financière à chaque actif informationnel. L'évaluation des actifs consiste à estimer les coûts réels et perçus associés à la conception, au développement, à l'installation, à la maintenance, à la protection, à la récupération et à la défense contre les pertes de marché pour chaque ensemble d'actifs informationnels et les systèmes qui y sont liés. L'évaluation des actifs comporte de nombreux éléments. Une fois la valeur des différents actifs estimée, on examine le potentiel de perte dû à l'exposition à des vulnérabilités ou à la survenue de menaces. Ce processus génère une estimation de la perte potentielle par risque. Les questions clés à ce stade sont les suivantes : Quels dommages pourraient survenir et quel serait leur impact financier ? Quel serait le coût de la récupération après une attaque, en plus des coûts mentionnés précédemment ? Quelle est la perte attendue unique (SLE) pour chaque risque ? La valeur attendue d'une perte, ou ALE (Perte attendue annualisée), peut être calculée comme suit : ALE = SLE x ARO, c'est-à-dire le produit de la SLE par l'ARO (Taux d'occurrence annualisé), où la SLE peut être obtenue comme suit : SLE = Valeur de l'actif x EF, c'est-à-dire en multipliant la valeur de l'actif par l'EF (Facteur d'exposition). L'ARO (fréquence annuelle d'occurrence d'un type d'attaque spécifique) est estimée. Le SLE (perte la plus probable) correspond au calcul de la perte la plus probable liée à une attaque. L'EF (perte la plus probable) représente le pourcentage de perte qui surviendrait si une vulnérabilité donnée était exploitée (même si elle est dissimulée ; par exemple, un numéro de port obscur pourrait permettre un accès furtif à un serveur ou laisser un mode débogage actif dans une application pour un accès clandestin ; la solution consiste à réaliser un audit de code). L'analyse coûts-avantages (ACA) permet de déterminer si la solution de sécurité évaluée est rentable au regard du coût associé à la maîtrise de la vulnérabilité existante. La faisabilité économique, également appelée bénéfice net annualisé (ANB) ou ACA, se calcule à partir de l'ALE (perte annuelle attendue) en soustrayant l'ALE après de l'ALE avant et de l'ACS (perte annuelle attendue), soit : ANB = ACA = (ALE avant – ALE après – ACS), où l'ALE avant représente l'ALE du risque avant la mise en œuvre du système de contrôle ou de protection. L'ALE après représente l'ALE calculée une fois le système de contrôle ou de protection installé pendant une certaine période. Le coût annuel de la protection (ACS) se calcule comme suit : ACS = ((Coût de la protection / Durée de vie) + Coût annuel de maintenance), c'est-à-dire en ajoutant le coût annuel de maintenance au quotient du coût de la protection divisé par la durée de vie. Si le NAB est positif, la protection évaluée est rentable ; s'il est négatif, elle ne l'est pas.
Étant donné un serveur web e-commerce principal (d'une valeur de 6 000 €), sa sécurité peut être compromise, le rendant indisponible. Si le risque d'incident (EF) est estimé à 75 %, le coût de l'incident de sécurité (SLE) est de 4 500 € (6 000 € x 0,75). Autrement dit, il s'agit du coût d'une indisponibilité du site web. La fréquence d'occurrence annuelle (ARO) est estimée à trois fois par an (en fonction des vulnérabilités et menaces connues et documentées pour ce type de serveur). Le coût total estimé (ALE) est alors le produit du SLE et de l'ARO, soit 13 500 €.
Une autre alternative à l'analyse coûts-avantages (qui utilise la valeur financière des actifs informationnels) est l'analyse comparative (ou benchmarking), qui consiste à examiner des entreprises ou des institutions professionnelles similaires du point de vue de leur modèle économique et de leur niveau de protection afin de déterminer leurs pratiques en matière de protection des actifs. Lors d'une analyse comparative, une entreprise doit utiliser deux types de mesures : (i) des mesures métriques, qui sont des comparaisons basées sur des normes numériques ; (ii) des mesures de processus, qui examinent les activités menées pour atteindre un objectif plutôt que les détails de la manière dont cet objectif a été atteint.
Catégories de menaces. Taux de progression. Exposition au risque.
Voici quelques catégories de menaces : (1) Attaques DoS/DDoS. (2) Intrusion dans le système (par exemple, exploitation de vulnérabilités de bases de données par injection SQL). (3) Sabotage des données. (4) Vol ou fuite d’informations relatives à la propriété intellectuelle ou industrielle (par le biais de logiciels espions, d’exploitation de vulnérabilités DNS ou d’empoisonnement du cache ARP). (5) Accès non autorisé par des entités internes. (6) Logiciels malveillants, virus, vers, chevaux de Troie, spam, pharming, phishing, enregistreurs de frappe et composeurs automatiques. (7) Écoute passive (renifleur) et active (attaque de l’homme du milieu). (8) Utilisation abusive des ressources (incompétence involontaire ou malveillante). (9) Catastrophes naturelles (séisme, inondation, etc.) ou d’origine humaine (attentat à la bombe, incendie criminel). (10) Défaillance accidentelle ou intentionnelle de l’électricité, du matériel, du réseau, etc.
Considérons l'entreprise NZPQ, qui présente actuellement une probabilité de 60 % de subir un incident de sécurité de catégorie A (utilisation abusive) et une probabilité de 30 % de subir un incident de catégorie B. Déterminez le pourcentage d'exposition au risque si aucune mesure de protection ou d'atténuation des risques n'est mise en œuvre. Dans ce cas, le risque de base pour la catégorie A est de 60 % et celui pour la catégorie B est de 30 %. La marge de sécurité s'obtient donc en multipliant (1 - 60 %) par (1 - 30 %), ce qui équivaut à 28 %. Ainsi, l'exposition au risque en l'absence de mesures de sécurité s'obtient en soustrayant (1 - marge de sécurité), soit 72 %. Supposons que l'entreprise mette en œuvre des mesures pour atténuer les incidents de catégories A et B ; déterminez l'exposition au risque qui en résulte. Supposons que la solution de sécurité pour atténuer les incidents de type A soit très efficace, avec un taux de contournement de 5 % (le taux de contournement d'une solution de sécurité correspond à la probabilité qu'une attaque cause un dommage réel à l'entreprise ; autrement dit, la probabilité qu'une attaque contourne ou pénètre la solution de sécurité, causant ainsi un préjudice à l'institution/entreprise. Chaque solution de sécurité possède un taux de contournement pour chaque type d'incident ; un taux de 100 % signifie que la solution de sécurité ne bloque aucun incident de ce type). En revanche, la solution de sécurité pour atténuer les incidents de type B est moins efficace, avec un taux de contournement de 70 %. Nous commençons par calculer le risque résiduel pour les incidents de type A, en multipliant le risque de base de 60 % par le taux de contournement de 5 %, ce qui donne 3 %. Nous calculons ensuite le risque résiduel pour les incidents de type B, en multipliant le risque de base de 30 % par le taux de contournement de 70 %, ce qui donne 21 %. La marge de sécurité sera le produit de : (1 – 3 %) × (1 – 21 %), soit 77 %. Par conséquent, l’exposition au risque sera de : (1 – 77 %) ce qui donne 23 %.
Prenons l'exemple de la société NZPQ, qui subit une perte de 50 000 € pour chaque incident de sécurité de catégorie A, dix incidents de ce type se produisant chaque année. De même, la société subit une perte de 100 000 € pour chaque incident de sécurité de catégorie B, deux incidents de ce type se produisant chaque année. La perte annuelle pour les incidents de catégorie A s'élève donc à 500 000 € (50 000 € x 10), et celle pour les incidents de catégorie B à 200 000 € (100 000 € x 2). Le coût de base pour les incidents de catégorie A est obtenu en multipliant la perte annuelle (500 000 €) par le risque de base (60 %), ce qui donne 300 000 €. Le coût résiduel pour les incidents de catégorie A est obtenu en multipliant la perte annuelle (500 000 €) par le risque résiduel (3 %), ce qui donne 15 000 €. Le coût de base pour les incidents de catégorie B est obtenu en multipliant la perte annuelle (200 000 €) par le risque de base (30 %), ce qui donne 60 000 €. Le coût résiduel pour les incidents de catégorie B est obtenu en multipliant la perte annuelle (200 000 €) par le risque résiduel (21 %), ce qui donne 42 000 €.
Le bénéfice tangible lié à la réduction des incidents de catégorie A se calcule en soustrayant le coût résiduel de ces incidents (15 000 €) de leur coût de base (300 000 €), soit 285 000 €. Le bénéfice tangible lié à la réduction des incidents de catégorie B se calcule en soustrayant le coût résiduel de ces incidents (42 000 €) de leur coût de base (60 000 €), soit 18 000 €. Si l'entreprise reçoit une prime de 50 000 € d'une association pour la mise en place d'une protection contre les incidents de catégorie A, le bénéfice intangible lié à la réduction de ces incidents s'élève à 50 000 €. Le bénéfice intangible lié à la réduction des incidents de catégorie B est nul. Dans ce cas, les avantages totaux sont obtenus en additionnant les avantages tangibles et intangibles pour toutes les catégories d'incidents, c'est-à-dire : 285 000 + 18 000 + 50 000 + 0 = 353 000 euros.
Considérations finales.
Notre groupe de recherche travaille depuis plus de quinze ans sur l’analyse de faisabilité économique liée au déploiement et à la mise en œuvre de mécanismes, de services et d’écosystèmes de protection de la sécurité de l’information dans divers secteurs de la société, notamment les entreprises, l’informatique et les réseaux.
Cet article s’inscrit dans le cadre des activités menées au sein du réseau thématique LEFIS.
Bibliographie
- Areitio, J. « Sécurité de l’information : réseaux, informatique et systèmes d’information ». Cengage Learning-Paraninfo. 2012.
- Areitio, J. « Évolution des menaces et tendances en matière de sécurité des réseaux dans le contexte du Web ». Conectrónica Magazine. N° 142. Novembre
- Areitio, J. « Identification et analyse de la protection des applications Web ». Conectrónica Magazine. N° 143. Janvier 2011.
- Schneier, B. « Économie de la sécurité et de la confidentialité de l’information ». Springer. 2011.
- Nicastro, FM « Gestion des correctifs de sécurité ». CRC Press. 2011.
- Norman, TL « Analyse des risques et sélection des contre-mesures de sécurité ». CRC Press. 2009.
Auteur:
Prof. Dr. Javier Areitio Bertolín – E.Mail :
Professeur à la Faculté d'ingénierie. ESIDE.
Directeur du groupe de recherche sur les réseaux et les systèmes. Université de Deusto.
Pour plus d'informations ou un devis, veuillez nous contacter.
