Cette année, le Forum économique mondial 2015 (WEF), qui s'est tenu à Davos du 21 au 24 janvier, a planché sur la cyber-résilience et la quantification des cybermenaces. Le rapport, intitulé « Partnering for Cyber Resilience Towards the Quantification of Cyber Threats » et réalisé avec l'aide du cabinet Deloitte, pourrait servir de cadre de travail pour aider les entreprises à estimer les risques résultants des cyberattaques.
Ce rapport, dont l'objectif est de fournir une méthode pour estimer le coût du cyber-risque pour les entreprises liste trois types d'évaluation : des vulnérabilités et des défenses de l'entreprise, du coût potentiel d'un piratage et d'un vol de données, et du profil de l'attaquant potentiel. Les experts en sécurité ont salué l'approche holistique adoptée par les auteurs de l'étude pour évaluer ce cyber risque. « Le choix de modèles probabilistes pour estimer les pertes pouvant résulter de ce type d'attaques va inciter les entreprises à trouver des solutions pour réduire au minimum l'impact des attaques et non à mettre sur pied des remparts plus ou moins efficaces pour protéger leurs réseaux », a déclaré Lance Cottrell, scientifique principal du cabinet de sécurité Ntrepid Corp. basé à Herndon (Virginie). Le rapport insiste aussi davantage sur la manière de gérer les conséquences de ces attaques quand elles se produisent. « Il est impossible d'empêcher toutes les attaques », a poursuivi Lance Cottrell. « Le cadre de travail proposé est basé sur la résilience et non sur la prévention. En cela, l'étude reflète une évolution majeure dans la façon de penser la sécurité ».
Les modalités envisagées intègrent également le calendrier sur la cybersécurité, tel que l'a défini le président Barack Obama, en particulier en ce qui concerne la sensibilisation aux attaques et le partage de l'information. « Avant le discours sur l'État de l'Union, la question était encore abordée de manière ambiguë », a déclaré Pete Metzger, vice-président et expert dans les pratiques en matière de cybersécurité au niveau mondial pour le cabinet de chasseur de têtes new-yorkais CTPartners. « Obama voudrait que ce sujet devienne prioritaire, mais il n'a pas défini de cadre ou donné de détails pour son application ». Selon Adam Kujawa, spécialiste en malware chez Malwarebytes, une entreprise de sécurité basée à San José, Californie, « si le cadre de travail préconisé par le Forum économique mondial est combiné avec la législation en matière de cybersécurité proposée par le président américain, cela pourrait avoir un gros impact, aux États-Unis en particulier ».
Un manque d'investissement sérieux dans la cybersécurité
En effet, « la plupart des entreprises n'investissent pas sérieusement dans la cybersécurité, car elles ont du mal à évaluer le risque, notamment financier, d'un piratage », a-t-il ajouté. « On ne peut jamais savoir quels moyens utiliseront les pirates pour cibler une entreprise, et comment protéger son réseau contre une telle attaque. Le nouveau cadre incite les entreprises à se mettre dans la peau des assaillants », a-t-il ajouté. L'étude accorde également plus d'importance à l'évaluation des risques dans la structure organisationnelle de l'entreprise. « Il oblige les dirigeants à s'emparer du problème », a commenté Kevin West, CEO de l'entreprise de sécurité K Logix LLC basée à Brookline, Massachusetts. « Elle ajoute aussi une composante business », a-t-il ajouté. Mais selon lui, il n'est pas possible d'appliquer cette méthodologie sans l'implication des dirigeants. « Ce n'est pas une approche tactique à un problème technique. C'est une approche stratégique qui prend en compte les préoccupations des entreprises ».
Ce rapport permet aussi au Forum économique mondial de désigner les défis à relever. Par exemple, les données historiques nécessaires pour estimer la probabilité des attaques que pourrait mener un type particulier d'assaillants dans certains segments de l'industrie sont insuffisantes. Pour combler cette lacune, le Forum appelle à un partage de l'information globale sur les cybermenaces. « Ce même manque de données freine également le développement d'un puissant marché de la cyberassurance », a déclaré Mike Lloyd, CTO de l'entreprise de sécurité RedSeal Inc. basée à Sunnyvale, Californie. Par exemple, les entreprises pourraient utiliser des bases de données comme celles de la National Vulnerability Database pour identifier les faiblesses de leurs systèmes de sécurité. « Red Seal propose ce type de service à ses clients.
Mais pour établir un lien entre les vulnérabilités et les pertes réelles chiffrées en dollars, il faut beaucoup plus de données que celles disponibles aujourd'hui », a-t-il ajouté. Un des problèmes est lié au fait que, même quand les entreprises ont contracté une cyberassurance, elles ne signalent pas tous les incidents aux assureurs, un peu comme l'automobiliste qui évite de rapporter un accrochage pour ne pas voir sa prime augmenter. « L'obligation de déclarer une violation comme le propose Barrack Obama pourrait contribuer à alimenter les tables actuarielles », a déclaré Mike Lloyd. « Actuellement, on peut seulement faire un diagnostic, mais on ne peut pas dire si le « patient » sera un peu ou très malade dans l'année ».
L'an dernier, le forum de Davos s'était intéressé aux implications pour les entreprises du monde hyperconnecté en s'appuyant cette fois sur un rapport du cabinet de conseil McKinsey intitulé « Risk and Responsibility in a Hyperconnected World ».