Arsgera - Fotolia
La cybersécurité, bien trop chère pour le risque ?
Les incidents de sécurité informatiques n’ont pas tous de vastes répercussions. Et leur coût serait en définitive trop limité pour réellement inciter aux investissements.
C’est un important pavé que Sasha Romanosky, de la RAND Corporation, vient de lancer dans la mare de l’industrie de la cybersécurité, depuis les colonnes du Journal of Cybersecurity de l’université d’Oxford. De fait, pour lui, les coûts induits par les incidents de sécurité apparaissent « relativement modestes » rapportés à d’autres pertes, comme celles générées par la fraude, la corruption ou encore les dettes toxiques, par exemple.
Le chercheur n’encourage pas les entreprises à réduire leurs investissements en cybersécurité. Il pose surtout la question des encouragements à investir pour améliorer sa posture de sécurité. Il replace d’ailleurs son étude dans le contexte spécifique des réglementations basées sur le volontariat des entreprises. En fait, pour lui, la motivation pourrait venir des assureurs.
Pas question pour Sasha Romanosky de nier le fait que l’occurrence d’incidents de sécurité va croissante, de même que celle de poursuites consécutives à de tels incidents. Les coûts associés sont donc appelés à croître.
Pour autant, selon lui, ces coûts apparaissent pour l’heure très supportables : pour la plupart des entreprises, ils ne dépasseraient pas les 200 000 $, « seulement une fraction des millions fréquemment cités ». Et d’estimer que les brèches de sécurité ne représentent en définitive qu’une perte de 0,4 % du chiffre d’affaires des entreprises. En somme, toutes les victimes ne sont pas Target.
Et dès lors, si certaines entreprises peuvent vouloir adopter une sécurité à l’état de l’art, beaucoup, sinon la plupart, « n’investissent que des montants modestes dans la protection des données », parce que « les pertes attendues sont relativement limitées ».
Sasha Romanosky relève en outre, s’appuyant sur une autre étude récente de la RAND Corporation, que si les consommateurs apprécient des réponses fermes aux incidents de sécurité, ils sont en définitive relativement peu à tourner le dos à une entreprise qui en aura été victime.
Autant d’éléments qui, pour le chercheur, n’encouragent pas à l’adoption de pratiques de sécurité rigoureuses. Selon lui, il apparaît « concevable que la principale motivation puisse venir de l’industrie de la cyberassurance, via l’utilisation de réductions sur les primes ».
Pour troublante qu’elle puisse paraître, l’analyse de Sasha Romanosky rappelle qu’en fait aucune entreprise ne fait de cybersécurité pour le seul plaisir de faire de la cybersécurité. Au point que la conformité réglementaire prend parfois le pas sur la gestion du risque dans certaines approches.
Force est en tout cas de constater que le monde de l’assurance s’est saisi du risque informatique depuis plusieurs années. Et si les dépenses en la matière sont appelées à croître rapidement, les assureurs n’ont pas l’intention de couvrir tout et n’importe quoi, et en tout cas pas la négligence.
En outre, l’industrie de l’assurance n’est pas la seule à faire pression sur les entreprises pour qu’elles renforcent leur posture de sécurité. Il faut aussi compter avec les agences de notation. Moody’s et Standard & Poor ont indiqué, l’an passé, que les menaces informatiques seraient appelées à être de plus en plus prises en compte dans les analyses de solvabilité.