CSO vs CEO : Les différences de point de vue sur la sécurité des données, partie II : risque d’intrusion, investissement dans la sécurité et mode de pensée d’un titulaire de MBA

CSO

Cet Article fait partie de la série “CSO vs CEO : Les différences de point de vue sur la sécurité des données”. Consultez les autres articles liés ici.

Dans mon dernier billet, j’ai évoqué les différences culturelles entre les CEO et les CSO. Un de ces deux groupes gère et développe l’entreprise. Il utilise des feuilles de calcul pour élaborer des stratégies mettant en jeu divers scénarios destinés à gagner de l’argent. L’autre groupe s’efforce de faire fonctionner de façon continue l’infrastructure informatique et étudie les diagrammes de réseau tout en mettant au point des scripts PowerShell. Je suppose que vous savez qui est qui.

L’objectif de cette série est de combler le fossé entre ces deux clans. Dans ce billet, je vais donner des conseils sur la façon dont les CSO et les CIO peuvent s’y prendre pour convaincre leurs chefs suprêmes, les CFO et les CEO, d’investir dans des logiciels de sécurité des données. La première étape consiste à mieux comprendre comment les CEO travaillent.

Un MBA instantané pour les CSO

Le problème culturel commence à l’école de commerce. Il ne fait aucun doute que de nombreux CSO et de CIO détiennent un MBA, mais la plupart d’entre eux sont trop occupés à tenter de maîtriser les dernières techniques de test d’intrusion ou à se former pour leur prochaine certification en informatique.

Je peux néanmoins permettre aux CSO de s’épargner deux ans d’études et des centaines de milliers de dollars de frais de scolarité. J’ai brièvement parcouru le programme type d’un MBA et je peux affirmer tout haut la chose suivante : tout ce que vous avez besoin de connaître sur la pensée des virtuoses de la gestion peut tenir en un exemple simple.

Supposons, comme cela se fait dans une école de commerce classique, que vous avez 500 000 dollars à investir. Si vous placez la totalité sur un compte d’épargne, vous pouvez gagner sans risque 1 %, soit 5000 dollars. Mais vous pouvez aussi prendre des participations de 10 000 dollars dans des startups technologiques. Dans cet exemple, vous avez une chance sur vingt, soit 5 %, d’encaisser 400 000 dollars lors du prochain tour de financement de chacune de ces startups.

Quelle est la meilleure option ?

Les étudiants en MBA abordent ces concepts dans le cadre de la loi des grands nombres, et ils calculent sans effort le retour moyen sur cet investissement. Ils savent que sur le long terme ils sortiront gagnants en investissant dans ces startups, mais que sur le court terme ils risquent d’être exposés aux vents cruels de la Fortune (et à la faillite du joueur).

En investissant dans ces 50 startups, vous avez donc 72 % de chances de remporter deux victoires ou plus, et d’encaisser au moins 800 000 dollars. D’un autre côté, dans 28 % des cas, vous risquez de perdre la totalité de vos 500 000 dollars. Mais en fin de compte les gains couvriront les pertes et vous apporteront un profit ; vous devriez en effet récupérer un million de dollars, pour un profit de 500 000 dollars.

Mais quel rapport avec le fait de convaincre les dirigeants d’investir dans des logiciels de protection des données ?

Supposons que votre CEO utilise une feuille de calcul — et croyez-moi, il le fait ! — calculant les recettes et les dépenses prévues pour les prochaines années. Naturellement, il a associé certains poids ou probabilités à différents scénarios et calculé un gain moyen pour chacun d’entre eux.

Et voici de mauvaises nouvelles pour les CIO et les CSO. Alors que les rapports, graphiques et statistiques informatiques classiques sont indispensables pour évaluer l’état de sécurité des entreprises, ils ne présentent a priori pas d’intérêt pour les CEO. Si vous leur montrez un graphique horaire montrant le nombre de bots sondant les ports de votre réseau, vous obtiendrez un « et alors ? ».

Avant d’investir dans un nouveau logiciel de sécurité des données, un CEO veut savoir en quoi ce logiciel va modifier les projections réalisées dans sa feuille de calcul.

Pour convaincre les autres cadres dirigeants et/ou le conseil d’administration, le CSO devra prouver qu’un incident de sécurité peut se produire avec une probabilité non négligeable et provoquer d’importantes pertes impliquant des frais de justice, des amendes pour non-conformité, des procès en recours collectif et une désaffection de la clientèle. Il devra ensuite expliquer comment, en protégeant l’entreprise contre ces failles et en permettant de réaliser les plans d’affaires, ce logiciel sera finalement rentabilisé.

Violations des données et risque

En matière de prise de décision, ce type de problème n’a rien d’exceptionnel. Il se peut que certains des outils d’aide et des idées que je vais aborder plus loin soient nouveaux pour les CIO, mais ils peuvent facilement être maîtrisés et utilisés par toute personne ayant déjà effectué une modélisation, aussi simple soit-elle.

Tout d’abord, permettez-moi d’applaudir l’Institut Cyentia et de décerner une médaille d’or à l’Institut FAIR. Comme je l’ai fait, vous pouvez essayer de trouver seul des réponses à ces questions, mais FAIR propose une méthodologie systématique pour produire une analyse qui conviendra à tout CEO.

Pour les sceptiques qui pensent que tout cela n’est que suppositions et fantasmes mathématiques, il faut préciser qu’il existe plus d’ensembles de données réels qu’on ne pourrait penser à première vue, et que les méthodologies que je vais aborder sont plus précises que la seule intuition.

L’approche de FAIR vous oblige à examiner deux points : l’ampleur ou le coût d’une violation de données, et la fréquence à laquelle se produisent ces attaques. À partir de là, vous pouvez réaliser une estimation raisonnable du coût moyen de ces fuites sur une période donnée.

Examinons la première partie, le coût d’une fuite de données. En réalité, cela ne se réduit pas à un simple chiffre ! C’est une distribution de pourcentages — disons par exemple que 10 % des failles coûtent mois de 10 000 dollars, 15 % coûtent 30 000 dollars ou moins, etc. Cette distribution des pertes est connue sous le joli nom de probabilités d’excédent de sinistre. Dans la réalité, les compagnies d’assurance produisent ces tableaux de distribution pour élaborer leurs polices voiture ou domicile et mutualiser les risques.

Pouvez-vous estimer une probabilité d’excédent de sinistre pour votre propre situation ?

Vous pourriez devoir faire quelques recherches et peut-être élaborer un modèle de base. Cependant, en particulier pour les fuites de données de santé, nous avons l’embarras du choix grâce à la loi HIPAA !

J’ai pu obtenir les données des rapports de violations publiés au cours des deux dernières dans le cadre du HIPAA et calculer les pertes en fonction de la formule de régression du coût des fuites élaborée par Jay Jacob. La distribution des pertes est effectuée en classant les coûts du plus petit au plus grand et en calculant les pourcentages. Mon approche ne correspond pas tout à fait à un véritable excédent de sinistre, mais nous en reparlerons la prochaine fois.

CSO - Distribution des pertes de 2016 à 2018, basée sur environ 300 points de données. (Source : HIPAA)

Distribution des pertes de 2016 à 2018, basée sur environ 300 points de données. (Source : HIPAA)

Il est bon de pondérer ce qui précède, et de remarquer comment les incidents se regroupent à la base alors que la queue comporte moins d’incidents mais qui sont bien plus considérables : plusieurs dizaines de millions de dollars, l’un d’entre eux pesant plus de 100 millions de dollars.

Pour vérifier mon jeu de données, j’ai estimé à environ 4,2 millions de dollars le coût moyen d’une fuite de données de santé. Ce montant correspond aux chiffres estimés par Ponemon — dont vous pouvez consulter par vous-même le rapport 2018. Je peux poursuivre l’analyse de cette courbe, mais soufflons un peu.

En bref, si vous êtes un hôpital ou un assureur et que vous êtes victime d’une fuite de données, vous avez réellement une petite chance de vous ramasser complètement !

C’est exactement le type d’informations que le CEO d’un hôpital serait intéressé d’apprendre ! Mais pour obtenir une réponse plus pragmatique, vous devrez d’abord faire une estimation approximative du risque que votre organisation subisse une faille.

Nous reviendrons là-dessus la prochaine fois, puis nous essaierons d’élaborer un argument plus complet pour convaincre les CEO et conseils d’administration de soutenir l’achat de logiciels de protection des données.

Si vous voulez emporter des devoirs à la maison, étudiez les présentations RSA d’Evan Wheeler, qui sont à la fois instructives et étrangement apaisantes. Il s’agit d’un vaste domaine comportant un grand nombre de variables et d’inconnues, mais Evan utilise la méthodologie FAIR pour diviser le problème en portions plus digestes. Bravo, Evan !