CSO vs CEO : Les différences de point de vue sur la sécurité des données, partie III : la VaR (Value at Risk) expliquée aux CSO

VaR

Cet Article fait partie de la série “CSO vs CEO : Les différences de point de vue sur la sécurité des données”. Consultez les autres articles liés ici.

Pour convaincre les CEO et les CFO d’investir dans des logiciels de sécurité des données, les CSO doivent parler leur langage. Comme j’ai commencé à l’évoquer dans mon précédent billet, les dirigeants d’entreprise passent une partie de leur temps à envisager divers scénarios, en attribuant une probabilité à chaque situation. On peut dire que les dirigeants sont bons au poker et qu’ils connaissent toutes les probabilités associées à la main qu’ils ont obtenue pour leur entreprise.

Pour qu’ils puissent les convaincre, les CSO doivent comprendre le langage du risque et des probabilités. C’est trop espérer de la part de dirigeants non informaticiens d’apprécier, par exemple, des rapports opérationnels sur les résultats d’analyses de vulnérabilité ou sur le nombre de bots bloqués chaque mois. S’ils sont définitivement utiles aux informaticiens, les cadres dirigeants s’intéressent eux à des chiffres beaucoup plus basiques.

Ils voudront par exemple qu’on réponde à la question suivante : pouvez-vous me dire quelles sont les risques qu’une faille de sécurité ou une cyberattaque, susceptible de coûter plus de 10 millions de dollars, survienne dans les 10 ans à venir ? Une fois que les CEO obtiennent ce chiffre, ils peuvent évaluer différentes options pour contrebalancer le risque et garder leur entreprise sur les rails.

Je suspecte que la plupart des départements informatiques, à l’exception de ceux des plus grandes entreprises pour lesquelles la planification officielle d’une catastrophe est inscrite dans l’ADN, auraient beaucoup de mal à fournir ne serait-ce qu’une estimation grossière de ce risque.

Dans ce billet, je vais vous guider pour réaliser un calcul approximatif qui vous permettra de répondre à cette question. Mon approche est basée sur le modèle d’analyse du risque de l’Institut FAIR. L’idée centrale est que vous pouvez affecter des chiffres aux risques de cybersécurité en utilisant les sources de données disponibles, à la fois internes et externes. En d’autres termes, vous n’êtes pas obligé d’évoluer en aveugle dans l’environnement actuel des cybermenaces.

FAIR (et également d’autres approches) décompose de façon efficace le coût d’un violation de données en deux composants : la sévérité ou l’ampleur d’une incident isolé et la fréquence à laquelle se produisent ces cyberattaques dans un intervalle de temps donné. Simple, n’est-ce pas ?

VaR

L’approche FAIR en image : (fréquence des pertes) x (ampleur des pertes) = perte moyenne.

Si vous pensez que vous pouvez multiplier les moyennes distinctes de chaque grandeur — fréquence et ampleur — pour obtenir une moyenne annuelle du coût des cyberattaques, vous êtes dans le vrai (avec quelques réserves). L’avantage du modèle FAIR est qu’il vous permet d’aller aussi loin que vous voulez, en fonction de vos ressources, et d’obtenir des informations plus granulaires allant au-delà des moyennes générales.

Je dois ajouter que FAIR ne réinvente pas la roue du risque. Ce modèle a plutôt systématisé des techniques utilisées notamment par les banques et compagnies d’assurance. Cela fait longtemps que celles-ci ont à gérer les catastrophes, les crises financières et les calamités naturelles, et elles savent quelle somme il faut mettre de côté pour faire face aux mauvais jours.

Maîtriser les pertes de données : quelle est l’ampleur du risque ?

Dans le dernier billet, j’ai utilisé deux années de rapports de violations de données HIPAA pour dériver ce que j’ai appelé une courbe d’excédent de sinistre. C’est une façon élégante de dire que je connais les centiles (ou quantiles pour parler risque) pour divers coûts liés à la cybersécurité. Dans ce billet, j’ai réarrangé la courbe pour la rendre un peu plus intuitive, et vous pouvez la découvrir dans ce graphique :

VaR

Nous avons enfin les idées plus claires pour répondre à la question que le CEO d’une société d’assurance maladie pourrait nous poser : jusqu’à quel point cela pourrait-il aller mal ?

Réponse : cela pourrait aller très mal !

Les 10 % des fuites de données de santé les plus coûteuses font très mal, et cela démarre à 8 millions de dollars par attaque. Fichtre !

Il est également intéressant d’analyser le « poids » ou coût moyen des derniers 10 % de cette courbe de gravité. Comme nous le verrons bientôt, il s’agit d’une distribution régie par la loi de Pareto dont j’ai déjà discuté ici.

J’ai effectué un calcul rapide en utilisant les données HIPPA : les 10 % supérieurs (ou 90ème centile) des incidents, représentant moins de 30 points de données, pèsent pour 65 % du coût total de l’ensemble des incidents ! Avec les courbes à queue lourde, nous devons nous intéresser aux extrêmes (la queue) car c’est ici que l’on retrouve tout le sel de la chose.

Pour faire une analyse plus sophistiquée allant dans le sens du modèle de FAIR, il faudrait prendre cette distribution de gravité des pertes et la fusionner à la fois avec des données internes sur les pertes (si disponibles) et avec un profil de risque basé, peut-être, sur une enquête réalisée par des experts en sécurité de l’entreprise.

Naturellement, il serait très utile de réaliser une évaluation des risques liés aux données afin de découvrir la quantité de données sensibles disséminées dans vos systèmes de fichiers, ainsi que les permissions qui leur sont associées. Ces résultats seraient intégrés aux formules de calcul du risque.

Il existe des méthodes mathématiques pour combiner tous ces éléments en les pondérant de diverses manières. Vous pouvez en apprendre plus à ce sujet dans cette présentation RSA de Doug Hubbard, ou dans ce livre : How to Measure Anything In Cybersecurity Risk.

Taux d’incidents dans le secteur de la santé et moyenne finale

Pour nos besoins, nous allons considérer que les rapports sur les données HIPAA constituent une bonne représentation de l’ampleur du coût des violations de données pour notre société d’assurance maladie.

Occupons-nous maintenant du composant suivant. Pour la fréquence ou le taux de survenue des incidents, vous voudrez peut-être vous appuyer davantage sur vos propres données internes. Il existe également des ensembles de données externes. Par exemple, le centre Identity Theft Resource Center suit les incidents de sécurité en les classant par secteurs d’activité, et les chiffres qu’ils donnent dans le secteur de la santé peuvent vous guider dans votre approximation.

Supposons, à titre d’exemple, que notre assureur ait enregistré un incident de cybersécurité majeur tous les quatre ans, soit un taux moyen de « 0,25 incident » par an.

Roulements de tambour…  Je multiplie le taux d’incident moyen, soit 0,25, par un coût de 4,2 millions de dollars (tiré de la courbe ci-dessus), ce qui nous donne une perte annuelle moyenne d’environ un million de dollars.

Ce chiffre pourrait faire sourciller les CSO et CEO de notre hypothétique société d’assurance santé. Nous sommes confrontés à des données à queue lourde, et même si cette société n’a peut-être pas (encore) subi une perte de 4 millions de dollars pour un incident, cette moyenne montre son degré de gravité possible. Et ce chiffre peut aider les dirigeants à déterminer le montant de l’investissement nécessaire pour atténuer les risques en matière de sécurité, acquérir des logiciels, former le personnel, etc.

VaR

Avec deux paramètres, alpha et bêta, vous pouvez vous lancer dans la prévision du coût des incidents de sécurité.

Pour aller un peu plus loin, j’ai utilisé un logiciel de statistiques — merci EasyFit ! — afin de confronter mes courbes. Pour ajuster les données, j’ai utilisé une distribution de loi de puissance appelée Pareto-2.

Même si leur logiciel propose d’autres distributions à queue lourde facilitant les ajustements, il s’avère que celle-ci fournit une très bonne approximation de la queue, et c’est bien ce qui nous intéresse. Comme nous le verrons bientôt, cette fonction nous aidera à déterminer plus précisément l’ampleur potentielle du problème.

Vers la VaR (Value at Risk)

Je viens de vous faire faire un tour rapide du premier niveau de l’approche FAIR. Le chiffre moyen auquel nous sommes parvenus, connu dans les affaires sous le terme de AAL (pertes moyennes annuelles), est une bonne base pour comprendre les risques de cybersécurité.

Comme je l’ai suggéré plus haut, le CEO et (surtout) le CFO exigent des informations plus précises. Cela nous amène à la VaR, ou Value at Risk, une formule enseignée dans les écoles de commerce et que les financiers et les banquiers utilisent pour leurs propres estimations du risque.

Si, comme moi, vous avez lu « statistics for poets », vous reconnaîtrez immédiatement que la VaR est la formule à 90 % ou 95 % de confiance pour les courbes normales. En général, les CFO préfèrent évaluer le niveau de confiance à 99 % — les écarts-types standard de 2,3 par rapport à la moyenne — ou l’événement se produisant « une fois par siècle ».

Pourquoi ?

Ils envisagent les situations extrêmes ! Vous pouvez considérer que les CFO sont confrontés au problème suivant : combien mettre de côté pour faire face à l’équivalent d’une tornade ou d’un ouragan cybernétique, et la VaR est bien adaptée pour cela.

En utilisant mon logiciel de statistiques, j’ai mis au point une formule VaR à 90 %, soit un événement tous les dix ans, pour ma distribution à queue lourde non normale : elle calcule une VaR de 8,2 millions de dollars, ce qui est proche des données HIPAA réelles que l’on trouve à la marque 10 % dans le graphique précédent. Bon travail, EasyFit !

L’avantage d’avoir une formule VaR, que j’étudierai de façon plus approfondie la prochaine fois, c’est qu’elle nous permet d’extrapoler : nous pouvons répondre à des questions qui vont au-delà de ce que nous disent les données.

Par exemple : à quoi puis-je m’attendre en termes de coûts d’incidents de cybersécurité sur une période de 10 ans en supposant une moyenne de, par exemple, trois incidents au cours de cette période ? Je ne vais pas vous tenir plus longtemps en haleine : la formule VaR à 90 % nous indique que ce coût s’élève à environ 19 millions de dollars, moins de 3 fois le coût moyen d’un événement de cybersécurité isolé.

C’est terminé pour aujourd’hui !

Dans mon prochain billet, je reviendrai sur certains de ces éléments et j’emballerai le tout dans un beau paquet. Et nous découvrirons d’autres détails effrayants sur ces terribles courbes de perte à queue lourde.