Comment repenser le cyber-risque en termes d’exposition financière

De nombreuses organisations de soins de santé considèrent la cybersécurité comme un centre de coûts plutôt que comme un avantage concurrentiel.

Quantifier les cyber-risques en termes d’exposition financière aide les équipes de sécurité à justifier leurs dépenses et à démontrer que la sécurité est une entreprise essentielle à l’entreprise. Cette approche pousse les organisations à auditer les outils de sécurité existants, à hiérarchiser les menaces en fonction de leur impact financier potentiel et à mesurer le succès de l’exposition aux risques en termes de dollars plutôt que de mesures techniques.

Voici comment une analyse quantifiée des risques peut aider les responsables de la sécurité à identifier quels investissements réduisent considérablement l’exposition et lesquels ajoutent des coûts et de la complexité sans valeur réelle.

1. Identifier les principaux indicateurs de risque

La plupart des responsables de la sécurité se concentrent actuellement sur des indicateurs de performance clés, tels que le nombre d’e-mails bloqués ou de vulnérabilités corrigées. Mais ils ne communiquent pas les risques commerciaux d’une manière que les conseils d’administration et les dirigeants sont susceptibles de comprendre. Au lieu de cela, les responsables de la sécurité doivent convertir les KPI traditionnels en indicateurs de risque clés, ou KRI. Par exemple, plutôt que de déclarer un KPI de 300 vulnérabilités détectées, calculez un KRI de 2 millions de dollars d’exposition aux pertes potentielles dues à des vulnérabilités exploitables dans les systèmes générateurs de revenus. Avant même que les KRI ne génèrent une valeur commerciale mesurable, ils renforcent l’assurance que les risques les plus critiques sont suivis et traités.

2. Hiérarchiser les menaces en fonction de la vulnérabilité et de l’exposition

Les classements traditionnels de gravité des menaces mesurent essentiellement la gravité d’une vulnérabilité en termes techniques, c’est-à-dire la facilité avec laquelle elle peut être exploitée, le degré d’accès qu’elle accorde à un attaquant et l’étendue de son impact sur les systèmes. Une organisation peut avoir une vulnérabilité sur un système qui stocke les enregistrements de planification, et une autre sur un serveur qui traite les paiements pour son plus grand canal de revenus. Même si ces deux situations peuvent être qualifiées de « graves », elles créent des niveaux d’exposition financière très différents. Il est utile de considérer la priorisation des menaces en termes de coût d’opportunité. Si une organisation parvient à réduire de 10 % le risque lié à un actif de grande valeur, cela pourrait créer une valeur de 4 millions de dollars. Dans le même temps, la valeur d’une réduction du risque de 90 % pour un actif de faible valeur pourrait être bien moindre.

x_security_q325_animated_click_mobile_03

3. Auditer les outils de sécurité existants

Des années d’achats réactifs ont laissé de nombreuses organisations avec des piles de sécurité ad hoc qui ne reflètent pas le profil de risque réel de leur activité. Ce problème est particulièrement aigu pour les organisations qui connaissent des fusions et acquisitions importantes, qui peuvent facilement conduire à plusieurs instances du même outil de sécurité, sans aucune clarté sur son rôle ou son optimisation. En auditant leurs environnements existants, les dirigeants peuvent identifier et consolider les outils qui ne réduisent pas de manière significative les risques quantifiés les plus importants de leur organisation.

4. Réduisez le coût total de possession

Au-delà des frais de licence, les outils de sécurité comportent souvent des coûts cachés. Lorsque ces coûts ne sont pas clairement communiqués, des écarts dans les attentes peuvent apparaître et miner la confiance des dirigeants dans un programme de sécurité. Les dirigeants qui quantifient les risques créent une visibilité sur ces facteurs de coûts (et leurs impacts), et ils positionnent également leurs organisations pour consolider les capacités redondantes, redimensionner les engagements en matière de licences et réduire la charge de personnel associée au maintien d’une pile de sécurité surdimensionnée. Certains assureurs peuvent également proposer des primes inférieures à ceux qui ont démontré une quantification documentée des risques et pris des mesures concrètes pour réduire l’exposition financière.

Laurence Dutton/Getty Images

Laisser un commentaire