Plus de dépenses, plus de violations : La vérité inconfortable sur le retour sur investissement de la cybersécurité

Marks and Spencer a prévu des centaines de millions de livres de bénéfices l'année dernière. Mais dans les rapports de fin d'année, ils n'en ont fait qu'une infime partie.  

Le bénéfice de M&S s'est évaporé parce qu'une attaque par ransomware a mis hors service les ventes en ligne pendant six semaines et perturbé la logistique pendant des mois. L'entreprise s'est vidée de sa substance en temps réel, tandis que les efforts de redressement avançaient à pas de tortue.

Ce chiffre est devenu un fil conducteur lorsque j'ai rencontré Andrew Rubin, PDG et fondateur d'Illumio, lors d'un récent épisode du podcast The Segment . Il met un chiffre concret et indéniable sur un sujet que le secteur a éludé pendant des années : pendant une décennie consécutive, les organisations ont dépensé plus pour la cybersécurité chaque année.  

Ils ont acheté plus d'outils et alloué plus de budget. Et les seuls chiffres qui ont augmenté plus rapidement que les investissements sont le nombre de violations, la taille de ces violations et le coût économique total de la destruction.

C'est le genre de modèle qui devrait susciter des questions difficiles dans toutes les salles de réunion. Pourtant, la plupart des conseils d'administration ne leur posent pas la question, du moins pas encore.

Selon Andrew, le modèle d'investissement dans la cybersécurité est défaillant. L'augmentation des dépenses consacrées à la cybernétique n'a fait qu'accroître le coût du problème des brèches.  

Tant que les responsables de la sécurité ne seront pas prêts à admettre le problème du retour sur investissement de la cybersécurité, le cycle se poursuivra. Le fossé entre les dépenses de sécurité et les résultats ne cesse de se creuser, et nous avons besoin d'un modèle fondamentalement différent.

ROI : des données que l'industrie cybernétique a discrètement ignorées

Andrew se décrit comme un adepte des mathématiques et des données, et les chiffres sont clairs.

Selon Gartner, les dépenses mondiales en matière de sécurité de l'information atteindront 193 milliards de dollars en 2024. Elle devrait atteindre 240 milliards de dollars en 2026. IDC prévoit que les dépenses mondiales en matière de sécurité atteindront 377 milliards de dollars d'ici 2028.

Dans le même temps, le rapport d'IBM sur le coût d'une atteinte à la protection des données a enregistré des augmentations annuelles des coûts moyens d'atteinte à la protection des données pendant la majeure partie de la décennie.  

Les dépenses en matière de cybersécurité ne font qu'augmenter. Entre-temps, le nombre de violations signalées continue d'augmenter. L'impact économique des cyberincidents sur l'économie mondiale se chiffre désormais en milliers de milliards par an.

Andrew a pris soin de préciser que cela ne signifie pas que tout ce que fait l'industrie est mauvais. Certains contrôles fonctionnent et certains investissements réduisent réellement la fréquence ou la gravité d'incidents qui seraient autrement plus graves.  

Mais si vous êtes un responsable de la sécurité et que, lors d'une présentation devant un conseil d'administration, l'un des membres de ce dernier analyse les chiffres et demande pourquoi une décennie d'investissements accélérés n'a pas permis d'infléchir la courbe des atteintes à la sécurité, il vous faut une meilleure réponse que "la situation serait pire sans cela".

En 2026, les régulateurs, les assureurs et les investisseurs étant plus que jamais attentifs aux résultats en matière de sécurité, le temps presse.

Pourquoi le modèle traditionnel d'investissement dans la sécurité est structurellement défaillant ?

Andrew a identifié trois réponses possibles à l'écart entre les dépenses et les résultats :

• Jeter tout le modèle et recommencer, ce qui, il l'admet, est probablement une réaction exagérée.
• Ajouter de nouvelles capacités, en reconnaissant que ce qui a fonctionné dans le passé est toujours nécessaire mais ne suffit plus.
• Modifier le modèle lui-même, en abandonnant les approches qui ne sont plus pertinentes et en en construisant de nouvelles à leur place.

Selon lui - et selon moi - la réponse est probablement une combinaison de la deuxième et de la troisième option.

Mais pour faire l'une ou l'autre de ces choses intelligemment, vous devez d'abord être honnête sur les raisons pour lesquelles le modèle actuel ne fonctionne pas. Il existe trois problèmes structurels qui sont rarement nommés directement.

Problème 1 : le secteur a mesuré l'activité au lieu des résultats

Pendant la majeure partie de la dernière décennie, les programmes de sécurité ont été évalués sur la base des intrants :  

• Combien d'outils sont déployés ?
• Combien d'alertes sont générées ?
• Combien de vulnérabilités sont corrigées ?
• Combien de sessions de formation ont été suivies ?

Il s'agit de mesures d'activité. Ils vous indiquent ce que fait la fonction de sécurité, mais ils ne vous disent pas si l'organisation est plus sûre.

La raison de cette persistance est en partie l'inertie et en partie le fait que les indicateurs de résultats sont plus difficiles à définir et à défendre.  

Comment prouver qu'une violation n'a pas eu lieu à cause de votre programme, mais parce que les attaquants ont choisi une autre cible ? En général, vous ne pouvez pas. Le secteur s'est donc contenté de mesurer ce qu'il pouvait mesurer plutôt que ce qui importait réellement.

Il en résulte une génération de responsables de la sécurité très doués pour montrer l'activité, mais beaucoup moins pour montrer l'impact. Et lorsque les budgets sont alloués sur la base de mesures d'activité, vous obtenez plus d'activité, mais pas nécessairement de meilleurs résultats.

Problème 2 : le modèle est construit autour de la prévention

Andrew a déclaré que le modèle de cybersécurité des 50 dernières années reposait sur l'arrêt des menaces. La promesse implicite de presque tous les produits de sécurité jamais vendus est une version ou une autre de "déployez ceci, et la mauvaise chose ne se produira pas".

Ce modèle avait un certain sens lorsque le coût de l'absence de violation était moins élevé et que la fréquence des attaques sophistiquées était gérable.  

Aujourd'hui, le coût de l'absence d'une brèche a considérablement augmenté. L'exemple de M&S en est l'illustration la plus claire. La violation a été l'incident, mais les mois hors ligne ont été la catastrophe.  

Un modèle de sécurité basé sur l'arrêt de tout n'a pas de plan pour le cas où quelque chose passerait à travers. Dans un contexte de menaces où les brèches sont statistiquement inévitables, un plan de résilience ne peut pas être envisagé après coup.

Problème 3 : la prolifération des outils a créé une complexité sans couverture

La grande entreprise moyenne utilise aujourd'hui entre 50 et 100 outils de sécurité. Chacun de ces outils a été acheté pour combler une lacune spécifique.  

Et pourtant, les écarts ne cessent de se creuser.

Plus d'outils ne signifie pas une meilleure couverture lorsque ces outils ne sont pas intégrés, que les signaux qu'ils génèrent ne peuvent pas être corrélés et que les équipes qui les utilisent n'ont pas la capacité d'agir sur chaque alerte qu'ils produisent.  

La prolifération des outils a, dans de nombreux cas, créé l'illusion d'une couverture complète. En réalité, cela a rendu l'environnement de sécurité plus difficile à gérer.  

Les attaquants se sont adaptés pour trouver les failles entre les outils. Les défenseurs étaient trop occupés à gérer l'extension des outils pour s'en rendre compte.

Comment quantifier les résultats en matière de sécurité dans le monde réel ?

La question qu'Andrew reçoit le plus souvent des RSSI concernant la démonstration de la valeur de la sécurité est la plus difficile du secteur : comment quantifier quelque chose qui ne s'est pas produit ?  

Vous ne pouvez pas invoquer une violation qui a été évitée parce que vous ne pouvez pas prouver qu'elle aurait eu lieu. Alors, comment construire un dossier quantitatif crédible pour l'investissement dans la sécurité ?

La réponse d'Andrew est qu'il faut cesser d'essayer de quantifier la prévention et commencer à quantifier la résilience. Voici des mesures concrètes pour y parvenir.

Mesurer le coût des incidents plutôt que leur absence

Lorsqu'un incident de sécurité se produit, et dans la plupart des organisations, il y en a, même s'il n'atteint pas le niveau de gravité d'une brèche, les données sont là.  

• Pendant combien de temps les systèmes ont-ils été hors service ?  
• Quel était le coût direct de la récupération ?  
• Quel a été l'impact du temps d'arrêt sur l'activité de l'entreprise ?  
• Quelle était l'exposition réglementaire ?  

Ces chiffres sont réels, mesurables et peuvent être projetés dans l'avenir.  

Si votre outil de segmentation réduit le rayon d'action d'un incident de 60%, il s'agit d'une réduction quantifiable des pertes attendues. Si votre capacité de détection et de réaction réduit le temps de confinement moyen de 48 heures à quatre heures, il s'agit d'une réduction quantifiable de l'impact sur l'entreprise.

Utiliser des critères de référence externes pour ancrer la conversation

Andrew a cité M&S comme étant exactement le type d'exemple public et quantifié que les conseils d'administration comprennent.  

Lorsqu'une organisation homologue perd des centaines de millions parce qu'elle est restée hors ligne pendant des mois, c'est votre point de repère. Montrez comment votre architecture aurait permis de transformer des mois en heures, et vous aurez un dossier qu'aucun conseil d'administration ne pourra rejeter.  

Constituez une bibliothèque de ces exemples. Les conseils d'administration réagissent beaucoup plus aux précédents concrets et applicables qu'aux cadres de risque abstraits.

Recadrer la conversation sur le retour sur investissement autour de la réduction des pertes attendues

Le langage de l'assurance est utile ici, car les conseils d'administration le comprennent déjà.  

Chaque organisation s'attend à une perte annuelle liée aux cyberincidents, une estimation basée sur la probabilité de violation, la fréquence des violations et le coût moyen des violations. L'investissement dans la sécurité doit être évalué en fonction de la réduction de cette perte annuelle attendue, par rapport à son coût.  

Il s'agit d'un cadre plus défendable que celui qui consiste à essayer de prouver un résultat négatif, et cela oblige à discuter des contrôles qui font réellement avancer l'aiguille de la perte attendue.  

Souvent, cette conversation révèle que certains des postes les plus importants du budget de la sécurité ne sont pas les plus efficaces.

Le temps presse pour l'ancien modèle

Une décennie d'augmentation des dépenses s'est traduite par une décennie de détérioration des résultats.  

À un moment donné, les personnes qui financent les programmes de sécurité vont se demander si le modèle lui-même n'est pas le problème. Et ce moment arrive plus vite que ce à quoi la plupart des responsables de la sécurité sont préparés.

Les RSSI qui veulent diriger ce moment, plutôt que d'être dirigés, doivent faire trois choses :

• Soyez honnête sur ce que le modèle actuel peut et ne peut pas apporter.
• Faire évoluer le cadre de mesure de l'activité vers les résultats et des mesures de prévention vers les mesures de résilience.
• Reconstruire le dialogue au sein du conseil d'administration autour de la réduction des pertes attendues et de la résilience démontrée, et non autour du nombre d'outils et des taux de réduction de la vulnérabilité.

Rien de tout cela n'est facile, mais c'est beaucoup plus facile que d'expliquer, après coup, pourquoi le modèle a échoué.

Les entreprises doivent s'attendre à tout moment à leur moment M&S. Les RSSI qui ont déjà changé la donne en matière de sécurité seront à la tête de la réponse lorsqu'elle arrivera.

Écoutez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou notre site web.