La rentabilité de la sécurité des SI : pipeau et clarinette

Dans la série éponyme, le D^r House part d’un postulat systématique à chaque épisode : tout le monde ment. Les patients, les collègues, l’administration, les confrères, les fournisseurs, absolument tout le monde va chercher à un moment donné à vous faire passer des vessies pour des lanternes, consciemment ou pas. Partir du principe qu’on a systématiquement en face de soi un arracheur de dents est une pratique saine du métier de RSSI (utilisée depuis plus de dix ans par votre serviteur, garantie et approuvée). Et quand j’ai commencé à entendre le son de la clarinette à serpent, je n’ai pas pu m’empêcher de demander comment il était arrivé à cette conclusion. Réponse : 250 jh au TJM de 1 000 euros, soit 250 000 euros, chiffre bien inférieur aux 2 % du budget annuel de mon CHU (on parle en millions), amende dont il devrait s’acquitter envers la Cnil en cas de non-conformité, emballez, c’est pesé. Sauf que c’est honteusement faux : qui s’est pris le max des 2 % dans la figure depuis 2018 ? Même Facebook et Google n’ont pas réussi à énerver la Cnil au point de se taper une amende de plus du dixième du max (4 % pour eux). Et encore on ne parle même pas de la probabilité d’un contrôle.

Il existe plusieurs raisons pour lesquelles la rentabilité (ou return on investment – ROI) de la SSI (qu’il s’agisse des aspects réglementaires ou techniques) est un non-sujet. La première est que la SSI est une assurance, et que l’assurance n’a pas de ROI. Qui serait assez crétin pour aller dire à son DG qu’il faut assurer le parc de véhicules de l’entreprise parce qu’il y a un ROI sur les assurances des véhicules ? Il n’y a aucun ROI, il faut le faire parce que c’est la loi. Qui prétendrait que faire la vidange ou changer les pneus est rentable ? Il n’y a aucun ROI, il faut le faire parce que sinon on risque de casser le moteur ou de partir dans un platane par temps de pluie, c’est tout. Couvrir un risque n’a aucun ROI.

La deuxième raison est que le seul à qui le risque rapporte (à part le consultant susnommé qui est tout de même reparti bredouille) est l’assureur, selon un principe conceptuellement simple : si le risque pour l’assuré est un black swan (probabilité infime, impact énorme), pour l’assureur, sur la masse des risques couverts et des clients assurés, les statistiques sont de son côté et la somme des remboursements est inférieure aux primes perçues (et heureusement d’ailleurs). Couvrir un risque est un métier.

Mais ceux qui sont encore persuadés qu’il faut « vendre » à son DG un ROI hypothétique pour sortir du board avec des budgets feraient mieux de s’interroger sur le point suivant : la différence entre le risque et le danger. Une activité risquée suppose des risques connus et quantifiés, des contre-mesures identifiées, des risques résiduels après traitement évaluables. Une activité dangereuse, a contrario, n’est absolument pas quantifiable. La voltige aérienne, la varappe, la plongée sous-marine sont des activités risquées, mais pas dangereuses. Envoyer des fusées habitées dans l’espace était, jusque dans les années 1980, une activité dangereuse. Une activité risquée est assurable, une activité dangereuse ne l’est (quasiment) pas.

Or la cyber est en train de passer du statut d’activité risquée à celui d’activité dangereuse, si l’on en croit la fuite massive des assureurs de ce champ d’activité, et le fait que ceux qui restent se recentrent sur du conseil ou des propositions d’assistance pendant le sinistre (un peu comme si l’assureur de votre maison refusait de vous rembourser en cas d’incendie, mais vous proposait juste d’envoyer des pompiers avec un beau camion tout rouge qui fait pin-pon quand les flammes feraient craquer la charpente).

Certes, ce n’est pas spécialement vendeur de dire à son DG qu’il faut mettre de plus en plus de pépettes, juste pour continuer d’utiliser le truc qui a déjà coûté une blinde (au fait j’ai un scoop : après Windows 11, il faudra migrer vers Windows 12). Mais la profession ferait mieux de s’interroger sur des thèmes plus urgents, à savoir éviter justement de passer du statut risqué au statut dangereux.

Bon, en même temps, on peut positiver : si j’en crois les news, bientôt les Russes vont être coupés d’Internet, et comme on nous bassine depuis des lustres que c’est de là-bas que viennent les attaques cyber, on ne sera plus attaqués du tout. J’ai bon ?