Combien une PME doit-elle investir en cybersécurité ?
Oubliez la règle du pourcentage du budget informatique. Une façon pratique de dimensionner un budget sécurité de PME face au risque réel, et quels contrôles donnent le plus de réduction par euro.
La question de budget cybersécurité la plus fréquente, c'est « quel pourcentage de la dépense informatique doit aller à la sécurité », et c'est la mauvaise question.
La règle du pourcentage de l'informatique (vous entendrez de 5 % à 15 %) ne vous dit rien d'utile. Une entreprise avec des contrôles épouvantables et un gros budget informatique atteint la cible tout en restant grande ouverte. Une structure légère avec une bonne hygiène rate la cible tout en étant réellement plus sûre. Le pourcentage mesure l'entrée, et l'entrée n'est pas ce qui vous intéresse. Ce qui vous intéresse, c'est le risque retiré par euro dépensé, et c'est un calcul complètement différent.
Budgétez face au risque, pas face à la dépense informatique
Voici l'approche qui tient vraiment la route. Estimez d'abord votre perte annuelle attendue : pour chaque type d'incident qui peut vous faire mal (ransomware, violation de données, arrêt, fraude au virement, réglementaire), calculez le coût s'il survient et la probabilité par an, et additionnez. Ce total, c'est ce contre quoi vous vous défendez. Maintenant chaque contrôle que vous pourriez acheter a un travail mesurable : de combien il baisse cette perte attendue, et ce qu'il coûte par an.
Triez vos options par réduction par euro et achetez en descendant la liste. Continuez jusqu'à ce que le contrôle suivant coûte plus que le risque qu'il retire. Ce point, c'est votre budget. Pas un pourcentage. Un chiffre dérivé de votre exposition réelle.
Si ça compte, c'est que l'ordre est terriblement inégal. Les premiers contrôles retirent un risque énorme pour presque rien. Les suivants retirent un peu de risque pour beaucoup. Dépenser le même argent dans le mauvais ordre vous laisse à la fois plus pauvre et moins sûr, ce qui est l'état par défaut de pas mal de programmes de sécurité de PME qui ont acheté un outil sophistiqué avant d'activer la MFA.
Les contrôles qui méritent vraiment leur place
Le levier est concentré dans une poignée de choses peu glorieuses.
L'authentification multifacteur est le meilleur rendement en sécurité, point. Les données de Microsoft la créditent de bloquer l'écrasante majorité des attaques automatisées de compromission de compte, et les identifiants volés sont le point d'entrée d'une large part des fuites. C'est peu cher, souvent gratuit avec ce que vous payez déjà, et ça fait baisser d'un coup la fréquence du ransomware, de la fuite de données et du BEC. Si vous faites une chose, c'est celle-là. Utilisez des facteurs résistants à l'hameçonnage là où l'argent circule.
Les sauvegardes hors ligne ou immuables testées sont ce qui rend le ransomware survivable. Elles ne changent guère la fréquence à laquelle vous êtes touché, mais elles éviscèrent la sévérité, parce que vous restaurez au lieu de payer et vous êtes à l'arrêt des jours au lieu de semaines. Le mot testées fait un vrai travail là. Une sauvegarde non testée est un espoir, pas un contrôle.
Une règle de vérification hors bande pour les paiements et les changements de coordonnées bancaires ne coûte rien et stoppe la fraude au virement BEC qui est statistiquement la perte que la plupart des PME rencontreront réellement. C'est un processus, pas un produit, ce qui est exactement pourquoi les gens le sautent.
L'EDR (détection et réponse sur les postes) attrape et contient les intrusions plus tôt, abaissant à la fois la fréquence à laquelle un incident devient sérieux et sa gravité quand il le devient. Ça coûte de l'argent réel, mais pour la plupart des PME c'est justifié une fois passé le gratuit.
Un plan de réponse à incident écrit et répété est l'un des plus gros réducteurs de coût dans les données de fuite d'IBM, et c'est surtout une après-midi de réflexion plus une liste de numéros. Savoir qui appeler et quoi faire dans la première heure fait la différence entre un événement contenu et un événement qui s'étale.
Remarquez ce qui n'est pas sur cette liste : les plateformes coûteuses et fortement commercialisées que les prestataires mettent en avant. Elles ont leur place, bien plus tard, après les bases. Les acheter en premier est l'erreur classique.
Où s'arrêter, et quoi faire du reste
Dépenser plus n'achète pas plus de sécurité de façon monotone. Passé un point, les contrôles coûtent plus que le risque qu'ils retirent, et un budget rationnel s'arrête là plutôt que de courir après un état de risque nul qui n'existe pas. Le risque résiduel qui reste, la queue à faible probabilité et fort coût que vous ne pouvez pas économiquement supprimer par l'ingénierie, c'est ce que vous transférez à un assureur cyber. Les contrôles gèrent le fréquent. L'assurance gère la rare catastrophe. Essayer de faire faire aux contrôles le travail de l'assureur, c'est comme ça qu'on dépense trop.
Une réserve à dire franchement : les maths de la perte attendue sont bâties sur des moyennes, et une petite entreprise peut quand même être détruite par un seul événement improbable. Donc dimensionnez le budget de contrôles face à la perte attendue, mais servez-vous du pire cas pour décider combien d'assurance porter par-dessus. Des outils différents pour des parties différentes de la distribution.
Obtenez un chiffre que vous pouvez défendre
Le but de tout ça, c'est d'entrer dans une discussion de budget avec un chiffre qui vient de votre propre risque, pas d'un benchmark publié par quelqu'un. Le calculateur fait tourner le modèle de perte attendue pour votre secteur, taille, chiffre d'affaires et contrôles actuels, et vous montre ce que chaque contrôle fait au total, ce qui est exactement la vue réduction-par-euro dont vous avez besoin pour prioriser. La méthodologie source chaque chiffre pour que vous puissiez le contester.
Arrêtez de demander quel pourcentage dépenser. Calculez ce que vous risquez de perdre, puis achetez la réduction de risque la moins chère d'abord et arrêtez quand elle cesse de payer.