L'économie de la défense contre les cyber-menaces

RAND propose un modèle d'analyse des moteurs économiques et des défis de la cyber-défense.

L'année dernière, Juniper a sponsorisé une recherche menée par RAND Corporation visant à explorer un territoire encore inconnu : l'économie du cyber-marché noir. Dans la deuxième phase de cette recherche, RAND a une nouvelle fois obtenu des résultats révolutionnaires en associant une étude approfondie à un modèle heuristique qui aide les entreprises à identifier les moteurs économiques et les défis liés à la défense, dépassant la perspective informatique ou opérationnelle afin d'adopter un point de vue holistique sur les risques auxquels est soumise l'entreprise. Les résultats ont servi à faire émerger un cadre de travail pour les responsables de catégorie C et à promouvoir une approche mieux calculée des risques liés à la cyber-défense.

Face aux menaces en constante évolution, les entreprises doivent opérer un très grand nombre de choix au moment de concevoir leurs stratégies de sécurité. Le modèle heuristique de RAND explore les compromis qu'un directeur de la sécurité informatique est amené à accepter ainsi que les décisions qu'il doit prendre, et détaille les coûts à long terme impliqués par ces décisions pour l'entreprise. Grâce aux résultats obtenus par le modèle de RAND, les directeurs informatiques sont en mesure de comprendre comment différents moteurs tels que la vulnérabilité des logiciels, la demi-vie des outils technologiques et l'Internet des objets ont un impact sur les stratégies et les investissements de sécurité d'une entreprise. Ce modèle fournit également des informations exploitables que les entreprises doivent prendre en compte au moment d'évaluer leurs investissements et leur stratégie en matière de sécurité.

En identifiant les principaux facteurs et décisions qui influencent les coûts liés aux cyber-risques pour les entreprises, le modèle de RAND offre un aperçu économique plus complet de l'évolution de ces dépenses. Le modèle indique que le coût lié à la gestion des risques de cyber-sécurité devrait augmenter de 38 pour cent au cours des dix prochaines années dans toutes les entreprises.

Le principal enseignement à tirer des résultats de l'étude est le suivant : les technologies de sécurité sont amenées à se diviser en deux catégories. Certaines technologies auront un impact tactique à court terme, tandis que les autres auront un impact stratégique à long terme.

Le nouveau rapport RAND, intitulé « The Defender’s Dilemma: Charting a Course Toward Cybersecurity » (Le dilemme de la défense : la course à la cyber-sécurité), est basé sur des entretiens approfondis avec des directeurs de la sécurité informatique, ainsi que sur un examen complet des menaces existantes et émergentes. La deuxième phase de la recherche s'appuie sur le premier rapport de 2014 intitulé « Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar » (Les marchés des outils et des données volés de la cybercriminalité : le bazar des pirates), issu de la série d'études en deux parties menées par RAND et sponsorisées par Juniper. Le rapport de 2014 examinait les motivations économiques des pirates, ainsi que le marché noir souterrain créé pour soutenir leurs efforts.

Découvrez l'ensemble des résultats obtenus par RAND