Habituellement, nous évaluons de tels problèmes en multipliant la probabilité d'occurrence par les dommages attendus, mais dans ce cas, nous sommes perdus en essayant de multiplier un nombre tendant à zéro par un nombre tendant à l'infini et de trouver une réponse cohérente.

Malheureusement, c'est ce que vous devez faire dans ce cas. Mais je ne pense pas que ce calcul soit vraiment aussi difficile que vous le prétendez.

Le risque peut être estimé en estimant d’abord combien d’entreprises font face à la même menace de sécurité et ne précautions nécessaires. Ensuite, vous parcourez les informations pour vérifier combien d'entreprises en sont affectées chaque année (plus une estimation éclairée du nombre d'entre elles qui ont réussi à empêcher le désordre de devenir public). Divisez le deuxième nombre par le premier, et vous avez un pourcentage de risque.

Vos dégâts ne tendent pas vers l'infini. L'événement qui se rapprocherait le plus des «dommages infinis» serait un effondrement de tout le continuum temps / espace de l'univers (et même c'est un événement où vous pourriez faire une estimation de fermi pour quantifier les dommages en dollars, si vous vous ennuyez et êtes intéressé par l'astrophysique). Les dommages les plus importants que vous pourriez causer de façon réaliste sont la faillite de votre entreprise. Peut-être que vous pourriez causer encore plus de dommages si vous tenez également compte des dommages causés à d'autres personnes. Mais lorsque votre entreprise fait faillite, elle ne peut pas payer ces dettes. Vous pouvez donc utiliser la valeur nette de l'entreprise comme limite supérieure de vos dommages attendus.

Un avertissement que cette réponse vient de la théorie, pas de l'expérience.

1. Y a-t-il des conséquences éthiques concernant l'impact du mauvais événement sur les autres? Cela nuira-t-il à vos utilisateurs? Pensez également aux employés de l'entreprise qui pourraient être blessés si elle est ruinée par une attaque. Si c'est le cas, vous pouvez penser que vous avez une obligation éthique d'atténuer.

2. Si vous atténuez l'attaque, votre entreprise peut-elle l'utiliser comme argument de vente ou comme avantage concurrentiel?

3. L'assurance peut ne pas fonctionner si les dommages portent atteinte à la réputation de votre entreprise; l'assurance ne peut pas vraiment vous aider à vous en remettre. Cela dépend de la forme que prend le dommage, peut-être que l'assurance est une bonne option.

4. Maximiser les résultats monétaires attendus n'est pas nécessairement un bon moyen de prendre des décisions, sauf dans les problèmes à faibles enjeux. Supposons que vous puissiez prendre un risque avec 99% de chances de mettre la société en faillite, mais 1% de chances de multiplier sa valeur nette par 200. «dans l'attente», vous doublez la valeur de l'entreprise, mais vous serez presque certainement sans emploi.

5. Au lieu de la valeur attendue, envisagez peut-être des objectifs tels que la survie à long terme de l'entreprise. Par exemple, selon les deux options (atténuer ou non), combien de temps prévoyez-vous que l'entreprise existe? (a) Si l'entreprise est en difficulté et qu'une augmentation de 8% de son budget est susceptible de la mettre en faillite, vous n'avez pas d'autre choix que d'ignorer le problème et d'espérer avoir de la chance. S'il survit à cette période et s'épanouit, vous pouvez investir à ce stade. (b) Si l'entreprise se porte bien, alors il semble qu'elle peut se permettre de jouer la sécurité. (c) Si quelque part au milieu, la décision de ce point de vue devient difficile.

6. Il semble peu probable que les supérieurs voudraient qu'une telle décision soit prise sans leur contribution ou leur contrôle ...

Vous devez prendre en compte le fait que votre équipe connaît ce vecteur d'attaque.

Si simplement connaître la vulnérabilité facilite l'exécution de l'attaque, vous pouvez avez un problème plus grave que vous ne le pensiez. (Par exemple, une porte dérobée difficile à trouver connue de votre équipe.)

Si tel est le cas, les membres de votre propre équipe sont en tête de la liste des adversaires dont il faut s'inquiéter, et la probabilité d'être attaqué peut être beaucoup plus élevé que si votre équipe ne le savait pas.

Les employés peuvent et deviennent souvent mécontents. Prenez cela en considération.

Vous bénéficiez d'une assurance qui couvrirait ce risque. Comme il s'agit d'une probabilité très faible, il est difficile de l'évaluer à votre place, donc au lieu de créer une assurance individuelle, vous essayez de la transformer en une assurance qui couvre des risques plus banals. En gros, vous vérifiez quelle assurance vous avez déjà ou dont vous avez probablement besoin serait la plus susceptible de la couvrir, et si ce n'est pas le cas, essayez de négocier un accord supplémentaire dans lequel elle serait couverte.

L'assurance consiste à convertir un risque récapitulatif inférieur (probabilité de l'événement multipliée par le coût monétaire de l'atténuation de l'événement) en un risque récapitulatif plus élevé (probabilité de 1 fois le coût monétaire de l'assurance) tout en convertissant un risque opérationnel plus élevé (probabilité de l'événement multipliée par les dommages ultimes de toutes les conséquences de l'occurrence pour l'entreprise) en un coût inférieur (coût monétaire de l'assurance).

Cela n'a de sens que pour le vendeur d'assurance et l'acheteur lorsque le dommage sans atténuation est supérieur au coût de l'atténuation, à savoir lorsque le dommage sans atténuation mettrait gravement en danger la poursuite des activités.

Vous avez choisi la bonne approche:

Habituellement, nous évaluons de tels problèmes en multipliant la probabilité d'occurrence par les dégâts attendus ...

et juste confronté à ses limites:

nous sommes perdus en essayant de multiplier un nombre tendant vers zéro par un nombre tendant vers l'infini

Je dirais que tu es face un risque inacceptable ( pourrait porter un coup dur aux opérations de l'entreprise et potentiellement ruiner toute l'entreprise ) avec une occurrence très faible.

Mon opinion est que vous êtes devant un décision stratégique. En tant que chef d'équipe, votre rôle est de transmettre le problème à votre patron, ainsi que ses éléments: que se passera-t-il si votre organisation subit cette attaque, combien d'attaques ont été observées ces dernières années, quelles sont les atténuations possibles de ces attaques et quel est leur coût. Lorsqu'il s'agit d'un risque important et d'un coût important, la décision appartient normalement au chef principal.

La première étape consiste à effectuer une analyse des risques quantitative appropriée. D'autres réponses ont déjà fourni des indications ici, je souhaite en particulier soutenir la mention de "Comment mesurer n'importe quoi dans le risque de cybersécurité", un livre brillant. Vous pouvez également vous tourner vers FAIR comme méthode quantitative.

Cependant, la gestion des risques ne commence ni ne se termine par l'analyse des risques. Surtout pour les risques «cygne noir», d'autres facteurs entrent en jeu. Vous les couvrez avec des appétits pour le risque et des critères de risque définis.

Votre entreprise doit définir son appétit pour le risque , qui stipule comment il se rapporte au risque (préfère être prudent et éviter les risques, préfère être plus agressif et accepter les risques, etc.). Cela pourrait définir que les risques au-delà d'un certain impact sont inacceptables même si leur vraisemblance ou leur fréquence est faible. En règle générale, les risques qui détruiraient certainement l'entreprise entrent dans cette catégorie.

Ce sont de bons candidats à atténuer via des assurances, si possible. Le «phénomène rare mais impact catastrophique» est le territoire d'origine des assurances.

La deuxième définition dont vous avez besoin est les critères de risque qui définissent les types de risques pour lesquels vous n'êtes pas disposé à accepter raisons éthiques, raisons de responsabilité légale ou autres. Par exemple, vous pouvez définir que le risque pour la vie humaine est inacceptable même si la quantification se situe dans la plage acceptable. Ou qu'une peine de prison potentielle pour les cadres de niveau C est inacceptable, quelle que soit la valeur du risque quantifiée.

Avec ces trois choses faites - analyse des risques, appétit pour le risque et critères de risque - vous devriez obtenir un résultat exploitable. Votre cygne noir sera soit inacceptable par l'appétit ou les définitions de critères, ou sinon c'est simplement un autre risque qui doit être traité comme un autre. L'analyse peut être particulièrement volatile en raison de la faible fréquence et de l'insécurité dans son estimation correcte, c'est là qu'une méthode quantitative appropriée qui peut prendre en compte a) une plage de valeurs et b) la confiance des estimations, entre en jeu et vous aidera. . (* voir ci-dessous)

Par exemple, dans l'analyse des risques que je fais habituellement, j'utilise une méthode de Monte Carlo et l'une de mes sorties est un nuage de points de tous les résultats du scénario. Tous les cygnes noirs apparaîtront comme des valeurs aberrantes individuelles (et rares), et je peux les identifier et les voir dans leur contexte.

En fin de compte, en particulier pour les risques à fort impact, vous préparez la décision . Une personne disposant de l'autorité appropriée prend la décision en fonction de vos informations, donc votre devoir est de leur donner une vue d'ensemble sans les surcharger d'informations non vitales pour la prise de décision.

Encore une remarque sur le traitement des risques . Vous pouvez regarder au-delà de l'analyse et vérifier les options de traitement possibles. Si vous pouvez identifier un traitement qui change radicalement l'une de vos valeurs d'entrée avec un petit effort, cela pourrait valoir la peine de le faire dans le but de rapprocher vos camps. Par exemple, s'il y a une mesure qui réduirait l'impact de la destruction catastrophique de l'entreprise à grave mais survivable, et que vous pouvez transformer votre cygne noir en un risque régulier à fort impact.

(*)

Étant donné que de nombreuses personnes n'ont jamais vu une analyse quantitative des risques appropriée, vous recherchez quelque chose qui ne prend pas une valeur comme entrée, mais une plage et un paramètre de forme. PERT est une méthode - vous identifiez la valeur raisonnablement probable la plus basse, la valeur raisonnablement probable la plus élevée et la valeur la plus probable. Aussi connu comme optimiste-réaliste-pessimiste. Une autre approche consiste à spécifier explicitement une valeur de confiance qui façonne votre courbe. Dans une distribution bêta, ce serait la valeur lambda.

Regardez Fair-U pour un exemple. J'aime assez la méthode FAIR, mais il y en a d'autres. N'acceptez pas moins qu'une approche quantitative appropriée (parfois appelée statistique) pour résoudre ces scénarios de risque plus délicats.

tl; dr: Lorsqu'il s'agit d'une vulnérabilité de sécurité, un impact suffisamment élevé signifie qu'elle doit être atténuée, quelle que soit la probabilité. En plus de cela, cette probabilité n'est pas statique, elle augmente constamment, peut-être radicalement.

Il y a un livre The Black Swan: The Impact of the Highly Improbable par Nassim Taleb qui tire la plupart de ses exemples de la finance, mais est un livre sur le problème auquel vous êtes confronté où

• L'événement est rare, au bord potentiellement de ne jamais se produire
• Si l'événement se produisait, l'impact serait grave

Le livre présente un argument philosophique approfondi sur les raisons pour lesquelles des outils d'évaluation des risques simples / courants tels que votre «multiplication de la probabilité par l'impact» sont mauvais adapté pour évaluer les risques posés par de tels cas extrêmes et conduire à une sous-évaluation du risque.

Taleb encourage la minimisation de l'exposition à des événements à fort impact négatif, même si la probabilité d'un événement est extrêmement faible, la bonne décision atténue une catastrophe potentielle.

J'aime les idées de Taleb, et je crois qu'il a également mentionné la cybersécurité et la façon dont les entreprises étaient sous-estimées le cyber-risque dans son addendum à ce livre, mais voici mon avis en tant que personne ayant au moins un intérêt passager pour la sécurité.

Si votre entreprise est vulnérable à une menace qui est activement exploitée dans la nature, le La probabilité que cette attaque soit lancée sur votre organisation augmente géométriquement avec le temps. Les attaques ne disparaissent pas, elles deviennent simplement plus sophistiquées et plus faciles à détecter et à automatiser. Ce qui nécessite aujourd'hui une réflexion et une manipulation pratiques de la part d'un pirate intelligent n'est qu'à quelques années d'être automatiquement détecté et exploité par un robot. Ce saut technologique pourrait se produire du jour au lendemain et vous serez pris en charge le lendemain.

Tout cela pour dire que contrairement à certains 0 jours uniques dans votre application, la probabilité d'attaque dans votre situation n'est pas un nombre fixe, elle augmente. De plus, cette probabilité ne va pas être quelque chose de croissant à un rythme régulier, elle peut et probablement faire des sauts et des limites rapides.

• En ce qui concerne les dommages éventuels, discutez avec des avocats qualifiés pour savoir qui pourrait être tenu responsable et comment. Le risque pour une entreprise en tant qu'entité commerciale peut être plafonné à la valeur nette de l'entreprise, mais il existe certains scénarios où les PDG ou même les employés pourraient être personnellement responsables en droit civil ou pénal s'ils auraient dû connu le problème. (En fonction de votre juridiction, bien sûr. Je pense aux violations des règles de confidentialité pour augmenter les bénéfices, par exemple.)
• Selon le nombre d'employés informatiques que vous avez et ce qu'ils font, l'embauche d'un autre employé pourrait augmentez considérablement le facteur bus de votre service. Vous n'avez pas expliqué à juste titre ce que vous faites dans un forum public, mais avoir un autre administrateur pourrait vous permettre d'introduire une règle de deux hommes sur plusieurs de vos procédures, ou de gérer les absences planifiées ou imprévues, et ainsi de suite. Il est donc peut-être incorrect de dire que gérer ce risque coûte 8% plus un employé. Ce serait plutôt pour 8% plus un employé, nous pouvons nous prémunir contre cela et de nombreux autres risques.

Voici l'affaire:

Si vous n'avez que vos propres données à protéger, faites ce que vous voulez, mais si vous avez des données d'une autre personne dans votre système qui pourraient être compromises, vous ferez l'une des suivant:

1. Protégez les données avec toute norme ou recommandation de l'industrie.
2. Informez vos clients / clients / produits que vous protégez les données qu'ils vous confient en ayant confiance que les attaquants n'attaqueront pas vos systèmes.

Avec ceci, vous arrivez à une conclusion simple: protégez vos systèmes de manière à pouvoir dire à vos clients / clients / produits comment vous êtes protéger leurs données sans qu'ils cessent d'être vos clients / clients / produits.

Moins que cela et vous êtes trompeur envers vos parties prenantes (cela peut être une surprise, mais oui, vos clients / clients / les produits dont vous stockez les données sont des parties prenantes de votre entreprise - même des personnes ordinaires -, en particulier en ce qui concerne la disponibilité de ces données pour les tiers qui t ces parties prenantes pourraient ne pas vouloir que cela se produise et vous êtes responsable de vous assurer que les données sont correctement protégées, de peur que vous leur disiez que vous utilisez des demi-mesures pour protéger leurs données lorsqu'elles les soumettent).

En outre à tout le reste: ne soyez pas aveuglé par des formules simples qui calculent vos chances d'être la cible d'une attaque; La cible d'une attaque n'est pas choisie au hasard parmi toutes les entreprises disponibles pour tenter une attaque (une analyse statistique naïve utiliserait cette liste pour créer le risque statistique d'être attaqué), mais finit par en être une (peut aussi être TOUTES) de la liste des entreprises vulnérables à l'attaque.

Cela peut créer l'illusion que vous n'avez pas à vous protéger parce que les chances d'être la cible sont si faibles, mais en réalité, vous vous placez simplement dans le groupe à risque des cibles vulnérables et vous ne pouvez pas le savoir. vos chances réelles d'être une cible car les entreprises n'annoncent pas exactement leur niveau de défense (pour des raisons évidentes). Si ce concept est difficile à comprendre, envisagez le scénario suivant: sur 100 entreprises, 1 entreprise est attaquée avec succès chaque année. À votre insu, 90 de ces entreprises utilisent de solides protections contre les attaques et les attaquants les laissent simplement tranquilles après avoir tenté de les attaquer. Presque toutes les attaques réussies sont contre les 10 entreprises restantes qui utilisent des demi-mesures. En tant que nouveau venu dans cette scène, vous examinerez les statistiques et déterminerez que vous n'avez pas besoin de protéger vos systèmes car il n'y a que 1/100 de chances que votre entreprise soit la cible d'une attaque, alors qu'en réalité vos changements sont de 0 si vous utilisez des protections solides et 1 sur 11 si vous utilisez des demi-mesures. Votre calcul interne du risque serait complètement nul.

TLDR; Vous ne pouvez pas appliquer une analyse statistique pour savoir si vous devez protéger vos systèmes ou non, car vous ne disposez pas de suffisamment d'informations pour le faire. Vous devez le faire de manière à ce que vous puissiez dire à vos parties prenantes (c'est-à-dire en vous assurant qu'elles le comprennent, sans leur cacher les informations) ce que vous faites pour protéger leurs données et qu'elles ne passeront pas à un autre fournisseur de services.

En tant qu'ingénieur ayant consacré beaucoup de temps à des travaux liés à la sécurité, vous voudrez probablement vous pencher sur FMEA. FMEA applique la méthode de «multiplication» que vous décrivez, mais elle regroupe des plages d'effets / probabilités / taux de détection avant de procéder à la multiplication. Ces plages sont bien définies, donc en supposant que vous ayez une idée de ces probabilités, vous pouvez obtenir un score RPN fiable du système.

Bien sûr, vous devez encore justifier de dépenser de l'argent! Mais au moins, vous avez formellement identifié vos risques.

Je vais vous donner une réponse complètement différente.

Je pense que vous évaluez cela complètement faux. Je ne sais pas comment vous avez trouvé un risque / une vulnérabilité nécessitant un coût monétaire et un ETP assez spécifiques (et très importants) à gérer, mais il semble que vous soyez vendu sur un outil spécifique pour `` résoudre '' un problème.

Si le coût de 8% provient de la connaissance du coût de la licence d'un outil, ou si l'ETP est tenu de gérer un outil (par exemple, "notre spécialiste EDR") ... je veux dire, il n'y a pas outil qui résoudra tout seul un risque.

Si le coût élevé vous retient, plutôt que de passer du temps à essayer de justifier le risque en exigeant les dépenses, pourquoi ne pas examiner la cause profonde et comment vous pouvez la résoudre avec une dépense moindre. EDR, DLP ... il n'y a pas de domaine de sécurité (ou de vulnérabilité) qui a une solution avec un coût.

L’industrie aborde la plupart des décisions d ’« investissement avec contrôle des risques »avec une« analyse quantitative »et les éléments suivants constituent la manière standard d’aborder cette analyse. Le tableau suivant illustre les matrices utilisées au cours de ce processus de prise de décision.

Voici juste un exemple pour montrer comment appliquez ces formules:

Supposons que votre entreprise vend des téléphones mobiles en ligne et ait subi de nombreuses attaques par déni de service (DoS). Votre entreprise réalise un bénéfice moyen de 30 000 $ par semaine, et une attaque DoS typique réduit les ventes de 50%. Vous subissez sept attaques DoS en moyenne par an. Un service d'atténuation DoS est disponible moyennant des frais d'abonnement de 15 000 $ / mois. Vous avez testé ce service et pensez qu'il atténuera les attaques. La question est de savoir si cela vaut la peine d'utiliser ce service et d'atténuer le risque ou d'accepter le risque et de ne rien faire?

Faisons l'analyse:

AV = 40 000 $

EF = 50%

SLE = AV * EF = 20 000 USD

ARO = 7

ALE = SLE * ARO = 140 000 USD

TCO (1 an) = abonnement DDoS * 12 mois = 180 000 $

ROI (1 an) = ALE - TCO = - 40 000 $ (négatif)

Puisque le ROI est négatif (-40 000 $ par an), vous pouvez recommander avec des faits sur une décision de ne pas investir sur l'atténuation des risques (dans ce cas l'abonnement Anti DDoS) et d'accepter le risque.

Remarque: Dans un scénario pratique, vous devrez peut-être évaluer cela avec les impacts d'autres valeurs (par exemple, les dommages à la réputation de la marque, etc.).

Référez-vous: https://resources.infosecinstitute.com/quantitative-risk-analysis/#gref

Par conséquent, sur votre cas si vous peut identifier l'AV, EF, ARO, etc., vous serez en mesure d'appuyer votre décision (au moins approximativement) avec f actes.

Même si pour une probabilité très faible (disons pour le risque de plancher ARO est de 0,001), l'impact pourrait être très élevé (10 000 000 $) et l'ALE serait considérablement élevé. Si votre coût de contrôle d'atténuation est inférieur à cela, vous pouvez poursuivre votre déploiement de contrôle d'atténuation avec des faits.

La simulation est une technique qui peut aider à construire des intuitions plus fortes sur des questions stratégiques où il y a une quantité importante d'incertitude.

Dans le contexte de la question, une façon simple de commencer est:

1. Choisissez un ensemble de délais distincts en fonction de l'agilité décisionnelle de l'organisation. Autrement dit, si l'organisation peut prendre des décisions sur ce problème sur des portées 3/6/12 mois, prévoyez d'exécuter des modèles pour chacun de ces délais.

2. Engagez-vous avec vos pairs pour collecter des données qui permettent de produire des données sur la probabilité d'occurrence dans un délai précis, le coût de l'atténuation, le coût de l'impact.

   L'une des autres réponses décrit un processus raisonnable pour ce faire: obtenir une liste de pairs, leur parler / étudier les actualités pour déterminer si / quand ils ont vu une attaque similaire et savoir ce qu'ils ont dépensé pour atténuer / éviter, ou combien ils ont dépensé pour la réponse et le coût de l'impact.

   Il y aura des problèmes inhérents avec ces données, mais ce n'est pas grave. La simulation aide à résoudre ces problèmes.

3. Pour chaque période, créez une feuille de calcul présentant:

   • une fourchette de coûts d'impact, du minimum au maximum, avec 90% de confiance ( IOW- l'expert a 90% de confiance que le coût de l'impact sera compris entre le minimum et le maximum)
   • probabilité d'occurrence de l'incident spécifique dans le délai

   Utilisez la des données collectées auprès de pairs pour produire une plage de probabilités et des plages de coûts d'impact, et choisir une probabilité et une plage spécifiques.

4. Avec ces données minimales saisies dans une feuille de calcul, utilisez la génération de nombres aléatoires pour produire 2 cellules supplémentaires:

   • le problème se produit-il réellement
   • s'il se produit, quel est son impact financier

5. Faire cette randomisation une fois est un essai. Recâbler la feuille de calcul afin de pouvoir exécuter 10 000 ou 100 000 essais, et collecter et représenter graphiquement tous les résultats de ces essais.

6. Répétez avec différentes probabilités et plages d'impact qui reflètent différentes interprétations des données collectées par les pairs, et répétez pour différentes périodes.

À un certain moment, il suffit de passer un appel, mais une simulation délibérée avec visualisation peut éclairer les hypothèses et les implications d'une manière que ne peut pas faire le tour continuellement de la salle en mode discussion.

Cette technique de simulation et bien d'autres techniques plus sophistiquées pour l'évaluation des risques dans compsec est couverte dans un excellent livre:

Comment mesurer n'importe quoi dans le risque de cybersécurité

https://www.amazon.com/How-Measure-Anything-Cybersecurity-Risk-ebook/dp/B01J4XYM16/ https://www.howtomeasureanything.com/ cybersécurité /

• N'avez-vous pas l'alternative de simplement (c'est-à-dire seulement) avoir un plan et un processus de récupération au cas où l'attaque en question se produirait - une sauvegarde, pour ainsi dire?

Cela dit votre formulation, il semble que vous puissiez subir une attaque de ce type sans même le savoir, à moins que vous ne dépensiez de l'argent juste pour pouvoir la détecter. … Alors peut-être que ce qui précède est un concept vide.

• Plus subjectivement, il semble que cela ait cette caractéristique standard (et incroyablement ennuyeuse) des décisions difficiles, étant que cela implique des inconnues. Si vous saviez X (dans ce cas, qu'une attaque se produirait / ne se produirait pas), vous feriez certainement Y (dans ce cas, dépenser beaucoup d'argent sur un compteur, ou pas). Parfois, il peut être utile de reconnaître que vous ne disposez vraiment pas des informations dont vous avez besoin pour indiquer dans quelle direction vous sautez; puis, vous lancez une pièce et sautez… au lieu de dépenser d'énormes quantités d'énergie à vous tordre les mains. (Dans les situations extrêmes, les êtres humains ont tendance à se comporter en partant du principe que l'éventualité sera ce qu'ils espéreraient, aussi improbable soit-elle.)

Il y a de la valeur, pour votre personnel, à simplement avoir un personne pour prendre la responsabilité de l'inconnu sombre.

Je voudrais faire un signe de tête à la réponse de Will Barnwell (et au Nassim Taleb cité). Cela signifie absolument aucune insulte à «l'argument philosophique étendu //»… ce ne sont pas nécessairement corrects. Le problème pour moi est qu'il est facile d'imaginer qu'il pourrait y avoir deux à trois de ces bestioles dans quelques années, ce qui signifie que le coût des contre-mesures passe de significatif à paralysant. Indépendamment… si l'on peut raisonnablement s'attendre à ce que le risque augmente, cela change les paramètres (donnés) de la décision.

D'un côté, nous avons le coût de l'attaque. Comme Philipp l'a observé, il y a un maximum fixé par la valeur de l'entreprise; il serait erroné de dépenser 10 millions de dollars pour reconstruire une entreprise qui ne vaut que 1 million de dollars. Malheureusement, cela ne tient pas compte du coût combiné pour les clients de l’entreprise. Alors qu'il n'est pas raisonnable pour une entreprise de 1 million de dollars d'évaluer un problème potentiel à plus que sa propre valeur, il reste vrai que la signification du problème pourrait facilement être (disons) de 50 millions de dollars.

De l'autre côté, il y a la taille du risque. Encore une fois, un comptable (pour ainsi dire) peut simplement découvrir combien d'entreprises sont vulnérables au type d'attaque en question, et combien d'entre elles ont été touchées au cours de chacune des dernières années, et en déduire directement une probabilité une entreprise frappée au cours d'une année donnée. Une version légèrement plus sophistiquée consisterait à faire une estimation du nombre de victimes et à réussir à garder le secret - si cela est raisonnablement possible. Une version encore plus sophistiquée déterminerait combien de ces entreprises valaient la peine d'attaquer… ce qui pourrait ou non inclure la question de savoir si elles ont pris ou non individuellement des contre-mesures… sauf que ce serait un secret… et est, selon toute vraisemblance, connu d'un attaquant.

Ensuite, il y a la possibilité que, d'un côté, une défense intelligente et bon marché devienne disponible et, de l'autre côté, que les attaquants soient plus ou moins motivés ou nombreux dans cinq ans, ou pourrait trouver une vulnérabilité dans un sous-ensemble des cibles possibles, et ainsi de suite. De plus, il se peut que certaines entreprises soient attaquées de telle ou telle manière et ne le savent pas (et certaines pourraient le découvrir après l'événement, si jamais).

De plus, il y a le risque cumulatif. Il est très bien de calculer le risque comme un chiffre annuel, si le risque est raisonnablement élevé et que la question est de savoir combien dépenser pour le prévenir et l'atténuer. Si, à l'inverse, l'effet est susceptible de retirer l'ensemble de l'entreprise, alors un chiffre annualisé est moins significatif.

Le PO a déclaré que ce type d'attaque est rare, mais se produit. La raison pour laquelle OP a posé une question sur ce site est qu'il n'est pas vrai que le risque soit extrêmement faible, et il n'est pas vrai que le risque soit suffisamment élevé pour être pris pour acquis.

Imaginons que l'entreprise décide de ne rien faire. Supposons, en outre, que cela soit objectivement raisonnable (pour un observateur idéal). S'il est atteint dans quelques années, le coût sera dévastateur non seulement pour l'entreprise, mais aussi pour beaucoup de ses clients (je suppose). Il y a un risque que cela ne soit pas insignifiant et peut-être pas insignifiant.

Imaginons, à l'inverse, que l'entreprise décide de dépenser des sommes importantes pour prévenir et atténuer cette attaque, et encore une fois que c'est raisonnable. S'il n'est pas touché, jamais, le coût (de la prévention) est significatif à très important. Il y avait un risque d'être attaqué, mais c'était très faible et l'argent ressemble beaucoup à une perte importante.

Enfin, il y a le possible quasi-catch-22 que les attaquants verront, et chercheront ailleurs, s'il y a des contre-mesures, et l'inverse.

Je pourrais également noter que recevoir un paiement d'assurance qui est (disons) égal à la valeur (comptable) de l'entreprise n'est pas apte à résoudre le problème si l'élément vital de l'entreprise - les données - est perdu ou autrement compromis.

Si nous reformulons légèrement le problème pour indiquer que si cela se produit (et il semble que cela se produise), vous serez sans emploi et atténuer ce problème signifie augmenter légèrement les dépenses informatiques des entreprises, alors je pense que le réponse devient un peu plus facile à trouver.

ie si je ne fais pas cela, et cela se produit, je serai sans emploi (peut-être avec une réputation en lambeaux). Si vous faites quelque chose à ce sujet, votre entreprise devra payer un peu plus d'argent.

Cela me semble un peu une évidence.