• N'avez-vous pas l'alternative de simplement (c'est-à-dire seulement) avoir un plan et un processus de récupération au cas où l'attaque en question se produirait - une sauvegarde, pour ainsi dire?
Cela dit votre formulation, il semble que vous puissiez subir une attaque de ce type sans même le savoir, à moins que vous ne dépensiez de l'argent juste pour pouvoir la détecter. … Alors peut-être que ce qui précède est un concept vide.
• Plus subjectivement, il semble que cela ait cette caractéristique standard (et incroyablement ennuyeuse) des décisions difficiles, étant que cela implique des inconnues. Si vous saviez X (dans ce cas, qu'une attaque se produirait / ne se produirait pas), vous feriez certainement Y (dans ce cas, dépenser beaucoup d'argent sur un compteur, ou pas). Parfois, il peut être utile de reconnaître que vous ne disposez vraiment pas des informations dont vous avez besoin pour indiquer dans quelle direction vous sautez; puis, vous lancez une pièce et sautez… au lieu de dépenser d'énormes quantités d'énergie à vous tordre les mains. (Dans les situations extrêmes, les êtres humains ont tendance à se comporter en partant du principe que l'éventualité sera ce qu'ils espéreraient, aussi improbable soit-elle.)
Il y a de la valeur, pour votre personnel, à simplement avoir un personne pour prendre la responsabilité de l'inconnu sombre.
Je voudrais faire un signe de tête à la réponse de Will Barnwell (et au Nassim Taleb cité). Cela signifie absolument aucune insulte à «l'argument philosophique étendu //»… ce ne sont pas nécessairement corrects. Le problème pour moi est qu'il est facile d'imaginer qu'il pourrait y avoir deux à trois de ces bestioles dans quelques années, ce qui signifie que le coût des contre-mesures passe de significatif à paralysant. Indépendamment… si l'on peut raisonnablement s'attendre à ce que le risque augmente, cela change les paramètres (donnés) de la décision.
D'un côté, nous avons le coût de l'attaque. Comme Philipp l'a observé, il y a un maximum fixé par la valeur de l'entreprise; il serait erroné de dépenser 10 millions de dollars pour reconstruire une entreprise qui ne vaut que 1 million de dollars. Malheureusement, cela ne tient pas compte du coût combiné pour les clients de l’entreprise. Alors qu'il n'est pas raisonnable pour une entreprise de 1 million de dollars d'évaluer un problème potentiel à plus que sa propre valeur, il reste vrai que la signification du problème pourrait facilement être (disons) de 50 millions de dollars.
De l'autre côté, il y a la taille du risque. Encore une fois, un comptable (pour ainsi dire) peut simplement découvrir combien d'entreprises sont vulnérables au type d'attaque en question, et combien d'entre elles ont été touchées au cours de chacune des dernières années, et en déduire directement une probabilité une entreprise frappée au cours d'une année donnée. Une version légèrement plus sophistiquée consisterait à faire une estimation du nombre de victimes et à réussir à garder le secret - si cela est raisonnablement possible. Une version encore plus sophistiquée déterminerait combien de ces entreprises valaient la peine d'attaquer… ce qui pourrait ou non inclure la question de savoir si elles ont pris ou non individuellement des contre-mesures… sauf que ce serait un secret… et est, selon toute vraisemblance, connu d'un attaquant.
Ensuite, il y a la possibilité que, d'un côté, une défense intelligente et bon marché devienne disponible et, de l'autre côté, que les attaquants soient plus ou moins motivés ou nombreux dans cinq ans, ou pourrait trouver une vulnérabilité dans un sous-ensemble des cibles possibles, et ainsi de suite. De plus, il se peut que certaines entreprises soient attaquées de telle ou telle manière et ne le savent pas (et certaines pourraient le découvrir après l'événement, si jamais).
De plus, il y a le risque cumulatif. Il est très bien de calculer le risque comme un chiffre annuel, si le risque est raisonnablement élevé et que la question est de savoir combien dépenser pour le prévenir et l'atténuer. Si, à l'inverse, l'effet est susceptible de retirer l'ensemble de l'entreprise, alors un chiffre annualisé est moins significatif.
Le PO a déclaré que ce type d'attaque est rare, mais se produit. La raison pour laquelle OP a posé une question sur ce site est qu'il n'est pas vrai que le risque soit extrêmement faible, et il n'est pas vrai que le risque soit suffisamment élevé pour être pris pour acquis.
Imaginons que l'entreprise décide de ne rien faire. Supposons, en outre, que cela soit objectivement raisonnable (pour un observateur idéal). S'il est atteint dans quelques années, le coût sera dévastateur non seulement pour l'entreprise, mais aussi pour beaucoup de ses clients (je suppose). Il y a un risque que cela ne soit pas insignifiant et peut-être pas insignifiant.
Imaginons, à l'inverse, que l'entreprise décide de dépenser des sommes importantes pour prévenir et atténuer cette attaque, et encore une fois que c'est raisonnable. S'il n'est pas touché, jamais, le coût (de la prévention) est significatif à très important. Il y avait un risque d'être attaqué, mais c'était très faible et l'argent ressemble beaucoup à une perte importante.
Enfin, il y a le possible quasi-catch-22 que les attaquants verront, et chercheront ailleurs, s'il y a des contre-mesures, et l'inverse.
Je pourrais également noter que recevoir un paiement d'assurance qui est (disons) égal à la valeur (comptable) de l'entreprise n'est pas apte à résoudre le problème si l'élément vital de l'entreprise - les données - est perdu ou autrement compromis.