Comment s’en sortir : quantifier les risques de perte d’exploitation consécutive à des cyberattaques

Pourtant, les recherches démontrent que la plupart des sociétés n’ont toujours pas estimé les potentielles répercussions financières d’une perte d’exploitation consécutive à une cyberattaque.

Bien qu'il soit possible d'estimer les coûts d’une atteinte à la protection des renseignements personnels à partir des données historiques, il est plus difficile de prévoir les coûts d’une perte d’exploitation consécutive à une cyberattaque , puisque ces coûts dépendent de plusieurs éléments, incluant les détails de la cyberattaque, le modèle opérationnel de la société concernée et sa réaction face à l'attaque. Pour ce type d’incident, une analyse basée sur un scénario peut être utile en déterminant une base factuelle hypothétique et en calculant l’effet de coût résultant.

Lorsque vous utilisez une analyse basée sur un scénario pour quantifier les risques de perte d’exploitation, prenez en compte trois principaux éléments :

1. Estimation adéquate de la probabilité et des répercussions financières d’une perte d’exploitation consécutive à une cyberattaque

La description des cyberrisques correspond généralement à un risque élevé, moyen ou faible. Toutefois, cette approche ne peut guider adéquatement la prise de décision quant à la gestion des risques de perte d’exploitation. Un risque de perte d’exploitation consécutive à des cyberattaques devrait plutôt être exprimé quantitativement en termes de probabilité (dans un délai précis) et de gravité (en dollars). Les scénarios possibles de perte d’exploitation consécutive à des cyberattaques que vous déterminez doivent se situer à l’intérieur d’une plage de probabilités prédéfinie, basée sur les considérations liées à la gestion de risques. Par exemple, vous voudrez peut-être transférer les risques extrêmes dans la plage « 1 sur 100 et plus ». Connaître d'emblée cette probabilité  vous permettra de consacrer vos efforts à déterminer les scénarios les plus utiles à la gestion de risques.

2. Identification des options d’atténuation

Le risque de perte d’exploitation consécutive à des cyberattaques, s’il est correctement quantifié à l’aide d’un scénario réaliste et représentatif, peut servir à identifier des mesures d’atténuation envisageables. Pour les risques importants de perte d’exploitation consécutive à des cyberattaques, ces mesures d’atténuation pourraient inclure un changement des processus opérationnels, une restructuration de l’infrastructure des TI pour améliorer sa résilience, les capacités de la restaurer, ou encore pour renforcer les mesures de contrôle de la cybersécurité. En prévision de décisions potentiellement coûteuses, des estimations fiables de votre risque de perte d’exploitation consécutive à des cyberattaques sont nécessaires pour identifier les stratégies qui auront les meilleurs résultats.

3. Identification des options de transfert de risques

La perte d’exploitation est souvent sous-assurée, car peu de temps et d’efforts sont investis dans la quantification du risque avant la survenue de la perte. Toutefois, certains assureurs ont récemment mis en marché de nouveaux produits qui offrent une plus large garantie contre les risques de perte d’exploitation consécutive à des cyberattaques. De la longue expérience acquise en matière d’intégration de la garantie contre la perte d’exploitation non consécutive à des cyberattaques aux polices d’assurance de biens, il ressort que l’identification et la quantification du risque (et par conséquent, des limites nécessaires) sont essentielles. Développer une compréhension quantitative des risques de perte d’exploitation consécutive à des cyberattaques est donc la première étape pour élaborer des stratégies efficaces de transfert de risques. Pour optimiser vos investissements financiers dans la gestion des risques de perte d’exploitation consécutive à des cyberattaques, il est nécessaire que les décisions relatives à l'atténuation des risques et à leur transfert soient complémentaires et coordonnées .

Se concentrer à atteindre ces trois résultats clés aidera votre société à développer une stratégie efficace de gestion des risques de perte d’exploitation consécutive à des cyberattaques ainsi qu'une stratégie efficace de reprise et ainsi, à surmonter les défis que présentent des cyberattaques potentiellement désastreuses.