- British Airways (2018) : l\'investissement en sécurité des systèmes de paiement réalisé après la violation a coûté plusieurs fois ce qu\'aurait coûté l\'audit de sécurité préalable qui aurait identifié la vulnérabilité — la logique préventive est économiquement supérieure dans la grande majorité des cas.
- Le coût de la résilience préventive est certain et programmable ; le coût de la remédiation post-incident est incertain, imprévisible et amplifié par la pression de la crise qui empêche toute négociation.
- Les investissements de résilience préventive bénéficient d\'effets d\'accumulation : chaque test améliore les plans, chaque formation renforce les équipes, chaque audit identifie des lacunes à corriger avant qu\'elles ne se manifestent.
- La résilience post-incident est construite sous des contraintes d\'urgence et de pression médiatique qui dégradent sa qualité et augmentent ses coûts — les décisions prises en crise sont rarement optimales.
- Les régulateurs accordent une présomption favorable aux organisations qui ont investi dans la résilience préventive — la démonstration d\'un programme structuré est un facteur de réduction des sanctions significatif.
- La cyberassurance est complémentaire de la résilience préventive, pas substituable — les assureurs vérifient de plus en plus le niveau de préparation avant de souscrire et conditionnent leurs primes à la qualité du programme.
La résilience construite après un incident est toujours plus coûteuse, moins efficace et construite dans de moins bonnes conditions que la résilience construite avant. Cette asymétrie est connue et documentée, mais elle n\'est pas toujours intégrée dans les arbitrages budgétaires des organisations. Le résultat est une allocation sous-optimale des ressources : trop peu investi en prévention, beaucoup investi en remédiation, pour un niveau de résilience globale inférieur à ce qu\'aurait produit l\'investissement préventif.
La logique préventive n\'est pas intuitive dans un contexte budgétaire contraint. Investir pour éviter un incident qui ne s\'est pas encore produit est toujours en compétition avec des besoins opérationnels immédiats dont la valeur est tangible et visible. La direction générale doit être équipée des arguments — économiques, réglementaires et stratégiques — qui permettent de faire prévaloir la logique préventive dans les arbitrages.
L\'économie de la résilience préventive
L\'économie de la résilience préventive repose sur trois comparaisons. La première est le coût de la prévention versus le coût de la remédiation : identifier et corriger une vulnérabilité avant qu\'elle soit exploitée coûte en moyenne dix à cent fois moins cher que de gérer un incident résultant de cette vulnérabilité. Cette différence résulte de la pression de la crise, des coûts de communication et de gestion juridique, et des investissements de remédiation obligatoires imposés par les régulateurs.
La deuxième comparaison est le coût de l\'assurance versus le coût de l\'incident non couvert. Les polices d\'assurance cyber ont des plafonds et des exclusions — les organisations qui n\'ont pas réalisé l\'évaluation de leur couverture réelle découvrent parfois lors d\'un sinistre que leur police ne couvre pas les coûts les plus significatifs. La résilience préventive réduit la probabilité et l\'ampleur des incidents, ce qui réduit directement le risque de dépassement des plafonds de couverture.
L\'histoire d\'Uber sur deux incidents illustre le coût de la résilience post-incident versus la résilience préventive. En 2016, Uber a payé 100 000 dollars à des hackers qui avaient exfiltré des données — une décision prise pour éviter la communication publique de l\'incident. En 2022, un second incident majeur a révélé que la gouvernance de la sécurité n\'avait pas été fondamentalement améliorée entre les deux incidents. Le coût cumulé — violations réglementaires, amendes, coûts de remédiation, impact sur la valorisation lors de l\'IPO — a été estimé à plusieurs centaines de millions de dollars. Un programme de résilience préventive, structuré après le premier incident en 2016, aurait coûté une fraction de ce montant.
La présomption favorable des régulateurs
La dimension réglementaire de la résilience préventive est un argument souvent sous-utilisé dans les arbitrages budgétaires. Les régulateurs accordent systématiquement une présomption favorable aux organisations qui peuvent démontrer qu\'elles avaient, avant l\'incident, un programme de résilience documenté, testé et actif. Cette présomption se traduit par des réductions significatives des sanctions — dans certains cas, la différence peut représenter plusieurs dizaines de pour cent du montant initial.
L\'existence d\'une documentation précise des investissements réalisés — audits, tests, formations, plans à jour — est la preuve matérielle de la bonne foi de l\'organisation. Sans cette documentation, l\'organisation qui fait face à un régulateur après un incident ne peut que déclarer qu\'elle avait un programme de sécurité — sans pouvoir le prouver.
Les mécanismes d\'escalade des investissements préventifs
La justification des investissements préventifs dans les organisations est souvent difficile parce que leur valeur est hypothétique — on ne peut pas prouver qu\'un investissement a évité un incident qui ne s\'est pas produit. Les mécanismes qui permettent de surmonter cet obstacle incluent : la comparaison avec le coût des incidents dans des organisations comparables (benchmarking sectoriel), la quantification du risque résiduel en cas de non-investissement, et la mise en évidence des avantages commerciaux et réglementaires de la maturité du programme.
La violation Equifax de 2017 est le cas d\'école de la résilience post-incident coûteuse. La vulnérabilité Apache Struts était connue depuis mars 2017 et un patch était disponible — le coût de son application était marginal. Equifax n\'a pas appliqué ce patch, et la violation qui en a résulté en mai 2017 a coûté 700 millions de dollars d\'amende, plus plusieurs centaines de millions de dollars de remédiation et de gestion de crise. Le ratio entre le coût de la prévention (application d\'un patch de sécurité) et le coût de la remédiation est ici de plusieurs dizaines de milliers — un ratio extrême mais représentatif de la logique économique de la résilience préventive.
La violation Marriott/Starwood (500 millions de personnes, attaquant présent depuis 2014) illustre le coût de l\'absence d\'audit de sécurité lors d\'une acquisition. Un audit de sécurité des systèmes Starwood lors de l\'acquisition en 2016 — un investissement de quelques centaines de milliers de dollars — aurait probablement identifié l\'intrusion qui durait depuis 2014. Le coût de la violation qui a résulté de cette omission — amende ICO de 18,4 millions de livres (réduite de la sanction initiale), coûts de remédiation, recours collectifs — dépasse largement ce que l\'audit aurait coûté. L\'ICO a explicitement noté dans sa décision que des contrôles de sécurité appropriés lors de l\'acquisition auraient pu prévenir ou limiter la violation.
L\'enquête de l\'Office of the Australian Information Commissioner sur la violation Medibank de 2022 a relevé que des mesures de sécurité standard — notamment l\'authentification multifacteur sur les comptes privilégiés — n\'étaient pas en place. L\'accès initial avait été obtenu via des credentials volés d\'un prestataire sans MFA. Le coût de déploiement de l\'authentification multifacteur sur ces comptes — quelques dizaines de milliers de dollars — est infinitésimal par rapport aux coûts de la violation : gestion de crise pendant plusieurs semaines, support à 9,7 millions de clients, enquête réglementaire, investissements de remédiation obligatoires. C\'est l\'exemple typique d\'un investissement préventif à ROI exceptionnel qui n\'avait pas été réalisé.