Picus Security publie un guide sur la mesure du ROI des outils de validation de sécurité

Picus Security a publié un nouveau guide, "Measuring BAS ROI: A CISO’s Guide to Justifying Security Validation Investments" (Mesurer le ROI de la BAS : Le guide d'un RSSI pour justifier les investissements en validation de sécurité). Ce guide vise à aider les directeurs de la sécurité des systèmes d'information (RSSI) à quantifier les avantages financiers des investissements dans les technologies de validation de sécurité, en particulier la technologie de simulation d'effraction et d'attaque (BAS).

Le guide aborde le défi de longue date de la cybersécurité, souvent perçue comme un centre de coûts plutôt qu'un investissement stratégique. Il souligne comment les outils BAS fournissent des preuves mesurables de l'efficacité des contrôles de sécurité face aux techniques d'attaque réelles, permettant aux RSSI de démontrer un ROI tangible à la direction générale et aux conseils d'administration.

Les évaluations BAS simulent en toute sécurité les comportements adverses pour évaluer la performance des contrôles de sécurité tels que les pare-feu, les systèmes de détection d'intrusion (IDS/IPS) et les plateformes de détection et de réponse des points d'extrémité (EDR). Contrairement aux évaluations de risques théoriques, BAS fournit des données concrètes sur les taux de prévention, de détection et de réponse. La publication fait référence au rapport "Cost of a Data Breach" d'IBM, notant que les coûts moyens mondiaux ont diminué grâce à l'amélioration de la détection et de l'endiguement des violations.

Le guide de Picus Security présente une méthode étape par étape pour calculer le ROI de la BAS, dans le but de fournir aux organisations les données nécessaires pour élaborer un argumentaire solide en faveur d'investissements continus dans la validation de sécurité. Cette approche vise à transformer les dépenses de sécurité en un moteur commercial démontrable, réduisant ainsi le risque global et les coûts associés aux cybermenaces.