Selon un rapport du National Institute of Standards and Technology (NIST USA) [NIST (2002)] à propos de l’impact économique dû à des tests inadéquats au niveau des logiciels, plus la détection d’une erreur tarde, plus les coûts de sa correction augmentent. Ils peuvent être trente fois plus importants si la détection intervient après la diffusion du logiciel.
Coûts relatifs de la correction d’une erreur logicielle en fonction du stade de sa découverte (©NIST 2002)
Mais les coûts de corrections ne sont pas les seuls à intervenir dans le cas de failles de sécurité. Dans le cas d’une erreur de sécurité, d’autres facteurs peuvent augmenter ces coûts :
- Les coûts de recherche des systèmes compromis
- Les pertes de productivité des systèmes compromis
- Les coûts de correction de tous les systèmes déployés
- Les coûts dus aux dégâts à l’image pour l’entreprise produisant le logiciel
- Les coûts dus aux dégâts à l’image pour les entreprises utilisant le logiciel
- Les coûts de résolution des éventuels litiges
- Les pénalités contractuelles
Certes, les bonnes pratiques présentées dans ce document ne constituent pas un rempart infaillible contre ces risques, mais elles vous permettent de les évaluer, de les gérer et de déterminer s’ils sont acceptables pour votre entreprise.