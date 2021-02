2020 a été une année difficile pour de nombreuses organisations, ce qui implique que les budgets IT ne connaîtront dans l’ensemble probablement pas de réelle croissance cette année. De plus, les fonds déjà alloués ont bien souvent dû être réaffectés en fonction de l’évolution des besoins des entreprises. Dans le même temps, les dirigeants et les membres des conseils d’administration prennent conscience des cyber-risques actuels et du prix à payer de la moindre négligence. Ils comptent sur l’équipe IT et les responsables de la cybersécurité pour fournir des points de données fiables qui leur permettront de prendre des décisions d’investissement optimales en matière de sécurité.

Pendant des décennies, l’IT, et par extension la cybersécurité, a été appréhendée comme une discipline strictement technique, et des professionnels techniques de haut niveau ont été promus à des postes de direction dans le domaine de l’informatique. Ils sont capables d’éclairer sur n’importe quelle question de technologie sophistiquée, mais ils ne parlent pas tous la langue « des affaires ». Il est donc parfois difficile pour les deux parties de parvenir à des décisions productives.

Pour de nombreux responsables IT, le manque de données factuelles sur lesquelles s’appuyer constitue un autre défi majeur. Dans le domaine de la technologie, les travaux reposent sur des faits, et ils font l’objet de mesures précises et défendables. Il est possible, par exemple, de signaler le nombre d’incidents survenus sur une période donnée, ou le temps nécessaire pour appliquer un correctif à un serveur vulnérable.

Mais comment démontrer le retour attendu d’un investissement dans la sécurité sans entrer dans le champ des hypothèses et des probabilités ? Des problématiques qui sortent beaucoup de professionnels de l’IT de leur zone de confort.

Les quatre piliers du retour sur investissement

Lorsqu’il est question d’investissements en matière de sécurité, une question majeure est essentielle, que ce soit en termes de ressources humaines, de processus ou de technologie : en quoi cet investissement peut-il être rentable ?

Les économies de coûts opérationnels

La réduction des coûts est l’une des mesures de retour sur investissement les plus évidentes, surtout lorsque le responsable IT est également en charge de la sécurité. Si un projet permet de réduire l’espace de stockage, de regrouper les licences ou de rationaliser le temps et les efforts grâce à l’automatisation, les rendements peuvent être calculés avec une certitude raisonnable. Il s’agit ici de comprendre que l’investissement ne doit jamais être motivé par cette seule raison.

L’objectif principal de la sécurité IT est de gérer les risques, raison pour laquelle il ne faut pas entreprendre un projet qui ne repose pas sur ce principe. Cependant, la réduction des coûts est une excellente raison d’investir davantage dans quelque chose qui réduit un risque auquel l’entreprise est attentive.

La conformité

Les organisations sont conscientes qu’elles doivent se conformer à la réglementation en vigueur, ne serait-ce que pour continuer à exercer leurs activités. De nombreuses équipes de sécurité IT en tirent parti et présentent les nouvelles initiatives de sécurité comme un impératif de conformité. En général, il est vrai que les réglementations tendent à établir des lignes directrices minimales pour sécuriser certains types de données ou d’activités. Toutefois, aucune réglementation ne peut donner des conseils universels pour protéger les activités d’une entreprise contre les menaces actuelles à un moment précis.

La conformité peut constituer un moyen efficace d’entamer une conversation sur le retour sur investissement et d’attirer l’attention au sein d’une organisation moins avancée, où l’équipe de direction est moins consciente des risques encourus. Cependant, il est primordial pour une entreprise de ne pas se laisser aller à un faux sentiment de sécurité pour la simple et bonne raison qu’elle coche toutes les cases d’une liste de conformité.

Un autre piège à éviter est celui qui consiste à donner l’impression que l’équipe de sécurité IT est un « mal nécessaire » que les dirigeants toléreront et même financeront, mais dont ils se passeraient volontiers s’ils le pouvaient.

La réduction des risques

Toute équipe de sécurité IT a pour objectif principal la gestion et l’atténuation des risques, une mission qui peut toutefois s’avérer complexe. Le secret de la réussite repose sur la mise en relation de la gestion des risques liés à la sécurité IT avec la gestion globale des risques opérationnels dans l’organisation. Les entreprises financières ou de défense par exemple disposent généralement d’une stratégie de gestion des risques mature et bien établie.

Chaque organisation prend constamment des décisions en matière de risque. Cette responsabilité incombe souvent au DAF et au PDG, qu’il est essentiel de solliciter afin d’élaborer une stratégie de gestion des risques harmonisée et cohérente pour l’organisation. À défaut, cette dernière s’expose à un surcroît de travail et à des menaces concrètes négligées par les services IT en raison du manque d’implication au niveau de l’entreprise.

Les perspectives commerciales

Bien souvent, la sécurité est considérée comme un facilitateur d’affaires, mais en pratique, elle reste un défi. À l’instar des autres aspects du retour sur investissement, la communication joue ici un rôle essentiel. Le dialogue et le maintien du contact entre l’équipe IT et l’équipe de direction ainsi que les chefs d’unités commerciales sont essentiels. Cela permet de faire de la sécurité une partie intégrante de chaque discussion relative à un nouveau projet — et une partie indissociable du plan de mise en œuvre — et ce, dès le début.

Ainsi, lorsqu’il s’agit d’aborder la question du retour sur investissement dans le domaine de la sécurité, il est important d’utiliser son expertise pour estimer la réduction des risques correspondant à chaque dépense. De plus, la cybersécurité n’est pas seulement une question technique, raison pour laquelle il est essentiel de maintenir les lignes de communication ouvertes entre l’équipe IT et les dirigeants de l’entreprise afin que la sécurité ne soit pas perçue comme un poste de dépenses, mais comme une initiative stratégique. Enfin, si la réduction des risques doit constituer le point de départ, il est capital de réfléchir à la manière dont un même euro investi peut aider l’organisation