Depuis bien trop longtemps, les dirigeants d'entreprises envisagent la sécurité selon un angle étroit se limitant à la gestion du risque et des menaces. L'accent a toujours été mis sur les apports, c'est-à-dire sur les investissements dans les derniers outils, dans le personnel et les contrôles nécessaires pour éloigner les attaquants. Mais si ces fonctionnalités sont nécessaires, les esprits ont du mal à faire le lien entre les efforts en cybersécurité et la valeur métier stratégique.
Les équipes de sécurité adoptent souvent une technique réactive, en quête de chaque nouveau type de logiciel malveillant ou d'attaque. Elles se perdent dans les méandres de l'installation du dernier système d'intelligence artificielle ou d'un pare-feu avancé. Et elles prennent rarement le recul nécessaire pour se demander dans quelle mesure ces efforts contribuent à ce qu'elles atteignent leurs principaux objectifs organisationnels.
Faute de se poser cette question fondamentale, les équipes de sécurité ont parfois du mal à justifier les ressources, à conserver une orientation stratégique sur le long terme ou à peser dans les décisions prises à la table de la direction. Pour donner du poids au rôle métier stratégique de la cybersécurité, les responsables de la sécurité doivent absolument se concentrer sur la définition et l'obtention de résultats positifs conformes aux objectifs prioritaires de l'entreprise qu'ils contribuent à atteindre.
D'un côté se trouvent les résultats tangibles apportés par la sécurité, tels que :
des répercussions financières moins graves après les attaques
une détection et des réponses plus rapides aux incidents
une confiance et une fidélité accrues de la part des clients
une productivité supérieure dans la mesure où les interruptions sont évitées
De l'autre côté figurent les apports qui correspondent aux investissements consacrés à la sécurisation de l'organisation par exemple tels que les outils, les technologies, la formation et le personnel. Les apports forment les fondations essentielles. Mais les résultats sont en réalité le fruit de ces investissements.
Pensez aux apports et aux résultats comme si vous conduisiez une voiture. Les technologies avancées telles que les airbags, les freins et les fonctionnalités de navigation sont des apports importants. Mais si vous ne savez pas où vous allez, elles ne vous sont pas d'une grande valeur. Les équipes de sécurité ont besoin de savoir précisément dans quelle direction elles conduisent l'organisation. Ce sont les résultats qui orientent la direction.
Je n'ai rien trouvé de plus efficace pour définir des résultats stratégiques en cybersécurité que de procéder à reculons. En travaillant selon cette méthode, il s'agit d'envisager votre objectif final, puis de déterminer les étapes nécessaires y parvenir.
Par exemple, imaginez-vous dans un an, vous souhaitez que vos activités soient le moins interrompues possible par des cyberincidents. Quels sont les résultats mesurables qui apporteraient la preuve de ce que vous avez atteint cet objectif ? Il peut s'agir des résultats suivants :
Temps de réponse aux incidents 20 % plus rapides
Moins de deux heures d'interruption causée par des cyberattaques au cours d'un trimestre
Aucun paiement de rançon
Une fois ces objectifs définis, vous pouvez travailler en remontant le temps pour déterminer quelles sont les fonctionnalités et les ressources nécessaires pour parvenir à ces résultats. Quels outils permettraient de réduire le temps de réponse ou le temps d'interruption ? Quels contrôles d'accès et sauvegardes permettraient d'éviter d'avoir à payer des rançons ?
En procédant à reculons, vous gagnez en clarté et vous travaillez de manière plus ciblée. Vous commencez avec la destination professionnelle à l'esprit et évitez de vous perdre dans des manœuvres réactives.
Lorsqu'il s'agit de justifier les investissements en matière de cybersécurité, le plus difficile est souvent d'établir un lien avec ce qui est important pour l'entreprise. Les responsables de la sécurité doivent associer les résultats de manière directe avec les principaux objectifs organisationnels.
Par exemple, si les objectifs prioritaires sont ceux d'une expansion rapide sur de nouveaux marchés et d'un développement accéléré des produits, les résultats attendus sont :
Lancement d'une plateforme en ligne sécurisé pour les nouveaux marchés dans les neuf mois
Réduction de 30 % des retards dans les cycles de lancement de produits liés à des problèmes de sécurité
Cela garantit que les efforts de sécurité deviennent des moteurs et non des freins. Les ressources consacrées aux fonctionnalités qui accompagnent ou favorisent les objectifs essentiels sont beaucoup plus faciles à justifier.
Les résultats doivent également être quantifiables par des indicateurs et des mesures clés. Plutôt que de déclarer « Nous allons réduire le risque, » précisez « Abaissons le score de cyberrisque global de notre entreprise de 78 à 68 en une année ». Cela permet de mesurer réellement les progrès.
Les indicateurs qui se répercutent sur les différents facteurs techniques, financiers et commerciaux sont idéaux :
Technique : détection plus rapide des menaces, moins de vulnérabilité dans les logiciels
Financier : moins de coûts liés aux violations et aux incidents
Commerciaux : hausse de revenus grâce à la confiance des clients et à une disponibilité accrue
Une analyse des bénéfices réalisés permet de mieux quantifier les effets positifs sur les aspects tels que l'amélioration de la productivité, la réputation de la marque et la conformité.
Une fois que les résultats attendus sont clairement définis, le véritable travail commence. Il s'agit alors de déterminer la combinaison idéale de personnes, outils et technologies qui permettra de réaliser ces objectifs. Pour ce faire, il convient d'associer étroitement la stratégie de sécurité avec l'exécution sur le terrain.
La contribution de nouvelles technologies telles que l'IA et l'automatisation peut être considérable, mais uniquement si elles orientées vers des résultats cibles précis, qu'il s'agisse de temps de réponses plus rapides ou de violations moins nombreuses. Sinon, même les outils les plus avancés viennent peser inutilement sur le budget.
La meilleure solution consiste parfois non pas à acheter les toutes dernières cyberfonctionnalités mais à rationaliser ou à retirer des outils qui ne font que détourner notre attention des objectifs principaux. Le regroupement des fournisseurs faisant double emploi sur une plateforme unifiée permet de dégager du budget et potentiellement de la bande passante qui étaient auparavant consommés au profit de l'intégration et la maintenance.
Un suivi constant des progrès à travers les indicateurs fournit un retour essentiel pour affiner les méthodes et les investissements. S'il s'avère que des fonctionnalités ne contribuent pas à des résultats prioritaires, elles doivent peut-être être repensées ou réaffectées. Ces mesures alimentent une stratégie de sécurité agile et en constante évolution.
La préoccupation principale reste la concrétisation des objectifs définis qui créent de la valeur métier. En ayant cette boussole pour guider leurs décisions, les responsables de la sécurité peuvent s'aventurer en toute confiance vers les routes sinueuses qui les attendent.
Pour renforcer son rôle stratégique, il est essentiel d'orienter la cybersécurité sur l'obtention de résultats plutôt que sur les apports. Les équipes de sécurité doivent rendre des comptes aux dirigeants d'entreprises avec des résultats tangibles qui vont dans le sens de la mission de l'organisation.
Le fait de privilégier ainsi les retombées positives pour l'entreprise permet également d'établir des partenariats internes déterminants entre les services informatiques, financiers, marketing, juridiques et d'autres groupes. Il stimule la collaboration en faveur de résultats en matière de sécurité qui améliorent les objectifs à l'échelle de l'entreprise.
Enfin, se concentrer sur les résultats est un gage de clarté, même en période de chaos. De nouvelles menaces naîtront ; les investissements ne seront pas dénués de risques. Avec des objectifs définis directement à partir des besoins métiers, les responsables de la sécurité peuvent avancer en toute confiance.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
John Engates – @jengates Field CTO, Cloudflare
Cet article vous permettra de mieux comprendre les points suivants :
La différence entre les résultats et les apports initiaux en matière de cybersécurité
La nécessité de réorienter le rôle de la sécurité de la gestion du risque vers les moteurs stratégiques de la valeur métier
La transformation de la cybersécurité commence en conseil d'administration
Des acronymes aux actions : démystifier la sécurité Zero Trust