Croissance des budgets Cyber Convaincre et maitriser

Les études marchés étant assez divergentes sur la proportion du budget informatique dédiée à la sécurité IT : 3,7% pour PWC, 5,9% pour Gartner, 10% pour Forrester, les enchères ne font que monter. Le budget en lui-même est croissant dans le temps, mais traduit souvent l’évolution organique des activités de sécurité, en ligne avec l’évolution des menaces et l’augmentation du budget global du Système d’Information (SI). Cette augmentation peut donc exister mais n’avoir pas d’impact positif sur le niveau de sécurité du SI, ou sur la réduction des risques, poussant à réviser les investissements. Pour autant même lorsque le constat d’un manque d’investissement est fait, le top management prend souvent conscience de la réalité du risque de façon trop tardive : au travers des incidents réels de sécurité. Si à ce moment-là, les investissements sont plus faciles à obtenir, il est important d’aborder le sujet de façon posée et constructive afin de restaurer la confiance et de tirer parti des attaques et crises auxquelles l’entreprise fait face.

Au travers de nos projets, nous adressons les enjeux de transformation de nos clients ainsi que la construction d’un discours audible et crédible envers leurs comités de direction. Dans ce cadre, nous avons identifié trois axes de travail pertinents pour convaincre.

Impliquer et responsabiliser le COMEX de l’entreprise et prouver la valeur de la cybersécurité comme un atout business différenciant

Le support du top management se révèle indispensable dans la validation d’un budget, à plus forte raison lorsqu’il est en augmentation, mais la façon de construire ce budget est clef dans l’engagement des décideurs dans la stratégie de cybersécurité.

Pour ce faire, il faut construire une vision à 360° des dépenses qui englobe les activités standard de sécurité IT, sa gouvernance, l’investissement dans les compétences, la continuité d’activité, l’apport d’innovation pour le métier, etc. Cette vision doit être complétée en sensibilisant les parties prenantes avec un niveau de discours adapté à leur niveau d’appréhension des enjeux. Les discours alarmistes n’ont plus cours : il s’agit maintenant de rendre les enjeux tangibles en les ancrant dans l’actualité et les risques de l’entreprise, mais avant tout en gardant une posture rationnelle et pragmatique. Ensuite, il est important de rendre les décideurs acteurs de la stratégie de cybersécurité. Pour cela, il faut leur donner une visibilité sur les niveaux de risques, en partageant une vision et prenant des engagements concrets sur les résultats attendus.

De façon complémentaire, les directions cybersécurité doivent maîtriser le modèle métier de l’entreprise et déterminer des services lui conférant un avantage concurrentiel (par exemple : la sécurisation de données clients, la mise à disposition de moyens d’authentification évolués…). Cette valeur ajoutée devient de plus en plus différenciante sur le marché, au fur et à mesure que les entreprises deviennent transparentes et que leurs clients se sensibilisent à leurs droits en termes de gestion des données.

Renforcer le pilotage financier de la sécurité avec le bon outillage

Les directions cybersécurité se distinguent par une approche « risques » de leur pilotage du niveau de sécurité. Ce choix implique un besoin nécessaire de priorisation des mesures et des investissements associés en valorisant leur rôle dans la couverture et la réduction de ces risques. Pour cela, cette priorisation doit être outillée. Cela peut passer par :

• L’élaboration en co-construction avec les dirigeants d’un modèle de retour sur investissement de la cyber, sur la base de security-cases réalisés simplifiés mais systématiques,
• La définition de scénarios contextualisés activables dans le cas de plans de remédiation permis par l’utilisation de plateformes innovantes,
• L’utilisation de frameworks et méthodes de gestion de risques permettant de quantifier les impacts et avec des résultats répétables.

Le choix de l’outil doit être porté par la capacité à utiliser des données terrains pour les alimenter et la quantité des mesures identifiées et à traiter. Pour les grandes entreprises ou les infrastructures complexes, il est recommandé d’utiliser une plateforme industrielle du marché qui s’appuie sur des cadres et méthodes d’analyses de risques reconnus (EBIOS, FAIR, etc …).

En outre, s’adosser à des principes et méthodes novateurs tels que le Lean Startup et le développement de Minimum Viable Products (MVP) permet d’accroître significativement la capacité d’expérimentation de nouvelles solutions de sécurité. De par la capacité à itérer rapidement et valider l’apport de valeur de manière continu (via la réduction des risques ou l’accroissement du niveau de sécurité), les directions cybersécurité et les utilisateurs peuvent limiter leur investissement mais maximiser l’apport de valeur des solutions développées.

Donner de la perspective en projetant les budgets sur une vision pluriannuelle

Le dernier des trois leviers identifiés consiste à adopter une vision à moyen terme du budget en veillant à positionner le RSSI dans une situation de projection à horizon 3 ou 4 ans. Cet exercice crée les conditions nécessaires pour optimiser les activités courantes et ainsi dégager des marges de manœuvre et investir :

• En limitant l’impact des investissements les plus conséquents sur l’année et en maximisant la politique d’amortissement,
• En conduisant une stratégie ambitieuse de sourcing visant à déterminer l’internalisation ou l’externalisation de ressources.

Cette activité peut aboutir à la création d’un rôle dédié dont les compétences allient sécurité et finance en proximité des CIOs et CFOs. L’articulation de cet exercice dans le temps avec la réévaluation de la stratégie IT est aussi importante, il convient donc d’aligner le calendrier pour plus d’efficacité.

Enfin, la rationalisation du nombre de solutions de sécurité constitue quant à elle un argument de poids supplémentaire, en ce sens qu’elle optimise la surface du SI et permet la décommission des solutions pas ou peu utilisées. Cet inventaire est l’occasion également d’identifier le shadow IT cyber et l’optimisation des usages et solutions en place.

En conclusion

Les entreprises doivent arriver à concilier deux réalités que tout oppose à première vue : la mise en œuvre des moyens nécessaires pour faire face à l’évolution croissante des menaces cyber et, dans un même temps, la maîtrise accrue de son budget dans un contexte où l’informatique reste perçu comme un centre de coût des entreprises et la sécurité comme une épine dans le pied des innovateurs.

Le RSSI apparait comme un acteur moteur de cette démarche pour démontrer une véritable volonté d’accompagner la dynamique des entreprises qui deviennent de plus en plus digital-centric, plus agiles et plus transparentes. Ce dernier point amène une autre opportunité qui ne faut pas négliger qui est la communication autour des investissements cyber : c’est un moyen supplémentaire de montrer aux clients et partenaires l’engagement de l’entreprise dans la protection des données sensibles et dans l’augmentation de ses capacités de résilience.

Le RSSI est dans ce sens un des contributeurs majeurs à l’image de l’entreprise ainsi qu’à sa résilience.