Pour atteindre votre budget, montrez au conseil d’administration le risque financier réel, planifiez la conformité au-delà et parlez leur langage, pas seulement le jargon de la sécurité.
Alors que l’année touche à sa fin, les RSSI sont déjà en train d’élaborer le budget de cybersécurité de l’année prochaine. C’est une tâche difficile en soi, mais la partie la plus difficile du processus consiste à obtenir l’approbation du conseil d’administration. Les RSSI savent très bien que faire approuver un budget de cybersécurité peut être comme essayer d’expliquer l’anglais AP à un chien : vous parlez simplement des langues différentes.
Les RSSI modernes sont chargés de protéger leur organisation contre des menaces en évolution rapide alors que les budgets de cybersécurité diminuent ou sont redistribués. Les conseils d’administration ont encore tendance à considérer la cybersécurité comme un centre de coûts et non comme quelque chose qui peut accroître l’efficacité de leur entreprise. Les RSSI connaissent la vérité, mais ils doivent trouver comment communiquer la valeur de la cybersécurité dans un langage que leur conseil d’administration peut comprendre.
Voici trois conseils pour convaincre votre conseil d’administration cette saison budgétaire. Si cela est fait correctement, vous aurez de meilleures chances de sécuriser votre budget et de rendre votre organisation plus résiliente face à un paysage de menaces en évolution rapide.
Astuce 1 : Quantifier le risque
La première étape pour élaborer un budget défendable consiste à chiffrer les risques que vous essayez de contrôler. En tant que RSSI, vous comprenez immédiatement que votre organisation a besoin d’éléments tels qu’une détection améliorée des points de terminaison, une architecture de confiance zéro et un centre d’opérations de sécurité approprié, mais lorsque vous évoquez ces éléments lors de la réunion budgétaire, les yeux du conseil d’administration s’écarquillent. Ce n’est pas qu’ils rejettent la cybersécurité : ils ne comprennent tout simplement pas comment ces investissements techniques sont liés aux résultats commerciaux qui leur tiennent à cœur.
C’est pourquoi vous devez utiliser des termes financiers pour quantifier la valeur à risque de votre organisation. Les conseils d’administration sont plus susceptibles d’accepter votre budget s’ils peuvent comprendre les implications financières d’une violation. Bien entendu, cela peut s’avérer une tâche difficile si vous n’avez jamais subi de violation auparavant. Vous pouvez commencer à comprendre votre surface de risque en recherchant les menaces et violations les plus courantes de votre secteur, en consultant des sources de renseignements sur les menaces et en interrogeant les postures de cybersécurité de vos fournisseurs pour comprendre votre risque tiers. Vous pouvez également collecter des données de probabilité sur une violation via des rapports industriels, des statistiques gouvernementales et des données historiques sur les incidents internes.
Cependant, l’approche la plus précise et la plus influente consiste à interroger vos propres experts et parties prenantes, en les incluant dans le processus de quantification. Vous pouvez trouver des outils pour le faire manuellement ou automatiquement. Quelle que soit l’approche utilisée, vous pouvez calculer l’impact commercial global de votre risque, y compris les pertes financières directes, les interruptions d’activité et les effets à long terme sur votre activité et votre réputation.
Comme exemple de ce à quoi cela ressemble dans la pratique, prenons la récente violation de Collins Aerospace, qui a provoqué de lourdes perturbations et des annulations de vols dans plusieurs aéroports européens. Non seulement il y a eu des pertes financières directes pour les organisations touchées, mais il y a également eu des coûts d’opportunité et une perte d’efficacité : augmentation des heures d’ingénierie pour remettre les systèmes en ligne, solutions stylo et papier sur le terrain pour remplacer les tâches automatisées et personnel aéroportuaire surchargé de travail. Utilisez ces événements atomiques et coûteux pour discuter avec votre directeur financier de la modélisation de l’impact financier, en imaginant si votre organisation avait été affectée.
Il s’agit d’un scénario sombre pour la plupart des organisations, mais dont votre conseil d’administration devrait comprendre toutes les implications. Lorsque vous quantifiez les risques pour votre conseil d’administration, vous devez être prêt à expliquer les impacts du pire des cas, du meilleur des cas et du scénario le plus probable, le tout en termes de pertes financières. Quantifier l’ampleur des effets en cascade d’une violation aidera les dirigeants non techniques à comprendre l’investissement requis pour rendre votre organisation résiliente.
Astuce 2 : Allez au-delà des normes de conformité
Ce n’est un secret pour personne : la conformité et les réglementations déterminent près de 80 % des justifications budgétaires des RSSI. Les normes industrielles telles que HIPAA et SOC2 peuvent offrir un cadre directeur pour un programme, mais avec l’évolution des menaces liées à l’IA, l’essor de l’informatique quantique et les risques de tiers de plus en plus complexes, les RSSI doivent réfléchir aux menaces que la conformité n’atténue pas nécessairement.
Si vous le pouvez, visez à ce que 10 % ou plus de votre budget soient alloués aux risques de non-conformité sur un horizon de 3 à 5 ans. Ces pourcentages à deux chiffres sont ambitieux ; le RSSI moyen dispose d’un budget discrétionnaire de 3 %. Ce budget ne doit pas nécessairement être constitué uniquement de nouvelles dépenses nettes. Par exemple, les risques liés à l’IA générative sont une priorité pour les RSSI et les conseils d’administration, mais les outils dédiés et prêts à l’emploi en sont à leurs tout premiers stades. Les postes budgétaires existants, tels que la gestion de la posture de sécurité des données, les heures d’analyste SASE et GRC, peuvent réduire les risques liés aux menaces pesant sur les charges de travail et les outils d’IA générative. Un investissement accru dans ces technologies et processus, ainsi que dans de nouveaux, constitue une base solide permettant à votre entreprise de tirer efficacement parti de l’IA générative à moyen terme et de nouvelles dépenses nettes en solutions ponctuelles. Ces investissements jettent les bases pour que votre entreprise puisse évoluer en toute sécurité devant ses concurrents, plutôt que de se lancer dans AI FOMO.
Votre conseil d’administration veut savoir si vous réfléchissez aux risques émergents et à la manière d’y faire face de manière proactive dans votre budget. Vous ne disposez peut-être pas de toutes les données sur un risque donné, mais vous devez quand même le reconnaître et aider le conseil d’administration à comprendre la probabilité qu’il ait un impact sur votre organisation. À mesure que le paysage des menaces évolue, vos stratégies visant à rendre votre organisation résiliente à ces risques devraient évoluer également.
Astuce 3 : Connaissez votre tableau
Pour convaincre votre conseil d’administration, il faut en partie savoir quel type de tactiques de persuasion guident leur prise de décision. Les conseils d’administration deviennent plus intelligents en matière de cybersécurité ; une récente enquête NACD a révélé que près de 80 % des connaissances des conseils d’administration en matière de cybersécurité se sont améliorées. Une autre enquête a révélé que 85 % des entreprises ont déclaré avoir ou rechercher un membre de leur conseil d’administration possédant une expertise en cybersécurité. Maintenant que les conseils d’administration sont mieux conscients de l’importance de la cybersécurité, c’est à votre tour de les rencontrer et de comprendre ce qu’ils apprécient d’un point de vue commercial.
Certains conseils d’administration se concentrent sur les indicateurs financiers et ne s’intéressent qu’aux dollars et aux centimes du budget. Dans ce cas, il est essentiel de communiquer en termes financiers ; ils voudront des exemples concrets de ce que l’organisation risque de perdre en raison du coût des interruptions d’activité liées aux violations. Cette quantification fait plus que simplement justifier votre budget ; cela crée un pont entre votre équipe de sécurité et les impératifs commerciaux. D’autres conseils peuvent être plus motivés par la narration. Dans ce cas, il sera très convaincant de dresser un tableau étape par étape de ce à quoi pourrait ressembler une attaque et des impacts correspondants qui l’accompagnent.
Dans les deux cas, le budget et la conversation qui le défend doivent parler le même langage que celui de votre conseil d’administration spécifique. Il est important de noter que ce niveau de compréhension des valeurs du conseil d’administration ne peut provenir que de contrôles cohérents tout au long de l’année. Vous devez vous efforcer d’établir une relation, de sorte que vous ne soyez pas simplement une case à cocher pour le conseil d’administration lors de la saison budgétaire.
Les RSSI doivent apporter rigueur, clarté et alignement commercial aux décisions d’investissement en matière de sécurité. Si vous pouvez quantifier les risques pour votre conseil d’administration, en tenant compte des risques émergents et comprendre ce qui leur importe le plus, vous aurez de meilleures chances de convaincre votre conseil d’administration cet automne.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
