Comment justifier vos investissements en sécurité

Comment justifier vos investissements en sécurité

Lucas Morel

Les discussions budgétaires sont fastidieuses car les cyberrisques et les dépenses augmentent parallèlement. Les RSSI doivent donc aligner leurs arguments sur les objectifs commerciaux.

Dans les environnements d’entreprise modernes, les investissements dans les technologies de sécurité ne sont plus jugés uniquement sur la maturité technique. Le financement dépend de plus en plus de la mesure dans laquelle ils peuvent générer des revenus, atténuer les risques et créer de la valeur pour les actionnaires.

En conséquence, les RSSI sont censés présenter leurs stratégies non pas comme de simples mises à niveau techniques, mais comme des moyens de croissance des revenus. Le défi consiste non seulement à prendre les bonnes décisions d’investissement, mais également à les justifier au niveau du conseil d’administration.

Les RSSI se retrouvent souvent sur la défensive lorsqu’ils présentent des solutions avant que le défi n’ait été clairement défini. Cette approche crée une déconnexion au lieu d’un consensus. Les dirigeants veulent comprendre ce que leur organisation peut réaliser avec une nouvelle solution, quels pièges peuvent être évités et pourquoi les investissements en cybersécurité ne peuvent pas être reportés.

Par conséquent, lors de la présentation d’une stratégie de cybersécurité, par exemple Zero Trust, la communication avec le conseil d’administration doit se concentrer sur la manière dont le profil de cyber-risque de l’entreprise peut être amélioré pour le mieux.

Relier la technologie de sécurité aux priorités stratégiques

Pour être crédibles au sein du conseil d’administration, les RSSI doivent définir leurs dépenses prévues en cohérence avec les objectifs de l’entreprise. Le conseil d’administration se concentre sur des priorités telles que l’entrée sur de nouveaux marchés, l’amélioration des marges, l’augmentation de la résilience et la garantie de la conformité. Une proposition bien pensée répond directement à ces préoccupations.

Lorsqu’une plateforme de sécurité réduit le temps de réponse aux incidents, il en résulte une stabilité opérationnelle et donc une plus grande résilience. Lorsqu’il consolide les outils, il garantit la rentabilité. Lorsqu’elle permet une expansion sécurisée dans de nouvelles régions, la croissance des revenus suit. Un tel raisonnement renforce la crédibilité et aide à obtenir l’approbation des investissements.

Le langage des risques et des rendements

Les conseils d’administration prennent des décisions en tenant compte de concepts tels que le risque et le rendement. Il s’agit notamment des risques financiers, des risques opérationnels et des risques de réputation de l’entreprise. Les membres du Conseil évaluent la probabilité, l’exposition et l’impact des incidents dans chacun de ces domaines. En conséquence, le rôle du RSSI est de clarifier comment un investissement proposé réduit les vulnérabilités, limite l’impact des incidents ou augmente la résilience des infrastructures.

Ces discussions devraient décrire les modèles de coûts, les scénarios de failles de sécurité potentielles, les délais de récupération après une cyberattaque et les avantages commerciaux. L’objectif devrait être d’éviter les temps d’arrêt tout en parlant la langue du conseil d’administration, sans compromettre l’intégrité technique.

Tenir compte de la valeur actionnariale

Le niveau de maturité et la mentalité des conseils d’administration en matière de cybersécurité varient considérablement. Certains conseils de surveillance ne réagissent qu’après un cyberincident majeur ou un audit raté. D’autres ont une approche beaucoup plus proactive et exigent des évaluations de cybersécurité dans le cadre de leur expansion de marché ou de leurs activités de fusions et acquisitions. D’autres encore intègrent la cybersécurité dans les simulations et posent des questions prospectives sur la résilience face à des scénarios d’attaque potentiels.

Comprendre ce niveau de maturité aide à adapter la stratégie de communication. Un conseil d’administration réactif peut avoir besoin d’une explication claire des conséquences négatives. Un conseil d’administration informé est plus susceptible de s’attendre à des résultats quantifiables et à une feuille de route. Les meilleures discussions du conseil d’administration ont lieu lorsque le RSSI s’adapte à la compréhension de la technologie du conseil d’administration tout en élargissant soigneusement sa perspective.

Positionner l’excellence opérationnelle comme un résultat

L’excellence opérationnelle est l’un des arguments les plus efficaces dans les discussions avec le conseil d’administration concernant la cybersécurité. Lorsque les entreprises opèrent dans différentes régions et secteurs, elles doivent travailler de manière agile, sécurisée et avec contrôle. Une architecture informatique doit :

  • Répondre aux exigences mondiales
  • Soutenez les employés qui travaillent de n’importe où
  • Intégrer des tiers
  • Répondre à un certain nombre d’exigences réglementaires
  • Protéger la propriété intellectuelle

Un ensemble d’exigences aussi complet peut très rapidement conduire à une mise en œuvre complexe et, par conséquent, à des inefficacités. Les RSSI, dotés d’une stratégie technologique solide, se concentrent sur une infrastructure simplifiée, permettant des flux de données mondiaux sécurisés et réduisant les délais de mise sur le marché. Ce positionnement élève la discussion de la sélection du système à un niveau stratégique.

Concentrez-vous sur les risques futurs

Un conseil d’administration devrait se concentrer non seulement sur les risques actuels mais également sur les scénarios futurs. Il s’agit par exemple de réglementer l’utilisation éthique de l’IA, de comprendre l’impact de l’utilisation abusive des données et de se préparer aux effets de l’informatique quantique. Le conseil sera responsable, voire tenu responsable, du traitement sécurisé et réglementé des données. Ce ne sont plus des questions abstraites. Ils devraient donc déjà figurer à l’agenda du RSSI en tant que futurs défis technologiques.

L’utilisation de l’IA s’est accrue dans les entreprises et les dirigeants sont désormais responsables de l’utilisation des données. Même si l’informatique quantique en est encore à ses débuts, les risques que cette future technologie fait peser sur les méthodes de chiffrement actuelles en font déjà un élément nécessaire de toute planification à long terme. De nombreux RSSI profitent déjà de l’occasion pour soulever la question auprès du conseil d’administration et expliquer quelles mesures seront nécessaires pour protéger les données dans un avenir proche.

Le pouvoir des chiffres

La structure financière est tout aussi importante que l’approche stratégique. Alors que les entreprises continuent de passer d’architectures à forte intensité matérielle à des modèles SaaS cloud natifs, l’économie de la sécurité évolue. Les coûts passent des dépenses en capital aux dépenses de fonctionnement. Bien que cela puisse initialement entraîner une diminution de l’EBITDA (bénéfice avant intérêts, impôts, dépréciation et amortissement), cela élimine également les cycles de remplacement du matériel, améliore la précision des prévisions et réduit le coût total de possession à long terme.

Les modèles de facturation par utilisateur pour les services cloud garantissent la prévisibilité et une plus grande flexibilité pour répondre aux changements. Un autre potentiel d’économies réside dans la consolidation des outils sur quelques fournisseurs de plateformes. De plus, l’automatisation des processus peut réduire la charge du centre de services et améliorer la productivité.

En fin de compte, les RSSI doivent démontrer comment les investissements potentiels dans les nouvelles technologies amélioreront les flux de trésorerie, préserveront les marges et évolueront avec la croissance de l’entreprise. Les directeurs financiers et les comités d’audit veulent savoir quel impact chaque proposition aura sur les résultats financiers. Ils veulent également comprendre ce qui peut être capitalisé, à quels effets compensatoires s’attendre et comment les investissements s’aligneront sur la demande.

Conclusion

En fin de compte, justifier les investissements en matière de sécurité n’est pas une question de persuasion, mais bien une question d’influence. Il s’agit d’aligner les priorités de l’entreprise avec des solutions sécurisées, évolutives et rentables.

En conséquence, les RSSI doivent présenter une stratégie qui réduit les risques, améliore l’agilité et positionne l’entreprise pour un succès à long terme. Lorsque les dirigeants informatiques parlent le langage de la valeur ajoutée dans leurs solutions, leurs propositions ne ressemblent plus à des exigences techniques, mais à des nécessités commerciales.

Suite CCSO et RSSIDirection informatiqueSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway