Comment les RSSI peuvent nouer les meilleures relations pour investir dans la cybersécurité

Lucas Morel

Garantir un investissement dans la cybersécurité ne consiste pas seulement à analyser des chiffres : il s’agit également de favoriser les relations interfonctionnelles. Pour les RSSI, impliquer les principales parties prenantes contribuera à renforcer le soutien nécessaire pour obtenir un financement essentiel.

Lorsqu’il s’agit de sécuriser les investissements en cybersécurité, de nombreux facteurs entrent en jeu. La clé réside souvent dans la capacité du RSSI à établir des relations avec les principales parties prenantes de l’organisation. Cependant, les RSSI ont pour tâche de protéger leur organisation tout en faisant face aux contraintes budgétaires.

Bien que près des deux tiers des RSSI signalent une augmentation de leur budget, le financement n’a augmenté que de 8 % en moyenne cette année. C’est bien moins que la croissance de l’année précédente, selon le rapport IANS 2024 Security Budget Benchmark Summary.

Avec des budgets limités, la capacité d’un RSSI à obtenir un financement suffisant dépend de son influence et de sa réputation au sein de l’organisation. Il est essentiel d’entretenir des relations solides avec les principaux dirigeants d’entreprise pour atteindre leurs objectifs budgétaires.

Des développeurs au directeur financier : comment instaurer la confiance

Erica Antos, RSSI chez TriNetX, accorde une grande importance à la création de partenariats interfonctionnels solides qui non seulement font progresser les initiatives de sécurité, mais s’alignent également sur les objectifs globaux de l’entreprise. Elle identifie les fonctions commerciales adjacentes comme des partenaires importants pour la collaboration et l’alignement.

Dans son cas, cela implique de comprendre les priorités du directeur financier, de collaborer avec le service juridique pour garantir que les exigences en matière de protection des données sont respectées et de travailler en étroite collaboration avec le département informatique et l’ingénierie pour aligner les outils de sécurité sur les besoins organisationnels plus larges. « Vous souhaitez comprendre quels sont leurs objectifs et identifier certains des outils que la sécurité utilise également et qui peuvent aider à atteindre ces deux objectifs », explique Antos.

Par exemple, une solution Zero Trust aidera également le service informatique à moderniser l’accès au réseau et à supprimer le besoin d’un VPN. Les exigences en matière de confidentialité peuvent impliquer le conseil général et la sécurité grâce à la protection des données. Pour cela, elle conseille de discuter avec les services juridiques de leurs besoins et s’il existe des outils avec lesquels la sécurité peut les aider à atteindre leurs objectifs.

Naturellement, il est crucial d’établir de bonnes relations avec la finance. Cela implique de comprendre leurs objectifs et de montrer comment les initiatives de sécurité peuvent aider à atteindre ces objectifs ou générer des économies.

« Il ne s’agit peut-être pas de s’aligner sur la finance pour déployer une sorte d’outil ou d’obtenir un budget pour quelque chose, mais de montrer des efficacités ou comment le déploiement de certains outils peut économiser X dollars », explique Antos.

Impact de la ligne hiérarchique du RSSI sur le budget et les relations

La proximité du RSSI avec certaines parties prenantes, en fonction de leur ligne hiérarchique, peut également affecter sa capacité à s’aligner sur les principaux dirigeants de l’entreprise. Le fait qu’un RSSI relève du directeur financier, du directeur informatique ou directement du PDG peut influencer la manière dont il priorise et communique les besoins en matière de sécurité et, en fin de compte, la rapidité avec laquelle il peut obtenir l’adhésion à un financement supplémentaire.

« Cela peut guider les interactions quotidiennes qui construisent la relation, les aider à comprendre les besoins du groupe dont ils font partie et à s’aligner plus rapidement », explique Antos.

Antos estime qu’il serait utile de forcer le RSSI à comprendre l’aspect commercial du fonctionnement de l’organisation. « Il s’agit de réfléchir à l’efficacité sous un angle commercial plutôt que sous un angle purement technique », dit-elle.

À son tour, l’application d’un état d’esprit commercial aide le RSSI à atteindre ses objectifs budgétaires et à obtenir une plus grande satisfaction lorsque les opérations de sécurité quotidiennes sont en phase avec les objectifs et les priorités stratégiques de la direction, y compris du conseil d’administration. Selon le rapport de l’IANS, les RSSI qui dirigent des programmes de sécurité considérés dans le contexte des risques commerciaux sont plus susceptibles d’être satisfaits de leur budget lorsque cet alignement est en place.

Cependant, dans la pratique, les RSSI peuvent se retrouver confrontés à un paradoxe critique, selon Richard Watson, responsable du conseil en cybersécurité au niveau mondial et APAC chez EY. D’un côté, le conseil d’administration peut exprimer un faible appétit pour le cyber-risque, mais de l’autre, la direction peut dire qu’il est nécessaire de réduire un certain pourcentage du budget. « Ce sont des positions presque inconciliables, et pourtant je vois un certain nombre de RSSI aux prises avec ce paradoxe », déclare Watson.

Bien que le directeur financier soit une partie prenante clé en raison de son rôle de gestion budgétaire, dans ce genre de situations, Watson affirme qu’il est important pour les RSSI de mettre en évidence ces objectifs contradictoires et de se tourner vers des alliés naturels pour les aider à obtenir un soutien en faveur de leur budget.

Maintenir un profil visible au sein de l’organisation dans son ensemble

Les RSSI satisfaits de leur budget jouissent généralement d’une visibilité et d’une crédibilité auprès des dirigeants, s’engagent dans des discussions sur la gestion des risques et présentent les paramètres du programme au conseil d’administration, note le rapport de l’IANS. Cela suggère que les RSSI doivent maintenir un profil visible, s’engager au sein de l’organisation dans son ensemble et encadrer la conversation autour des risques commerciaux davantage que des contrôles techniques.

Watson convient que pour gérer avec succès les relations d’influence liées au financement, les RSSI ont besoin d’une visibilité au-delà des fonctions cyber et informatiques au sein de l’organisation dans son ensemble. « Ils ont peut-être débuté au niveau technique, mais pour s’étendre au-delà du service informatique, ils doivent être considérés comme des partenaires commerciaux et des conseillers commerciaux », explique Watson.

Comme le souligne Chris Peake, RSSI chez Smartsheet, il ne s’agit pas seulement de la visibilité du RSSI : il s’agit également d’aider l’organisation à comprendre l’ampleur des menaces de cybersécurité auxquelles elle est confrontée. L’objectif est de fournir le contexte nécessaire à la prise de décisions concernant les priorités et donc le financement et le budget.

« Si la sécurité doit être un catalyseur pour l’entreprise, il ne s’agit pas seulement de la visibilité du RSSI et du programme de sécurité ; le paysage des menaces doit être clair pour tout le monde », déclare Peake.

Le rôle du RSSI consiste à communiquer ces informations à l’ensemble de l’organisation, y compris à la direction et au conseil d’administration, et à les aligner sur les objectifs commerciaux globaux. « Le reste de l’entreprise doit comprendre à quoi elle est confrontée, ce qui l’aide à disposer du contexte nécessaire pour prendre des décisions sur les priorités », explique Peake.

Bien qu’il n’ait pas toujours été naturel pour les RSSI de maîtriser la finance, cela change à mesure que de plus en plus de conversations portent sur les aspects financiers de l’entreprise. « La plupart de mes pairs parlent de budget et de la manière dont nous finançons et envisagent d’introduire de nouvelles technologies dans l’organisation », dit-il.

Les nouvelles technologies comme l’IA générative, qui ouvrent de nouveaux vecteurs de menaces, déclenchent également des discussions budgétaires car leur gestion et leur sécurisation nécessitent des investissements. « Ils peuvent nécessiter des ressources, ce qui nécessite de nouvelles perspectives quant à la manière dont nous déployons nos outils existants », dit-il.

Néanmoins, il y aura des situations qui entravent les décisions budgétaires et où les RSSI auront du mal à prioriser certains projets.

Ne pas entretenir de relation avec une partie prenante clé, ou même avoir une relation litigieuse, peut créer des obstacles qui autrement n’existeraient pas, explique Antos. « Cela peut donner lieu à des malentendus sur ce que l’équipe de sécurité essaie de faire ou conduire à des hypothèses incorrectes, des interprétations erronées ou une mauvaise communication », dit-elle.

Ceux-ci peuvent entraver l’allocation budgétaire et conduire à ce que la solution ou l’initiative ne figure plus sur la liste des priorités. Cela renforce l’importance d’une compréhension partagée de l’importance du projet. Cela nécessite des relations constructives et un alignement des priorités.

« La plupart du temps, ce que fait la sécurité est mis en œuvre par d’autres équipes, comme l’ingénierie, les développeurs ou l’informatique, et donc quoi que vous cherchiez à mettre en œuvre, vous devrez le placer en priorité dans leur file d’attente de travail », dit-elle. dit.

La littératie financière sous-tend les relations qui ont un impact sur le financement

Les organisations étant confrontées à des difficultés financières, cela exerce davantage de pression sur les RSSI pour qu’ils justifient leur budget auprès des parties prenantes, notamment le directeur financier, le PDG et le conseil d’administration, selon Watson. « En outre, les nouvelles exigences en matière de divulgation auprès de la SEC mettent fortement l’accent sur la quantification des cyber-risques, car l’importance relative est devenue très importante », dit-il.

Pour répondre de manière convaincante à ces défis, les RSSI doivent lier les cyber-risques au budget. C’est pourquoi les outils de quantification des cyber-risques deviennent de plus en plus importants pour élaborer une analyse de rentabilisation solide.

« Comment prouver si quelque chose est important ou non ? Pour ce faire, vous devez disposer d’une formule mathématique. C’est l’art et la science que la quantification des cyber-risques prend désormais beaucoup d’ampleur dans les organisations », dit-il.

Pour les petites organisations et celles qui ne font pas appel à des cabinets de conseil, Antos suggère d’utiliser les outils et ressources ISACA ou IANS pour développer leurs processus d’analyse des risques et de budgétisation. « Ces outils fournissent des conseils et du matériel pour aider les équipes de sécurité à développer en interne les connaissances financières et les processus budgétaires nécessaires », explique-t-elle.

Le cadre d’intégration du modèle de maturité des capacités (CMMI) d’ISACA facilite le contrôle des coûts et les stratégies de budgétisation basées sur les risques. Les organisations utilisant le cadre ont montré une réduction de 47 % de la variance des coûts, selon le rapport technique CMMI 2023.

Pour Antos, les diplômes en systèmes d’information et en comptabilité ont permis de combler les aspects techniques et financiers du rôle de RSSI. Elle souligne que comprendre le langage de la finance et communiquer la valeur commerciale des investissements en matière de sécurité peut renforcer considérablement la position d’un RSSI lors de la négociation des budgets.

Pour les RSSI, la culture financière n’est plus facultative : elle est essentielle pour impliquer les parties prenantes et élaborer une analyse de rentabilisation en faveur des investissements en matière de sécurité.

Comprendre le processus de budgétisation et communiquer la valeur commerciale de la sécurité permet aux RSSI de combler le fossé entre les exigences techniques et les priorités organisationnelles, en garantissant qu’ils disposent des ressources dont ils ont besoin.

D’un point de vue pratique, les discussions sur les besoins en matière de sécurité, en particulier lorsqu’il s’agit de grands projets, doivent commencer dès le début et expliquer quel impact cela aura sur l’entreprise.

« Il est beaucoup plus facile d’avoir tout cela à l’avance que d’essayer de le faire pendant le processus budgétaire », dit-elle.