Il s’avère que le véritable changement de pouvoir en matière de sécurité n’est pas un budget plus important : il s’agit de réduire l’encombrement et de prouver ce qui réduit réellement les risques.
Pendant des années, j’ai eu la chance de vivre de nombreuses années et de gagner suffisamment de budget pour déployer des programmes de cybersécurité. J’ai travaillé selon le même manuel : effectuer une évaluation des risques, montrer quelques gains rapides, établir une analyse de rentabilisation et le budget suivrait. Cela a demandé des efforts, mais après quelques cycles, le processus semblait presque prévisible.
Une expérience récente a tout changé. Un nouveau patron, un vice-président senior, est venu me voir et m’a dit lorsque je suis arrivé à ce poste : « Nous devons être financièrement efficaces. Nous devons réduire les dépenses de l’année en cours de 10 %, absorber l’inflation de l’année prochaine, capturer les gains d’efficacité qui se matérialiseront dans les dépenses de l’année prochaine de 5 % et le faire de manière à créer des gains d’efficacité pour autofinancer de nouvelles initiatives. »
J’ai repensé à tous les rapports industriels de Gartner, IDC et d’autres, qui pointaient systématiquement vers une augmentation d’une année sur l’autre des dépenses en matière de cybersécurité, souvent à un ou deux chiffres. Ensuite, on m’a dit de couper, pas de grandir. Au début, j’ai repoussé. Puis j’ai vu l’opportunité de faire quelque chose de différent. Au lieu de lutter contre les chiffres, j’ai commencé à chercher des moyens de rendre l’équipe plus efficace avec moins. Ce changement a ouvert de nouvelles options que je n’avais jamais envisagées auparavant.
Lorsque nous parlons de sécurité, nous ne pensons généralement pas à réduire les contrôles, les coûts ou les équipes, nous considérons donc tout ce qui n’est pas directement lié à la « mission d’atténuation des risques » comme une distraction. Nous sommes formés pour additionner, pas pour soustraire. Lorsque l’argent est facile, nous empilons les outils, développons nos équipes et recherchons chaque nouveau risque. Mais l’abondance cache le gaspillage. J’ai vu des contrôles que personne n’utilise, des fournisseurs que personne ne vérifie, des tableaux de bord qui prennent la poussière et des équipes qui se chevauchent. Dès que le budget se resserre, tout ce désordre ressort. C’est alors que vous découvrez ce qui compte vraiment et où la direction gagne sa vie.
L’efficacité comme langage de leadership
Sous des contraintes financières, le mandat du RSSI passe de l’acquisition à l’allocation du capital, où la question centrale devient de savoir quelles actions réduisent sensiblement l’exposition au risque et avec quelle efficacité il accomplit son travail, tout en tenant compte de la discipline financière.
La feuille de route de sécurité doit être gérée comme un portefeuille d’investissements, chaque contrôle étant évalué en fonction de son coût, de son efficacité et de la prévention des pertes. Pour améliorer la clarté et faciliter la prise de décision, envisagez de mapper les contrôles sur une simple matrice coût/efficacité, la taille de chaque élément indiquant le risque que le contrôle supprime du portefeuille global. Cette visualisation met en évidence quels investissements permettent une réduction significative des risques par dollar et lesquels consomment des ressources avec un impact limité.
La crédibilité ne s’établit pas en défendant chaque contrôle, mais en faisant des choix éclairés et en donnant la priorité à ceux qui permettent une réduction mesurable des risques. Réorienter les ressources des initiatives à faible impact vers celles présentant une réduction des risques plus élevée est un acte de gestion. Lorsque nous exprimons les compromis en termes financiers et démontrons leur impact sur le risque de perte et les flux de trésorerie, nous gagnons la confiance plus rapidement que celui qui demande simplement un financement supplémentaire.
Comment faire plus avec moins
1. Réviser les contrats, les renégocier ou confier les opérations à un nouveau partenaire
Le champ d’application, les accords de niveau de service et les mesures de performance devraient être réexaminés car de nombreux contrats ont été établis dans des conditions de risque, d’urgence et de tarification différentes. Moderniser les contrats pour se concentrer sur les résultats plutôt que sur les activités, revalider les hypothèses de tarification et de service là où la concurrence existe et échanger des possibilités de performances mesurables peuvent générer des économies structurelles. Le verrouillage de durées pluriannuelles lorsque les prix et le risque de dépendance sont favorables, ou le recours à des renouvellements plus courts lorsque l’effet de levier du marché est présent, favorise davantage les gains d’efficacité.
Je me souviens d’avoir été assis avec l’équipe et d’avoir examiné un contrat qui avait été signé juste après un cyber-événement majeur. Au fil des années, il s’est enrichi de onze amendements, chacun étant une solution miracle à la dernière urgence. Nous sommes revenus au début, avons vérifié quels risques nous avions en tête, comment le service était réellement utilisé et ce que nous obtenions réellement. Il s’est avéré que nous payions bien plus que ce dont nous avions besoin. En examinant les détails ensemble, nous avons découvert que nous pouvions obtenir un meilleur niveau de protection tout en finançant une mise à niveau vers une plateforme SIEM de nouvelle génération. Dans d’autres cas, nous avons simplement revu les contrats et gardé le même partenaire avec des changements de périmètre.
2. Automatisez la routine
Le temps est souvent la ressource la plus limitée en matière de cybersécurité. L’automatisation des processus de routine tels que le tri, l’émission de tickets, les workflows de correctifs, l’analyse des écarts, la création de rapports et les manuels de réponse standard réduisent le coût unitaire par incident et libèrent des talents qualifiés pour des travaux à plus forte valeur ajoutée. L’automatisation doit être un effort délibéré visant à éliminer les tâches manuelles répétitives et à accroître la cohérence à grande échelle.
Nous avons commencé par l’essentiel : l’automatisation des rapports et du travail de coordination qui semblaient toujours nous faire perdre du temps. Au lieu de créer chaque rapport à la main, nous configurons des flux simples avec des outils tels que Power Automate et Power BI. Soudainement, la génération de rapports qui prenait des heures s’est terminée en quelques minutes et les erreurs ont disparu. Nos playbooks géraient les réponses de routine aux incidents. La véritable victoire a été de voir nos analystes libérés des tâches élémentaires, capables de consacrer leur énergie à des menaces réelles et à des décisions qui nécessitent leur jugement.
3. Réduisez les dépenses administratives et non essentielles
L’efficacité ne se limite pas aux outils et aux fournisseurs. Les dépenses administratives, les déplacements, les activités récurrentes de faible valeur, les rapports en double et les services non essentiels peuvent s’accumuler discrètement et gonfler la base de coûts. En établissant un examen trimestriel des dépenses non essentielles et en prenant des décisions explicites d’arrêter les activités à faible valeur, les organisations peuvent réaliser non seulement des économies de coûts immédiates, mais également des gains de débit cumulés significatifs. Ces petites réductions, cumulées sur une année, peuvent libérer des sommes substantielles, soulignant leur importance stratégique.
Nous avons dépassé les éléments évidents (fournisseurs et outils) et examiné attentivement les petits coûts récurrents qui s’additionnent discrètement. Certains abonnements et services avaient du sens autrefois, mais ils restent désormais là, à peine utilisés. Je me souviens avoir examiné un service d’analyse de code et réalisé que nous payions plus que ce dont nous avions besoin. En le réduisant pour qu’il corresponde à ce que nous utilisions réellement, nous avons immédiatement économisé de l’argent, sans ajouter de risque. Cela nous rappelle que parfois, les gains les plus importants proviennent d’un entretien ménager discret et minutieux, et non de réductions drastiques.
4. Restructuration des équipes et externalisation autour de la valeur
Les organisations de sécurité ont tendance à évoluer en silos, façonnées par les domaines technologiques, les incidents ou les fournisseurs plutôt que par les risques qu’elles sont censées gérer. Revoir le modèle opérationnel cible implique de réorganiser délibérément les équipes et les partenaires autour de domaines de valeur, et non d’outils. Les domaines de valeur, ou groupes de risques associés, donnent la priorité à l’alignement de la gestion des risques plutôt qu’à la segmentation technologique. La consolidation des fonctions qui se chevauchent, telles que la réponse aux incidents, la gestion des vulnérabilités et la veille sur les menaces au sein de l’informatique, de l’OT et de la protection des données, réduit les transferts, élimine la duplication et améliore la vitesse d’exécution. L’objectif n’est pas de réduire les effectifs, mais de libérer des capacités et de mieux allouer une expertise rare aux risques les plus importants.
Lorsque nous avons rassemblé des équipes, nous n’avons pas réduit les effectifs. Nous avons simplement cessé de laisser des groupes tels que la réponse aux incidents et la gestion des vulnérabilités travailler de manière isolée. En concentrant tout le monde sur les mêmes risques, nous avons facilité la réponse et le déploiement de nos experts là où ils ont eu le plus grand impact. Nous avons également examiné attentivement l’externalisation, en combinant SOC et MDR pour l’OT, l’informatique et la protection des données en une seule opération. Cette décision a permis de réduire les coûts, d’améliorer l’efficacité et de réduire les risques.
5. Consolider les outils
De nombreuses grandes organisations disposent de plusieurs solutions qui répondent au même domaine de risque. La consolidation des fournisseurs, plutôt que leur expansion, réduit le chevauchement des fournisseurs, réduit les coûts et rationalise les opérations. La discipline consiste à standardiser sur moins de plates-formes, à mettre hors service les outils redondants et à garantir que la pile restante est activement utilisée et mesurée.
Nous avons tendance à acheter un nouvel outil pour chaque nouveau risque que nous trouvons dans le portefeuille et dans de nombreux cas, nous recherchons les meilleures solutions pour chaque risque différent que nous trouvons, qui pourraient également être inefficaces, tant d’outils de différents fournisseurs, généralement non intégrés entre eux, créant une énorme quantité de travail pour essayer de le maintenir géré et bien exploité.
L’avenir appartient aux disciplinés
J’ai appris que diriger avec moins de moyens, chaque choix compte. Décider quoi arrêter est aussi important que commencer. Lorsque nous avons restructuré les équipes, renégocié les contrats et automatisé le travail de routine, nous avons trouvé une réelle efficacité sans perdre en capacité. Ces mesures concernaient la discipline et non seulement la réduction des coûts. À l’avenir, les dirigeants capables de démontrer une réduction des risques par dollar dépensé établiront la norme. L’efficacité est désormais une marque de leadership.
La prochaine génération de responsables de la sécurité ne se mesurera pas à l’aune de leurs dépenses, mais à la clarté et à l’impact de leurs décisions. Au sein du conseil d’administration, la confiance vient du fait de montrer ses compromis et de s’y tenir, et non de rechercher des budgets plus importants. Il ne s’agit pas de couper pour le plaisir. Il s’agit de diriger avec discipline. Où dans votre environnement pouvez-vous tester l’une de ces actions ce trimestre et mesurer le résultat ?
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
