Les dirigeants de la sécurité doivent lutter contre les coupes proposées en justifiant le retour sur les investissements et en se concentrant sur le récit du risque. Une récente enquête auprès des pairs de la CISO met en lumière les coupes plus susceptibles de se traduire par des conséquences en matière de sécurité.
Des budgets de sécurité inadéquats pour soutenir les améliorations technologiques, la formation en sécurité et les initiatives commerciales ont un impact disproportionné pour rendre les entreprises plus sensibles aux attaques, selon de nouvelles recherches.
Une enquête auprès de 600 cisos en Europe, aux États-Unis, en Australie et au Japon commandées par Splunk a trouvé une langue et un écart de priorité entre les conseils d’administration et les chefs de sécurité. Les CISO sont sous pression pour freiner les fonctions de dépenses et d’externalisation tout en démontrant la valeur commerciale des initiatives de sécurité.
L’enquête réalisée par la société de visualisation de sécurité appartenant à Cisco a révélé que la réduction de certains domaines – telles que la formation du personnel et les améliorations technologiques reportées – est plus susceptible de conduire à un incident de sécurité matérielle que d’autres.
De telles informations de leurs pairs interrogées pourraient aider les CISO à façonner un argument plus convaincant axé sur les risques lorsqu’ils repoussent contre les coupes proposées du conseil d’administration – ou, le pire des cas, informent leurs propres choix d’investissement lorsqu’ils sont confrontés à des contraintes budgétaires.
Impact des budgets de sécurité inadéquats
| Mesure de réduction des coûts | Expérimenté en raison de budget inadéquat |
A abouti à un succès violation ou attaque |
| Mises à niveau de la technologie reportée | 52% | 62% |
| Solutions et outils de sécurité réduits | 50% | 19% |
| Imposé le gel d’embauche de sécurité | 40% | 29% |
| Échec / élimination de la sécurité en matière de sécurité | 36% | 45% |
| Échec de soutenir une initiative commerciale | 18% | 64% |
Mises à niveau reportées
Alors que les cybermenaces évoluent à un rythme sans précédent, le retard des améliorations de technologie essentielles peut avoir un impact grave sur une organisation. Les dernières mises à jour technologiques sont introduites pour améliorer les offres de sécurité d’une organisation et relever directement les défis récemment identifiés.
Les améliorations technologiques postpondues peuvent également laisser des organisations s’appuyant sur des systèmes hérités obsolètes, sous réserve de la dette de sécurité croissante.
Les CISO ont indiqué que les améliorations de report, la mesure de réduction des coûts la plus courante, ont entraîné une violation de 62% du temps.
Formation à l’échelle de la sécurité
Lorsque les budgets sont réduits, de nombreuses organisations ressentent une pression pour réduire en arrière ou éliminer complètement les programmes de formation, laissant les employés non préparés à identifier les menaces potentielles.
Cela devient souvent un problème parce que l’erreur humaine – comme les logiciels ou les infrastructures erronées – conduit souvent à des temps d’arrêt et à des revenus commerciaux perdus. De plus, la réduction de la formation de sensibilisation à la sécurité peut entraîner une culture de sécurité laxiste à travers l’organisation.
« La formation à la sécurité est cruciale pour réduire les erreurs humaines et permettre aux employés d’identifier les attaques de phishing, donc en éliminant les formations, les organisations sont plus sensibles à une violation », a déclaré Paine de Splunk.
Plus d’un tiers des CISO (36%) ont déclaré des réductions de formation en raison de contraintes budgétaires, 45% subissant une attaque réussie en conséquence.
Échec à soutenir les initiatives commerciales
Les équipes de sécurité ne sont pas toujours allouées suffisantes, du temps ou d’autres ressources nécessaires pour soutenir l’évolution ou la croissance de leur entreprise, ce qui entraîne un décalage entre les capacités de sécurité et les initiatives commerciales qu’ils sont censés obtenir.
Cela peut souvent se produire avec des initiatives numériques entreprises pour l’opportunité, comme la récente ruée vers l’adoption de l’IA, ce qui a conduit de nombreuses organisations à sauter des mesures de durcissement de sécurité traditionnelles en faveur de victoires rapides et d’expérimentation généralisée.
«Les initiatives commerciales pourraient être de nouveaux produits ou fonctionnalités, ou une façon de travailler différente (travailler à domicile)», a expliqué Paine de Splunk. «Quelle que soit l’initiative, sans le soutien de la sécurité, ces initiatives sont souvent conçues sans sécurité à l’esprit.»
Paine a ajouté: «Essayer« d’ajouter de la sécurité après »est connu depuis longtemps pour être une approche pire que la« sécurité par conception ».»
Peu de CISO (18%) ont reçu un financement inadéquat pour soutenir les initiatives commerciales, selon l’enquête, mais près des deux tiers de ces (64%) ont subi une violation.
Déconnexion de la communication
L’étude de Splunk – intitulée The Ciso Report – révèle une déconnexion entre les CISO et les conseils d’administration concernant le financement de la sécurité, 41% des conseils jugeant suffisamment leurs budgets de sécurité, contre seulement 29% des CISO.
« Cette disparité découle souvent des conseils d’administration de considérer les budgets de sécurité comme une préoccupation tactique, plutôt que de considérer leur impact plus large sur l’entreprise », a déclaré Paine. « Pour déplacer cette perspective, les CISO doivent expliquer la valeur de leur travail en termes de résultats commerciaux, tels que les revenus qui sont protégés et la réputation de la marque qu’ils économisent. »
Les conseils protègent la rentabilité tandis que les CISO se concentrent sur la protection des données et des systèmes. Pour combler cette lacune, les membres du conseil d’administration et les CISO doivent identifier les domaines d’une importance proche ou égale pour leurs parties prenantes respectives, conseille Splunk.
« Par exemple, au lieu de se concentrer sur le temps moyen pour résoudre (MTTR) (problèmes), les CISO devraient prioriser la réduction des risques et communiquer au conseil d’administration de l’importance d’atténuer les risques qui conduisent à un retour sur investissement plus élevé, qui sont les termes qu’ils connaissent davantage », a conclu Paine.
Savoir vendre le conseil d’administration sur le financement de la sécurité est un art que les CISO doivent maîtriser. Comme d’assurer le respect mutuel des attentes afin de créer une rue bidirectionnelle entre les besoins du conseil d’administration et de la CISO.
Justifier les dépenses de sécurité
Jonathan Lee, directeur britannique de la cybersécurité chez Trend Micro, a déclaré que les entreprises considèrent encore souvent les dépenses de sécurité comme un coût qui peut être réduit dans la poursuite du profit plutôt que comme un investissement qui soutient la croissance.
«La gestion des organisations réactive aux menaces qui frappent ne sont pas acceptables», a expliqué Lee. «Avec seulement un tiers des organisations ayant un membre du conseil d’administration ayant des connaissances en cybersécurité, il est temps de réduire les biais d’optimisme qui peuvent prévaloir aux niveaux supérieurs et de sous-tendre stratégiquement les objectifs de l’organisation avec des mesures de sécurité qui réduisent considérablement les vulnérabilités qui conduisent à être violées en premier lieu.»
Trey Ford, CISO pour les Amériques de Bug Bounty Platform Bugcrowd, accepte que les conditions économiques difficiles signifient que les budgets sont serrés mais soutient que la réduction des dépenses de sécurité pour soutenir les projets précédemment convenus serait périlleux.
Les effectifs gelés sont plus que frustrants pour les équipes de sécurité opérationnelle – elle accélère la fatigue alerte, les rotations de garde et l’épuisement professionnel. Le financement perdu pour l’outillage et les projets peut exacerber les lacunes de la visibilité – restreindre la couverture de l’exploitation forestière, la surveillance et l’alerte ou les tests et le suivi des vulnérabilités dans les systèmes et les applications.
« Les initiatives de sécurité perdant des fonds sont rarement dans la catégorie` `agréable à avoir ‘- ils sont presque toujours liés à la lutte contre les éléments de risque et aux lacunes de contrôle qui ont été prioritaires par le comité des risques », a déclaré Ford. «Le risque d’être traité et les projets étant dérangés auront besoin d’une nouvelle acceptation des risques et peuvent nécessiter de signaler le comité des risques du conseil d’administration.»
Aligner et communiquer sur le risque
Ilia Kolochenko, PDG du fournisseur de tests de sécurité des applications Immuniweb, soutient que les dirigeants de la sécurité doivent formuler une stratégie de cybersécurité cohérente.
« De nombreuses organisations ont tendance à se chevaucher et donc des solutions redondantes de différents fournisseurs, tout en allouant de peu à pas de temps pour faire un triage approprié d’alertes de sécurité et de réponse aux incidents », a déclaré Kolochenko.
“Worse, an alarmingly small percentage of organizations have a well-defined, long-term oriented, and holistic cybersecurity strategy, which would encompass such crucial areas as third-party risk management, misconfigurations, and broken IAM in a multi-cloud environment, container security, or emerging gen AI risks, including over-reliance of software engineers on synthetic code from gen AI bots that frequently contains vulnerabilities or even Barginades », a déclaré Kolochenko.
Les CISO et les conseils doivent aligner leurs priorités et s’entendre sur un style de communication où le cyber-risque peut être compris, articulé et atténué sur une base constante.
« Cela aidera à garantir que la prise de décision et les investissements soient prises sur une base informée », a déclaré Lee. «Cela devrait permettre de dépenser le budget dans les bons domaines, ce qui à son tour s’assurera que la conformité réglementaire est respectée et que les services continuent de fonctionner.»
Les éléments fondamentaux tels que la formation, les mises à jour du système, la planification de la reprise après sinistre, la réponse aux incidents et la surveillance de la conformité sont essentiels pour maintenir une forte posture de sécurité, selon Alan Radford, stratège sur le terrain chez Identity Security Fendor One Identity.
