Une étude ISACA indique que 95 % des entreprises estiment qu’il existe un écart entre leur culture de cybersécurité actuelle et celle qu’elles souhaiteraient avoir.
En effet, les violations de données récurrentes donnent l’impression que les investissements dans la cybersécurité ne sont jamais suffisants. Or, c’est au responsable de la sécurité des systèmes d’information (RSSI) de hiérarchiser les ressources disponibles, en fonction des risques potentiels, pour justifier des investissements supplémentaires nécessaires auprès de son équipe dirigeante.
Cependant, pour Pierre-Louis Lussan, Manager chez Netwrix (logiciels de sécurité informatique), de nombreux RSSI ont du mal à justifier la pertinence de ressources supplémentaires auprès de leurs supérieurs ; il existe pourtant trois étapes clés pour parvenir à leurs fins :
« En amont d’une demande d’investissements supplémentaires, les RSSI doivent commencer par vérifier la bonne affectation des ressources actuelles pour contenir les menaces et résoudre les vulnérabilités. Ils peuvent, pour ce faire, recourir à des évaluations régulières sur les risques que présentent ces vulnérabilités, ainsi que leur capacité actuelle à contenir une cyberattaque. Grâce à ces évaluations, les RSSI définissent les postes spécifiques qui nécessitent des efforts et des investissements supplémentaires. En outre, une veille quotidienne leur permet de se tenir informé des dernières recherches en matière de cybersécurité et des violations de données sévissant dans le secteur, pour mieux cerner les faiblesses de leur organisation.
L’étape suivante consiste à parler aux dirigeants. Les RSSI peuvent commencer par résumer les menaces potentielles et leur expliquer les démarches pour y faire face ; tout en démontrant leur utilisation des technologies et des ressources humaines existantes. Il est alors conseillé d’éviter les termes techniques au profit de scénarios concrets, en s’appuyant idéalement sur des incidents de cybersécurité mentionnés dans la presse nationale. Pour démontrer la pertinence de leurs besoins, les RSSI peuvent, en outre, se reposer sur plusieurs mesures : le temps moyen de détection et de correction, le nombre d’incidents et de vulnérabilités découverts par rapport au nombre corrigé, les économies réalisées grâce aux correctifs, ou encore le temps moyen entre les incidents survenus dans le passé. Il s’agit aussi du moment judicieux pour souligner les failles qui rendent l’entreprise vulnérable, et déterminer les ressources nécessaires à déployer pour les corriger.
La dernière étape consiste enfin à fournir un plan détaillé sur la manière dont le RSSI utilisera un potentiel budget additionnel pour réduire les risques identifiés ; cela inclut les ressources – personnes et technologies –, les délais et le coût financier. Pour étayer cette demande, il est important d’estimer le retour sur investissement de sécurité (ROSI, Return On Security Investment) attendu, pour prouver l’efficacité en termes d’équilibrage du risque et des coûts. Pour calculer le ROSI, ils peuvent se baser sur la réduction directe des pertes financières, en quantifiant dans quelle mesure le nouveau projet atténue les risques. Plus largement, les RSSI vont démontrer les avantages apportés à l’entreprise, via la réduction des coûts, l’augmentation des revenus ou la valorisation de la société sur le marché.
Demander davantage d’investissements dans des projets de sécurité reste un défi. Les dirigeants ne seront en effet pas influencés par de vagues promesses de sécurité ou des prédictions aléatoires sur les menaces actuelles et à venir. C’est pourquoi il est essentiel de leur fournir des données fiables, qui démontrent comment une cybersécurité renforcée favorise la pérennité d’une organisation. De plus, les RSSI doivent bien connaitre le marché et les objectifs de l’organisation, afin d’identifier les risques les plus critiques et de mieux mettre en avant les bénéfices qui parleront aux conseils d’administration. »
Crédit photo : DR
[cc] Breizh-info.com, 2018, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine
