219 milliards de dollar fin 2023. Pourtant, si les entreprises n’ont jamais autant investi en cybersécurité, les managers des équipes IT peinent faire entendre qu’il s’agit d’un investissement pour garantir la pérennité des organisations. Par conséquent, les RSSI (responsables de la sécurité des systèmes d'information) doivent parvenir à démontrer que les initiatives de cybersécurité sont nécessaires et génèrent un retour sur investissement (ROI).
Les mentalités évoluent déjà
Jusqu’à récemment, de nombreuses entreprises voyaient la cybersécurité comme une simple extension de l'informatique interne : on achetait un pare-feu et un logiciel antivirus, et on était à peu près paré pour contrer les menaces. La gestion des risques ne concernait alors que les organisations sensibles, telles que celles des secteurs de la défense et de la finance, ainsi que les agences gouvernementales. Les entités plus petites n'avaient même pas de poste dédié à la sécurité. Mais, en raison de la sophistication et recrudescence des menaces actuelles, cela est en train de changer. En effet, les entreprises sont davantage réceptives à l'idée que la cybersécurité est un investissement, grâce à une meilleure conscience du paysage des cybermenaces.Les quatre piliers du ROI en cybersécurité
Pour que la cybersécurité soit considérée comme un placement judicieux, il faut qu'il y ait un retour sur investissement (ROI) mesurable. La réduction des coûts opérationnels est le moyen le plus évident d'évaluer ce dernier, mais ce n'est pas le seul. Pour réussir, une entreprise doit éviter les violations de données, garantir la conformité aux exigences de sécurité en vigueur et être en mesure de tirer parti des opportunités commerciales. En matière de cybersécurité, le retour sur investissement repose donc sur quatre piliers :- Économiser de l'argent en réduisant les coûts permanents ;
- Se conformer aux politiques internes, aux obligations contractuelles ou aux réglementations sectorielles et gouvernementales ;
- Diminuera le risque commercial en réduisant la probabilité d'incidents, leur impact, ou les deux ;
- Saisir de nouvelles opportunités commerciales et d'acquérir un avantage concurrentiel sur le marché.
La cybersécurité, actrice du ROI
Les organisations ont déjà accéléré leurs transformations numériques en vue d'une plus grande agilité, efficacité et productivité ; ainsi que d'une meilleure expérience client et d'une prise de décision fondée sur les données. La cybersécurité fait également partie intégrante de toute conversation concernant cette digitalisation - les investissements dans la protection digitale devraient donc recevoir une partie du crédit pour les retours attendus. En fait, la cybersécurité est désormais à considérer comme un catalyseur pour l'entreprise. Par exemple, les solutions de gestion des mots de passe accélèrent les workflows, en saisissant automatiquement les identifiants chaque fois que les utilisateurs doivent se connecter, et font gagner du temps aux équipes informatiques et de sécurité en automatisant la rotation des mots de passe et en réduisant le nombre de tickets d'assistance créé.Des outils de sécurité plus complexes peuvent apporter encore plus d'avantages aux entreprises. Les technologies de gestion des identités et des accès (IAM) peuvent ainsi rapidement donner aux nouveaux utilisateurs l'accès aux systèmes, applications et données dont ils ont besoin, afin qu'ils soient productifs dès le premier jour. Dans le cas des sous-traitants, cela permet également de faire des économies significatives, puisqu'ils ne seront pas payés à ne rien faire en attendant que leur accès est mis en place.
Établir les initiatives de cybersécurité comme des investissements
Il est tout à fait naturel que les dirigeants d'entreprise préfèrent les investissements dont le ROI est démontré plutôt que les dépenses. Ils adopteront donc plus facilement une nouvelle stratégie de cybersécurité s'ils la considèrent comme des investissements. Pour amener la direction à adopter ce point de vue, les étapes suivantes peuvent êtredéployées :
- Aligner le plan de gestion des risques de sécurité informatique sur le programme global de gestion des risques de l'entreprise ;
- Fournir un plan clair et réalisable sur la manière dont le budget demandé sera utilisé pour réduire les risques informatiques ;
- Établir des liens entre l'équipe de direction et les chefs de services, afin de s'assurer que la sécurité fait partie des discussions stratégiques pour chaque nouvelle initiative ;
- Soumettre un dossier d'investissement en cybersécurité dès le début d'un projet. Il sera beaucoup plus difficile d'y revenir par la suite et de réclamer le crédit qu'il mérite ;
- Présenter simplement les projets dans un premier temps, puis passer à des discussions plus complexes quant au retour sur investissement.
Par Ilia Sotnikov, Security Strategist chez Netwrix