Cybersécurité : musclez votre stratégie
On observe un renouveau dans le financement de la cybersécurité. Toutefois, un budget plus important ne constitue pas pour autant la réponse exclusive au problème. Les investissements cyber pourraient-ils encore gagner en efficacité lorsqu'il s'agit de protéger la gouvernance et les processus ?
Alors que les directions générales expriment des niveaux d'attentes de plus en plus élevés autour des problématiques cyber, ces dernières peuvent faire preuve de réticences à la suite d'investissements n'ayant pas fait la preuve suffisante de leur efficacité.
Cela ne les dissuade pas pour autant d'investir car plus de la moitié des dirigeants interrogés prévoient une augmentation de leur budget dédié à la cybersécurité de 6% et plus (contre 30% en 2020) (Global Digital Trust Insights Survey 2022, PwC).
Le point de vue des dirigeants quant aux investissements liés à la cybersécurité pour 2022
Aussi, pour maximiser l’efficacité de vos investissements cyber et répondre aux exigences de vos dirigeants en matière de retour sur investissement, vos décisions devraient se baser sur votre analyse de risques et l’identification de vos besoins. Mais il n’est pas nécessairement intuitif d’établir une stratégie d’investissements en cybersécurité.
Pour vous aider, voici quatre pistes de réflexion à explorer qui se distinguent des pratiques conventionnelles :
1- Utilisez les initiatives cyber pour créer et maintenir de la valeur, plutôt que de simplement la protéger
Les investissements en cybersécurité se font souvent en réaction à une attaque et dans une posture défensive. Alors que de nombreuses organisations restent concentrées sur la protection de la valeur de leur entreprise, le besoin de création de valeur évolue. Faites de votre direction générale votre allié et accélérez la transformation numérique de votre organisation en visant la réduction des coûts et l’augmentation des revenus, tout en gardant l'œil sur l’évolution des menaces. D'après notre expérience, 30 à 40% des investissements en cybersécurité devraient être consacrés à la protection, environ 30% à la détection et les 30% restants à la réponse aux attaques et à la récupération. En adoptant cette approche, vous optez pour une répartition équilibrée de vos investissements, rendant ainsi vos choix lisibles auprès de votre direction.
Les investissements cyber doivent désormais être perçus comme créateurs de valeur et non cloisonnés aux questions de sécurité, de contrôle et de défense. La cybersécurité contribue de manière plus large à la croissance de l’entreprise, en améliorant l’expérience client et la gestion des coûts. Elle doit être perçue comme la clé de voûte de la confiance.
2- Ne laissez pas les solutions technologiques déterminer vos stratégies d'investissement
Pour éviter l'effet “méli-mélo” de solutions logicielles, il est primordial d’avoir établi préalablement un plan d’ensemble pour leur utilisation. En effet, certains outils peuvent avoir des fonctions redondantes, ne pas se synchroniser correctement ou ne pas fournir une couverture adéquate, ce qui entraîne une perte de temps et d'argent.
Un plan d’investissement global en cybersécurité efficace devrait :
- assurer la couverture de vos risques les plus importants et en limiter les principales lacunes ;
- développer la capacité et l'agilité de votre organisation pour combattre la prochaine menace ;
- mais aussi et surtout être directement en lien avec les principaux objectifs commerciaux de votre organisation.
Par exemple, il est fréquent que les entreprises achètent des solutions distinctes pour la gestion du consentement, la gestion des préférences et l'authentification. Pourtant, il est judicieux de traiter la question de la gestion de l'identité et des accès des consommateurs dans sa globalité, pour en faire un élément essentiel de l'amélioration de l'expérience client. Ainsi, certaines solutions proposent une gamme complète de services aux consommateurs, au-delà de la dimension sécuritaire qui comprend la collecte, la protection des données, la vérification de l’identité ou des fonctionnalités anti-fraude. En connaissant les préférences et les comportements de vos clients, vous personnalisez leur expérience numérique et améliorez vos interactions avec eux, notamment en réduisant les communications non pertinentes. Aussi, cette vision d’ensemble est clé pour installer la confiance auprès des consommateurs et soutenir de manière indirecte la croissance de vos revenus.
Une bonne pratique est également de veiller à une revue fréquente de ses outils et autres logiciels pour désactiver ceux qui ne servent pas ou plus, mais qui peuvent constituer une complexité supplémentaire et servir de point d’entrée potentiel pour les attaques.
3- Adoptez une approche d'investissement basée sur les données
En matière d’investissements en cybersécurité, il n’existe pas de stratégie unique. Ne vous laissez pas guider par la peur, l'incertitude et le doute. Ce qui convient à votre organisation n’est pas nécessairement ce qui a fait ses preuves chez votre concurrent et la dernière technologie n’est pas forcément celle qu’il vous faut.
Toutefois, la prise de décisions les plus pertinentes en matière de cybersécurité repose sur votre capacité à collecter les données pour les transformer en informations exploitables. Ces dernières seront clés pour quantifier les risques cybernétiques, la modélisation des menaces, la création de scénarios et l'analyse prédictive. Pour maximiser votre capacité à transformer les données en information utile, il convient donc d'intégrer à votre modèle de prise de décisions des outils d'analyse, rendant vos choix d'investissement et de gestion des risques cyber plus pertinents. Seul un tiers des entreprises ayant répondu à l’enquête Global Digital Trust Insights 2022 de PwC se sont dotées d’outils d’aide à la décision, leur donnant un temps d’avance dans la gestion des risques cyber.
En quantifiant les risques cyber, vous adoptez une approche systématique d’évaluation des nouvelles menaces. Par exemple, une entreprise voulant réaliser des acquisitions évalue plus rapidement et plus systématiquement les opportunités de transaction. Une institution financière peut évaluer les menaces et les vulnérabilités quotidiennement ou de façon hebdomadaire pour protéger des millions de transactions par jour et rester vigilante quant à l'efficacité de ses contrôles.
4- Lorsque vous vous lancez dans l'adoption du Cloud, concentrez-vous sur la responsabilité partagée
Alors que 56% des dirigeants considèrent le Cloud comme une plateforme stratégique pour la croissance et l'innovation, 53% des entreprises déclarent qu'elles n'ont pas encore exploité tout le potentiel de leurs investissements dans le Cloud , souvent par manque de collaboration efficace entre RSSI et les responsables de gestion des risques (Enquête US Cloud Business Survey de PwC - Juin 2021).
Lorsque vous passez d'un système on-premise à un système basé sur le cloud, il est important de réévaluer vos procédures et réglementations existantes afin de déterminer si vos attentes s'appliquent à ce nouvel environnement. En effet, des ajustements peuvent être nécessaires pour s'adapter au modèle de responsabilités partagées.
Votre stratégie Cloud doit également s'aligner sur votre stratégie commerciale. Votre investissement doit donc être suffisamment calibré et doit privilégier des domaines qui s’y prêtent le plus, tels que la gestion du changement ou le développement de nouveaux processus. Dans le cas contraire, vous pouvez anticiper un retour sur investissement inférieur à la moyenne.
L’enjeu que représente le Cloud est une réalité pour les responsables sécurité : 48% des DSI ont déclaré que la cybersécurité était la fonctionnalité Cloud à déployer en priorité au cours des 12 prochains mois (Global Digital Trust Insights 2022, PwC). Un programme de sécurité bien planifié basé sur le Cloud peut accélérer votre migration vers celui-ci. Aussi, veillez à concevoir votre programme lorsque vous commencez à planifier votre migration, le plus tôt étant le mieux.
Découvrez l'outil Connected Risk Engine Cyber !
La plateforme d'évaluation de votre maturité cybersécurité
Grâce à une vue d'ensemble de vos pratiques de cybersécurité, Connected Risk Engine Cyber accélère les revues et vous permet d'être plus agile. Vous comparez votre maturité pour vous inspirer des bonnes pratiques de votre secteur. La solution vous permet également de gagner du temps : vous obtenez les résultats de votre évaluation de maturité sur la plateforme et des recommandations personnalisées. Vous facilitez ainsi la prise de décision : les rapports et tableaux de bord interactifs mis à votre disposition vous facilitent l'analyse de votre stratégie de manière détaillée.
En synthèse...
Ne combattez pas les menaces d'hier, ne vous équipez pas uniquement pour relever les défis d'aujourd'hui. Visez plutôt la création de solutions qui s'inscrivent dans votre vision et votre stratégie à long terme, et ce, même pendant les moments de turbulence.
Être prêt à répondre aux cybermenaces d'aujourd'hui ne suffit pas. Tirez parti des progrès de l'automatisation, de l'analyse de données et de l'intelligence artificielle afin de concentrer vos ressources sur les plus grandes vulnérabilités. Construisez une stratégie durable qui s'appuie sur des technologies innovantes. La cyberprotection de demain nécessite que vous investissiez dans des capacités essentielles qui vous offriront l'agilité nécessaire pour répondre à la prochaine génération de menaces.