Cybersécurité : musclez votre stratégie

Alors que les directions générales expriment des niveaux d'attentes de plus en plus élevés autour des problématiques cyber, ces dernières peuvent faire preuve de réticences à la suite d'investissements n'ayant pas fait la preuve suffisante de leur efficacité.

Pour autant, cela ne les dissuade pas d’investir : d’année en année, les budgets alloués à la cybersécurité augmentent. Alors qu’ils étaient plus de 50% à prévoir une augmentation de leur budget cyber en 2022, les dirigeants interrogés sont 79% à augmenter leur budget pour 2024 – dont 10% d’entre eux de plus de 15% (Global Digital Trust Insights Survey PwC, 2024).

Aussi, pour maximiser l’efficacité de vos investissements cyber et répondre aux exigences de vos dirigeants en matière de retour sur investissement, vos décisions devraient se baser sur votre analyse de risques et l’identification de vos besoins. Mais il n’est pas nécessairement intuitif d’établir une stratégie d’investissements en cybersécurité.

Pour vous aider, voici quatre pistes de réflexion à explorer qui se distinguent des pratiques conventionnelles :

1- Utilisez les initiatives cyber pour créer et maintenir de la valeur, plutôt que de simplement la protéger

Les investissements en cybersécurité se font souvent en réaction à une attaque et dans une posture défensive. Alors que de nombreuses organisations restent concentrées sur la protection de la valeur de leur entreprise, le besoin de création de valeur évolue. Faites de votre direction générale votre allié et accélérez la transformation numérique de votre organisation en visant la réduction des coûts et l’augmentation des revenus, tout en gardant l'œil sur l’évolution des menaces. D'après notre expérience, 30 à 40% des investissements en cybersécurité devraient être consacrés à la protection, environ 30% à la détection et les 30% restants à la réponse aux attaques et à la récupération. En adoptant cette approche, vous optez pour une répartition équilibrée de vos investissements, rendant ainsi vos choix lisibles auprès de votre direction.

Les investissements cyber doivent désormais être perçus comme créateurs de valeur et non cloisonnés aux questions de sécurité, de contrôle et de défense. La cybersécurité contribue de manière plus large à la croissance de l’entreprise, en améliorant l’expérience client et la gestion des coûts. Elle doit être perçue comme la clé de voûte de la confiance.

2- Ne laissez pas les solutions technologiques déterminer vos stratégies d'investissement

Pour éviter l'effet “méli-mélo” de solutions logicielles, il est primordial d’avoir établi préalablement un plan d’ensemble pour leur utilisation. En effet, certains outils peuvent avoir des fonctions redondantes, ne pas se synchroniser correctement ou ne pas fournir une couverture adéquate, ce qui entraîne une perte de temps et d'argent.

En 2024, l’un des défis exprimés par les dirigeants interrogés dans notre enquête Digital Trust Insights est celui de la rationalisation. Ils sont encore près de 20% à exprimer le souhait de rationaliser leurs solutions cyber, sources de complexité. En multipliant les solutions, vous complexifiez votre architecture qui devient de fait plus difficile à protéger correctement.

Un plan d’investissement global en cybersécurité efficace devrait :

• assurer la couverture de vos risques les plus importants et en limiter les principales lacunes ;
• développer la capacité et l'agilité de votre organisation pour combattre la prochaine menace ;
• mais aussi et surtout être directement en lien avec les principaux objectifs commerciaux de votre organisation.

Par exemple, il est fréquent que les entreprises achètent des solutions distinctes pour la gestion du consentement, la gestion des préférences et l'authentification. Pourtant, il est judicieux de traiter la question de la gestion de l'identité et des accès des consommateurs dans sa globalité, pour en faire un élément essentiel de l'amélioration de l'expérience client. Ainsi, certaines solutions proposent une gamme complète de services aux consommateurs, au-delà de la dimension sécuritaire qui comprend la collecte, la protection des données, la vérification de l’identité ou des fonctionnalités anti-fraude. En connaissant les préférences et les comportements de vos clients, vous personnalisez leur expérience numérique et améliorez vos interactions avec eux, notamment en réduisant les communications non pertinentes. Aussi, cette vision d’ensemble est clé pour installer la confiance auprès des consommateurs et soutenir de manière indirecte la croissance de vos revenus.

Une bonne pratique est également de veiller à une revue fréquente de ses outils et autres logiciels pour désactiver ceux qui ne servent pas ou plus, mais qui peuvent constituer une complexité supplémentaire et servir de point d’entrée potentiel pour les attaques.

3- Adoptez une approche d'investissement basée sur les données

En matière d’investissements en cybersécurité, il n’existe pas de stratégie unique. Ne vous laissez pas guider par la peur, l'incertitude et le doute. Ce qui convient à votre organisation n’est pas nécessairement ce qui a fait ses preuves chez votre concurrent et la dernière technologie n’est pas forcément celle qu’il vous faut.

Toutefois, la prise de décisions les plus pertinentes en matière de cybersécurité repose sur votre capacité à collecter les données pour les transformer en informations exploitables. Ces dernières seront clés pour quantifier les risques cybernétiques, la modélisation des menaces, la création de scénarios et l'analyse prédictive. Pour maximiser votre capacité à transformer les données en information utile, il convient donc d'intégrer à votre modèle de prise de décisions des outils d'analyse, rendant vos choix d'investissement et de gestion des risques cyber plus pertinents.

En quantifiant les risques cyber, vous adoptez une approche systématique d’évaluation des nouvelles menaces. Par exemple, une entreprise voulant réaliser des acquisitions évalue plus rapidement et plus systématiquement les opportunités de transaction. Une institution financière peut évaluer les menaces et les vulnérabilités quotidiennement ou de façon hebdomadaire pour protéger des millions de transactions par jour et rester vigilante quant à l'efficacité de ses contrôles. 

4- Lorsque vous vous lancez dans l'adoption du Cloud, concentrez-vous sur la responsabilité partagée

Alors que 58% des entreprises françaises déclarent avoir adopté le cloud dans la plupart ou la totalité des fonctions de l’entreprise, plus de la moitié déclare ne pas avoir atteint les résultats recherchés : réduction des coûts, amélioration de la résilience, génération de nouveaux revenus, etc. (Etude Cloud France PwC, 2023).

Lorsque vous passez d'un système on-premise à un système basé sur le cloud, il est important de réévaluer vos procédures et réglementations existantes afin de déterminer si vos attentes s'appliquent à ce nouvel environnement. En effet, des ajustements peuvent être nécessaires pour s'adapter au modèle de responsabilités partagées.

Votre stratégie Cloud doit également s'aligner sur votre stratégie commerciale. Votre investissement doit donc être suffisamment calibré et doit privilégier des domaines qui s’y prêtent le plus, tels que la gestion du changement ou le développement de nouveaux processus. Dans le cas contraire, vous pouvez anticiper un retour sur investissement inférieur à la moyenne.

L’enjeu de sécurité que représente le Cloud est une réalité pour les RSSI. Ils sont conscients de la menace que peut représenter le Cloud, constituant la préoccupation cyber numéro 1 pour près de la moitié (47%) des répondants.

Un programme de sécurité bien planifié basé sur le Cloud peut accélérer votre migration vers celui-ci. Aussi, veillez à concevoir votre programme lorsque vous commencez à planifier votre migration, le plus tôt étant le mieux.