Dans une économie dominée par la technologie et le management des données, face à une cyber-criminalité de plus en plus dangereuse, voilà une question cruciale régulièrement posée par les dirigeants, les actionnaires, les clients et les régulateurs. 

« Dépensez-vous suffisamment pour votre cybersécurité ? » Pour les responsables de la sécurité informatique, répondre à cette question représente un véritable casse-tête.

Si vous répondez par l’affirmative, vous serez coupable de la moindre brèche dans le système.

Si vous répondez par la négative, on vous soupçonnera de négligence. Sous la pression, vous serez incité à investir encore davantage dans des solutions pas toujours adaptées à la problématique ou à l’organisation. Un cercle vicieux alimenté par l’inflation des budgets consacrés à la sécurité informatique.

Selon le cabinet d’études Gartner, ils sont passés de 584 $, par employé et par an, en 2012 à 1 178 $ en 2018. De grandes banques et des leaders du digital y consacrent désormais plus de 500 M$ par an.

Si vous utilisez le coût comme seule boussole, vous serez confronté à un autre écueil. Difficile, en effet, de chiffrer le coût réel de votre cybersécurité. Inévitablement transversale, elle mobilise les budgets de nombreux services dans l’entreprise : de l’informatique aux risques en passant par la répression de la fraude, le juridique, le commercial ou les ressources humaines. Elle impacte également la politique des achats en imposant une sélection plus exigeante des prestataires, dont les tarifs seront donc amenés à augmenter. De très hauts standards de sécurité peuvent également générer des coûts technologiques sur les postes du développement ou du matériel informatique.

On le comprend, la cybersécurité intéresse toutes les activités de l’entreprise. Sa culture et ses actions doivent être adoptées par l’ensemble de son organisation. Nous estimons à près de 70 % le ratio des brèches ouvertes par des process inadaptés ou des initiatives humaines.
La cyber-résilience exige donc une coopération entre le responsable de la sécurité informatique et les autres managers.

Pour engager une politique d’investissements efficace, il est essentiel, à nos yeux, de poser trois questions clés.

La première aide à définir une ambition et une feuille de route : quel niveau de risque l’entreprise est-elle prête à prendre ? L’infaillibilité parfaite n’existe pas en la matière. Il est donc essentiel d’identifier les actifs prioritaires à protéger, de déterminer leur tolérance au risque et d’évaluer le plus finement possible l’impact financier d’une cyber-attaque. Ces arbitrages impliquent directement la direction.

Une fois les contours de la politique de cybersécurité précisés, une autre question doit être posée : comment allouer ses investissements judicieusement, en ciblant les points faibles de l’environnement existant de l’entreprise, ses process, ses outils et ses compétences ? Cet exercice d’audit ne peut pas se limiter à la conformité du système de sécurité informatique. Il doit être abordé sous un angle opérationnel et systémique, afin d’évaluer son efficience sur le terrain dans les activités de l’organisation.

Enfin, la dernière question concerne les leviers d’optimisation de ses investissements dans la cybersécurité. Ils existent. En effet, les entreprises utilisent rarement toutes les ressources dont elles disposent. Notre expérience auprès de nos clients l’a souvent démontré : recenser toutes les fonctionnalités d’une solution au moment de son implémentation permet souvent de rationaliser les dépenses.
L’introduction de certaines technologies exige une montée en compétences des équipes ou diminue la productivité du travail sur les données. Faute de ce diagnostic plus fin des coûts annexes, le budget peut s’avérer mal orienté ou inutile.

La réalité des menaces en matière de cybersécurité ne laisse aucune place au laxisme budgétaire. Cela ne fait aucun doute. Pour autant, son efficacité et sa résilience reposent sur d’autres leviers, organisationnels et opérationnels. Et c’est en se posant les bonnes questions que l’on peut les actionner.

Par Antoine Gourévitch, directeur associé senior, Boston Consulting Group