Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

3 étapes que les RSSI doivent suivre pour prouver la valeur de la cybersécurité

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
Février 7, 2024
23 min. lire

Les conseils d'administration savent que le risque cybernétique est un élément clé du risque opérationnel, et ils exigent de plus en plus que les RSSI démontrent des gains tangibles en matière de sécurité.  

Pour les dirigeants qui ressentent cette pression croissante, la clé du succès consiste à passer des menaces à la valeur. Il est temps d'abandonner les rapports qualitatifs au profit de mesures plus quantitatives, basées sur la valeur, afin de démontrer comment les programmes de cybersécurité soutiennent les résultats de l'entreprise.

Voici les trois étapes que je recommande aux responsables de la sécurité de suivre pour adopter une approche fondée sur la valeur qui sera couronnée de succès dans la salle du conseil d'administration et protégera votre organisation contre les cybermenaces en constante évolution.

‍1. Travailler à rebours à partir des objectifs de l'entreprise

Pour répondre véritablement aux préoccupations du conseil d'administration en matière de sécurité, les équipes chargées de la sécurité doivent travailler à rebours des résultats de l'entreprise. Il ne suffit plus d'envisager la sécurité comme un exercice à cocher - les RSSI et leurs équipes doivent disposer d'une stratégie ciblée qui prouve leur efficacité et leur efficience.

En alignant les objectifs de sécurité sur les objectifs généraux de l'entreprise, vous pouvez démontrer comment votre programme et ses dépenses s'alignent sur les résultats clés de l'entreprise tout en contribuant à améliorer la résilience globale de l'organisation. Cela obligera à abandonner les rapports qualitatifs au profit de mesures plus quantitatives basées sur la valeur pour démontrer l'impact de la cybersécurité.

Par exemple, ne vous contentez pas de dire que l'organisation devrait investir dans l'amélioration de l'authentification parce qu'il s'agit d'une tactique de sécurité importante. Expliquez plutôt comment l'un des principaux objectifs de l'entreprise bénéficiera de la priorité accordée à l'authentification et de l'investissement dans une solution d'authentification améliorée. Cet état d'esprit actualisé garantit que vous n'investissez que dans la technologie qui vous permet de démontrer une valeur alignée sur les objectifs de l'entreprise.

2. Démontrer rigoureusement le retour sur investissement en matière de sécurité

Malgré des investissements massifs dans les outils de sécurité, les organisations de tous secteurs, de toutes zones géographiques et de toutes tailles subissent encore des cyberattaques catastrophiques.

En fait, le rapport 2023 Cost of a Data Breach d'IBM a révélé que les violations de données ont coûté aux organisations 4,45 millions de dollars en moyenne l'année dernière. Cela prouve que de nombreuses équipes de sécurité mettent en place des technologies de sécurité sans avoir la preuve qu'elles ont un impact positif sur la cyber-résilience.

Il est temps d'associer les efforts de cybersécurité à des avantages tangibles et mesurables en matière de résilience. Chaque dollar dépensé pour la cybersécurité doit se traduire par des gains significatifs en matière de sécurité ou par une réduction mesurable des risques.

Les conseils d'administration reconnaissent que le cyberrisque joue un rôle important dans le risque opérationnel de l'organisation. Ils exigeront des responsables de la cybersécurité qu'ils démontrent des gains tangibles en matière de cybersécurité. Les équipes de sécurité doivent rigoureusement démontrer que les investissements sont directement liés à des avantages réels.

Les conseils d'administration, qui exigent davantage de données et de preuves, évalueront le coût de la résolution des cyberproblèmes par rapport aux risques financiers qu'ils encourent s'ils ne sont pas résolus.

3. Élaborer des stratégies et communiquer en termes commerciaux

Le risque de cybersécurité est un risque commercial - et il appartient aux RSSI de traduire les tactiques de sécurité en une stratégie de sécurité unifiée qui contribue à atténuer ce risque.  

La cybersécurité axée sur les données devient la norme, et les responsables de la sécurité sont censés fournir des mises à jour régulières sur la manière dont les initiatives et les outils cybernétiques ont permis de réduire ou d'atténuer les risques et de renforcer la résilience. Les conseils d'administration voudront savoir comment les initiatives en matière de sécurité soutiennent les résultats de l'entreprise.

Malheureusement, de nombreux RSSI ne communiquent pas suffisamment avec les dirigeants.

Selon une étude de la Harvard Business Review, seuls 47% des membres du conseil d'administration interagissent régulièrement avec leur RSSI.

Il est essentiel d'adopter une approche basée sur les risques, idéalement fondée sur des principes tels que la défense en profondeur ou la confiance zéro. Une stratégie cohérente guidera non seulement votre prise de décision, mais permettra également à la direction de l'entreprise de voir comment vous développez une défense complète contre les menaces.

Lorsque vous parlez de votre programme, en particulier dans le cadre d'un conseil d'administration, engagez des conversations sur les objectifs de l'organisation en termes de chiffre d'affaires et de résultat, plutôt que sur des tactiques ou des menaces spécifiques en matière de sécurité. Cette approche stratégique de la communication permet de s'assurer que la cybersécurité n'est pas considérée comme un simple centre de coûts, mais qu'elle fait partie intégrante de la réussite de l'entreprise.  

Les responsables de la sécurité qui gagneront sont ceux qui peuvent clairement expliquer l'impact de leurs programmes sur l'entreprise.

Une approche de la cybersécurité fondée sur la valeur est l'avenir

En matière de cybersécurité, l'ère des exercices à cases à cocher, des données qualitatives et des stratégies mal alignées est révolue. Les responsables de la cybersécurité doivent impérativement passer d'une approche centrée sur les menaces à une approche centrée sur la valeur, en alignant les efforts de sécurité sur les objectifs de l'entreprise.

Ceux qui privilégient une approche fondée sur la valeur en sortiront gagnants à long terme. Anticipez un avenir où une approche centrée sur la valeur s'infiltrera dans la façon dont nous mesurons les progrès en matière de sécurité, y compris les mandats de conformité à venir de la part des gouvernements mondiaux.  

Communiquez avec nous pour savoir comment Illumio peut soutenir les principales initiatives de votre organisation en matière de cybersécurité.

Sujets connexes

Cyber Resilience

Articles connexes

Pourquoi l'IA a un problème de communication
Cyber Resilience

Pourquoi l'IA a un problème de communication

Découvrez pourquoi les technologies liées à l'intelligence artificielle ont du mal à communiquer avec "et".

Read more
Lumière, caméra, piratage : Les cyber-experts critiquent les pirates d'Hollywood
Cyber Resilience

Lumière, caméra, piratage : Les cyber-experts critiquent les pirates d'Hollywood

Rejoignez deux experts en cybersécurité qui décortiquent des scènes de certains des films les plus célèbres d'Hollywood afin de mettre en évidence le traitement inexact et dépassé du piratage informatique et de la cybersécurité dans les films.

Read more
Cartographier l'avenir : Pourquoi la visibilité en matière de cybersécurité est le plus grand avantage
Cyber Resilience

Cartographier l'avenir : Pourquoi la visibilité en matière de cybersécurité est le plus grand avantage

Découvrez pourquoi les RSSI doivent penser comme des cartographes pour maîtriser la sécurité du cloud, les risques liés à l'IA et les menaces systémiques.

Read more
5 conseils pour obtenir l'adhésion du conseil d'administration à vos investissements en matière de cybersécurité
Cyber Resilience

5 conseils pour obtenir l'adhésion du conseil d'administration à vos investissements en matière de cybersécurité

Découvrez pourquoi il est essentiel de faire passer les conversations du conseil d'administration des problèmes de cybersécurité à l'habilitation, au risque, à la remédiation et aux avantages quantifiables.

Read more
5 conseils pour tirer le meilleur parti de vos investissements en matière de cybersécurité
Cyber Resilience

5 conseils pour tirer le meilleur parti de vos investissements en matière de cybersécurité

Apprenez à tirer un retour sur investissement de vos investissements afin d'améliorer votre posture de sécurité, de réduire les risques et de garantir une stratégie de sécurité solide.

Read more
Les 5 meilleurs conseils sur la confiance zéro de Vishal Salvi, RSSI d'Infosys
Segmentation sans confiance

Les 5 meilleurs conseils sur la confiance zéro de Vishal Salvi, RSSI d'Infosys

Découvrez comment un travail cohérent et "ennuyeux" permet d'obtenir un retour sur investissement important en matière de sécurité pour Zero Trust, grâce à Vishal Salvi, CISO d'Infosys.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more