Prouver que la sécurité n'est pas juste un centre de coût, mais bien un levier stratégique de croissance et de résilience pour l'entreprise fait partie intégrante du quotidien du RSSI. Néanmoins, justifier au conseil d'administration les investissements en matière de sécurité représente un défi permanent, surtout si l'on considère le coût de la gestion des risques et de la protection des ressources organisationnelles. Cet exercice d'équilibriste exige de démontrer la valeur métier tangible sans compromettre les indicateurs clés de performance (KPI).
Comment les RSSI peuvent-ils remporter l'adhésion de leur conseil d'administration ? Nous nous sommes entretenus avec les RSSI de OneMain Financial et de Kyndryl qui nous ont révélé leurs trois principales stratégies pour traduire les initiatives de sécurité en résultats métier concrets. Les RSSI peuvent s'inspirer de ces approches pour communiquer efficacement la valeur des programmes de sécurité et obtenir le soutien requis de leur conseil d'administration.
Bonne pratique nº 1 : aligner les objectifs de sécurité sur les objectifs de l'entreprise
La sécurité ne doit pas être considérée comme une fonction isolée, mais comme un catalyseur stratégique de la réussite de l'entreprise. Pour démontrer efficacement le retour sur investissement (ROI) au conseil d'administration, les RSSI doivent clairement expliquer comment leurs initiatives contribuent directement aux résultats de l'organisation.
« D'après mon expérience, les membres du conseil d'administration cherchent à atténuer les risques systémiques. » Ils veulent s'assurer que si un petit boulon casse, la machine continuera de fonctionner », déclare Jane Domboski, RSSI chez OneMain Financial, une entreprise qui permet aux clients d'accéder à un meilleur avenir financier. « En expliquant les principaux risques que nous essayons d'éviter, nous pouvons exposer une vision claire de notre stratégie de sécurité. »
Les RSSI peuvent montrer l'impact tangible de leur travail en alignant les objectifs de sécurité sur les objectifs globaux de l'entreprise. Cela peut passer par la démonstration qu'une posture de cybersécurité robuste protège les sources de revenus, réduit les coûts opérationnels ou atténue les risques susceptibles de freiner la croissance. Quantifier l'impact de la sécurité sur les KPI aidera les RSSI à élaborer un argumentaire convaincant en faveur de la poursuite des investissements. Il peut être utile, par exemple, de démontrer qu'une résolution des incidents plus rapide a entraîné une réduction des interruptions et des pertes financières.
Bonne pratique nº 2 : laisser parler les données
Les données sont le fondement d'un exposé efficace. Les RSSI doivent exploiter l'efficacité des métriques pour créer un narratif percutant qui illustre la valeur des investissements en matière de sécurité. En sélectionnant les bons indicateurs et en les présentant de façon claire et concise, ils pourront transformer des informations de sécurité complexes en informations pertinentes pour le conseil d'administration.
« Chez Kyndryl, nous suivons la maturité, c'est-à-dire ce que nous faisons dans le cadre de notre programme de sécurité, et l'efficacité, c'est-à-dire la qualité de notre exécution », explique Cory Musselman, RSSI chez Kyndryl, le plus grand fournisseur mondial de services d'infrastructure informatique. « Nous avons créé un « tableau de bord cybernétique » pour mesurer ces ICP chaque trimestre afin de pouvoir montrer à la direction générale et au conseil d'administration que nous respectons notre plan. »
Les métriques clés comme la réduction des incidents de sécurité, le raccourcissement des délais de résolution ainsi que l'augmentation de la productivité des utilisateurs sont autant d'indicateurs parlants qui mettent en évidence l'efficacité de la sécurité. Néanmoins, fournir du contexte en allant plus loin que les chiffres bruts est essentiel. Pour s'assurer que le conseil d'administration saisit pleinement la signification des données, il peut être utile de fournir des éléments visuels à l'impact immédiat, tels que des diagrammes ou des graphiques. En basant leur narratif sur les données, les RSSI peuvent bâtir un argumentaire solide en faveur d'investissements continus en sécurité.
« J'utilise des diagrammes en araignée pour montrer au conseil d'administration le risque intrinsèque que représenterait l'absence de contrôles de sécurité. Je leur montre ensuite notre situation actuelle avec les dispositifs en place, ainsi que les objectifs que nous souhaitons atteindre », a confié Jane Domboski. « Je démontre ainsi que nos plateformes d'identité sont exactement ce dont nous avons besoin pour implémenter la sécurité Zero Trust et préserver la sécurité de l'entreprise. »
Bonne pratique nº 3 : remplacer la notion de centre de coûts par celle de catalyseur de valeur
Pour démontrer pleinement l'intérêt d'investir dans la sécurité, les RSSI doivent exposer efficacement la manière dont leurs initiatives limitent les risques et contribuent à éviter les brèches coûteuses. Calculer le ROI de ces initiatives peut s'avérer difficile, mais en quantifiant l'impact potentiel des incidents de sécurité sur les plans financier et juridique ainsi que sur la réputation, les RSSI obtiendront de solides arguments en faveur d'une augmentation des dépenses de sécurité.
« Nous montrons l'importance de nos initiatives à partir d'exemples d'attaques réelles », a précisé Cory Musselman. « Cela apporte du contexte et permet au conseil d'administration de mieux apprécier le ROI. Nous transformons un concept potentiellement vague en éléments concrets et tangibles. »
Pour démontrer au conseil d'administration de OneMain Financial l'importance d'investir dans la sécurité, Jane Domboski compare le pourcentage d'attaques résolues par la technologie à celui des attaques qui ont nécessité une intervention humaine pour être contrées. Elle explique que « lorsque le conseil d'administration peut apprécier les tendances des attaques dont nous faisons l'objet et la part d'entre elles qui est gérée par la technologie seule, il comprend le retour sur investissement ».
S'assurer le soutien du conseil d'administration pour une réussite à long terme
Convaincre leur conseil d'administration de la valeur des investissements en matière de sécurité représente un défi déterminant et une formidable opportunité pour les RSSI. Prouver qu'il existe un véritable retour sur investissement ne consiste pas seulement à justifier les dépenses, il s'agit de positionner la sécurité comme un moteur stratégique de la réussite de l'entreprise.
En adoptant ces bonnes pratiques de RSSI expérimentés, vous pouvez établir la confiance, obtenir du support et obtenir les ressources nécessaires pour protéger votre organisation contre les menaces en constante évolution. L'essentiel est de raconter une histoire captivante qui résonne avec les priorités du conseil d'administration et prouve comment la sécurité protège l'avenir de votre organisation.
Inscrivez-vous à notre prochain webinaire avec Jane Domboski, RSSI chez OneMain Financial, et Cory Musselman, RSSI chez Kyndryl, pour en savoir plus sur la manière dont ils font de l'identité un élément clé de leur organisation de sécurité.
