Remporter l'adhésion de son conseil d'administration : stratégies pour démontrer la valeur de la sécurité en tant que RSSI
Prouver que la sécurité n'est pas juste un centre de coût, mais bien un levier stratégique de croissance et de résilience pour l'entreprise fait partie intégrante du quotidien du RSSI. Néanmoins, justifier au conseil d'administration les investissements en matière de sécurité représente un défi permanent, surtout si l'on considère le coût de la gestion des risques et de la protection des ressources organisationnelles. Cet exercice d'équilibriste exige de démontrer la valeur métier tangible sans compromettre les indicateurs clés de performance (KPI).
Comment les RSSI peuvent-ils remporter l'adhésion de leur conseil d'administration ? Nous nous sommes entretenus avec les RSSI de OneMain Financial et de Kyndryl qui nous ont révélé leurs trois principales stratégies pour traduire les initiatives de sécurité en résultats métier concrets. Les RSSI peuvent s'inspirer de ces approches pour communiquer efficacement la valeur des programmes de sécurité et obtenir le soutien requis de leur conseil d'administration.
Bonne pratique nº 1 : aligner les objectifs de sécurité sur les objectifs de l'entreprise
La sécurité ne doit pas être considérée comme une fonction isolée, mais plutôt comme un catalyseur stratégique favorisant le succès de l'entreprise. Pour démontrer efficacement la valeur de leurs initiatives au conseil d'administration, les RSSI doivent préciser clairement en quoi elles contribuent directement aux résultats.
« D'après mon expérience, les membres du CA cherchent à limiter les risques systémiques. Ils veulent s'assurer que même si un boulon lâche, la machine continuera à fonctionner », nous a expliqué Jane Domboski, RSSI chez OneMain Financial, société qui accompagne ses clients dans l'optimisation de leur avenir financier. « Exposer les principaux risques que nous cherchons à éviter permet d'offrir une vision claire de notre stratégie de sécurité. »
Les RSSI peuvent montrer l'impact tangible de leur travail en alignant les objectifs de sécurité sur les objectifs globaux de l'entreprise. Cela peut passer par la démonstration qu'une posture de cybersécurité robuste protège les sources de revenus, réduit les coûts opérationnels ou atténue les risques susceptibles de freiner la croissance. Quantifier l'impact de la sécurité sur les KPI aidera les RSSI à élaborer un argumentaire convaincant en faveur de la poursuite des investissements. Il peut être utile, par exemple, de démontrer qu'une résolution des incidents plus rapide a entraîné une réduction des interruptions et des pertes financières.
Bonne pratique nº 2 : laisser parler les données
Les données sont le fondement d'un exposé efficace. Les RSSI doivent exploiter l'efficacité des métriques pour créer un narratif percutant qui illustre la valeur des investissements en matière de sécurité. En sélectionnant les bons indicateurs et en les présentant de façon claire et concise, ils pourront transformer des informations de sécurité complexes en informations pertinentes pour le conseil d'administration.
« Chez Kyndryl, nous effectuons le suivi de deux critères : la maturité, à savoir les mesures que nous adoptons dans le cadre de notre programme de sécurité, et l'efficacité, c'est-à-dire les résultats de ces mesures », a indiqué Cory Musselman, RSSI de Kyndryl, le plus grand fournisseur mondial de services d'infrastructure IT. « Nous avons mis au point une fiche d'évaluation qui nous sert à mesurer trimestriellement ces KPI afin de montrer à la direction et au conseil d'administration où nous en sommes par rapport à notre plan. »
Les métriques clés comme la réduction des incidents de sécurité, le raccourcissement des délais de résolution ainsi que l'augmentation de la productivité des utilisateurs sont autant d'indicateurs parlants qui mettent en évidence l'efficacité de la sécurité. Néanmoins, fournir du contexte en allant plus loin que les chiffres bruts est essentiel. Pour s'assurer que le conseil d'administration saisit pleinement la signification des données, il peut être utile de fournir des éléments visuels à l'impact immédiat, tels que des diagrammes ou des graphiques. En basant leur narratif sur les données, les RSSI peuvent bâtir un argumentaire solide en faveur d'investissements continus en sécurité.
« J'utilise des diagrammes en araignée pour montrer au conseil d'administration le risque intrinsèque que représenterait l'absence de contrôles de sécurité. Je leur montre ensuite notre situation actuelle avec les dispositifs en place, ainsi que les objectifs que nous souhaitons atteindre », a confié Jane Domboski. « Je démontre ainsi que nos plateformes d'identité sont exactement ce dont nous avons besoin pour implémenter la sécurité Zero Trust et préserver la sécurité de l'entreprise. »
Bonne pratique nº 3 : remplacer la notion de centre de coûts par celle de catalyseur de valeur
Pour démontrer pleinement l'intérêt d'investir dans la sécurité, les RSSI doivent exposer efficacement la manière dont leurs initiatives limitent les risques et contribuent à éviter les brèches coûteuses. Calculer le ROI de ces initiatives peut s'avérer difficile, mais en quantifiant l'impact potentiel des incidents de sécurité sur les plans financier et juridique ainsi que sur la réputation, les RSSI obtiendront de solides arguments en faveur d'une augmentation des dépenses de sécurité.
« Nous montrons l'importance de nos initiatives à partir d'exemples d'attaques réelles », a précisé Cory Musselman. « Cela apporte du contexte et permet au conseil d'administration de mieux apprécier le ROI. Nous transformons un concept potentiellement vague en éléments concrets et tangibles. »
Pour démontrer au conseil d'administration de OneMain Financial l'importance d'investir dans la sécurité, Jane Domboski compare le pourcentage d'attaques résolues par la technologie à celui des attaques qui ont nécessité une intervention humaine pour être contrées. Elle explique que « lorsque le conseil d'administration peut apprécier les tendances des attaques dont nous faisons l'objet et la part d'entre elles qui est gérée par la technologie seule, il comprend le retour sur investissement ».
S'assurer le soutien du conseil d'administration pour une réussite à long terme
Convaincre leur conseil d'administration de la valeur des investissements en matière de sécurité représente un défi déterminant et une formidable opportunité pour les RSSI. Prouver qu'il existe un véritable retour sur investissement ne consiste pas seulement à justifier les dépenses, il s'agit de positionner la sécurité comme un moteur stratégique de la réussite de l'entreprise.
L'adoption de ces bonnes pratiques éprouvées par des RSSI expérimentés vous aidera à gagner la confiance et à remporter le soutien de votre direction en vue d'obtenir les ressources nécessaires pour protéger votre entreprise contre les menaces en constante évolution. La clé réside dans un exposé convaincant qui fait écho aux priorités du conseil d'administration et qui démontre dans quelle mesure la sécurité pérennise l'avenir de votre organisation.
Inscrivez-vous pour notre prochain webinar avec Jane Domboski et Cory Musselman, RSSI respectifs de OneMain Financial et Kyndryl, pour en savoir plus sur le rôle central de l'identité dans leur environnement de sécurité.
