Spécifier l'investissement en cybersécurité n'est pas une tâche facile. Les RSSI sont confrontés à un environnement de menaces en augmentation, à un marché de fournisseurs de sécurité de plus en plus saturé et à des budgets qui ne s'étendent jamais assez loin. Lorsqu'il s'agit de proposer un budget supplémentaire, la situation est rendue plus difficile en raison des défis inhérents à la preuve du retour sur investissement des dépenses de cybersécurité. C’est un peu comme vendre de l’assurance: les CISO doivent essayer de mettre en valeur ce qui ne s’est pas passé – les brèches et les perturbations que leur stratégie empêchera.
Sommaire
A propos de l'auteur
Ian Schenkel, VP EMEA, Flashpoint.
S'il est beaucoup plus facile de justifier un investissement dans la sécurité à la suite d'une violation coûteuse, il n'est pas possible et certainement pas souhaitable d'exécuter un programme de sécurité sur une base entièrement réactive. Alors, que peuvent faire les RSSI pour plaider en faveur d'un investissement proactif et obtenir l'adhésion des titulaires de budget?
Rassemblez les preuves pour construire une analyse de rentabilisation cohérente
Un aspect essentiel de la construction d'un dossier solide montre que l'investissement prévu est basé sur une solide compréhension des besoins de l'entreprise, étayée par des preuves. En fin de compte, cela est vrai pour chaque département commercial. Par exemple, le l'équipe marketing élabore sa stratégie à la suite d'études de marché approfondies et de renseignements commerciaux qu'elle utilise pour repérer les opportunités et contrer les concurrents perturbateurs. La sécurité n'est pas si différente. Les RSSI ont besoin d'une mine de renseignements sur les menaces généralisées et spécifiques ciblant l'entreprise, leur probabilité, la façon dont elles se déroulent et les impacts commerciaux potentiels si une attaque réussit.
Cependant, cette information sur le «marché» est plus difficile à obtenir pour le RSSI que pour les autres ministères en raison de quatre facteurs clés: le manque relatif de données historiques; la forte proportion d '«inconnues»; la vitesse à laquelle les menaces de sécurité évoluent et, enfin, la nature illicite des acteurs impliqués – vous ne pouvez pas organiser un groupe de discussion pour les cybercriminels.
L'assemblage et l'analyse des informations nécessitent l'accès à plusieurs sources. Les équipes de sécurité doivent collaborer avec les centres de partage et d'analyse des informations (ISAC) concernés pour comprendre les menaces générales de l'industrie et les expériences des pairs du secteur. En plus de cela, des informations privilégiées sur les menaces provenant de sources fermées, y compris des forums privés ou sur invitation, des plateformes de services de chat, des marchés illicites, des boutiques de cartes de paiement et de comptes et des sites de collage peuvent identifier les menaces spécifiques à l'entreprise et les campagnes de cyberattaques en cours qui doivent être prises en compte dans les stratégies de cyberdéfense et utilisé pour diriger les dépenses budgétaires là où elles sont le plus nécessaires.
Ces preuves aident les RSSI à relever le défi d'identifier et, autant que possible, de quantifier les menaces auxquelles l'entreprise est confrontée. Cependant, bien que la compréhension des menaces soit un bon début, le problème suivant est de communiquer ces menaces aux décideurs budgétaires d'une manière qui incite à l'action.
Traduire le cyber-risque en risque commercial pour le conseil d'administration
La gestion des risques n'est pas nouvelle pour les conseils d'administration et les équipes de direction. Cependant, beaucoup manquent encore de compétences pour déduire correctement le cyber-risque à partir d'informations techniques. Cela entraîne souvent un désalignement entre le risque commercial et le cyber-risque qui les empêche d'apprécier la véritable valeur de l'investissement en cybersécurité.
Pour surmonter ce problème, les RSSI doivent présenter leur argumentation en termes compréhensibles par le conseil d'administration en encadrant le cyber-risque dans le langage du risque commercial. Le risque commercial est tout facteur qui menace de perturber la capacité de l'organisation à fonctionner. Il est clair que le cyber-risque en est une grande partie, mais il s'agit d'un nouveau venu relatif. Les principaux risques compris par les conseils d'administration sont financiers, de conformité, opérationnels, stratégiques et de réputation. De toute évidence, les violations de données ou les attaques de ransomwares, par exemple, peuvent avoir des impacts dans tous ces domaines, il est donc plus clair pour les conseils d'administration si les menaces et l'investissement nécessaire pour les atténuer sont clairement liés à un ou plusieurs de ces cinq risques commerciaux.
Lorsque les cybermenaces sont formulées en termes d'impact qu'une violation réussie aurait sur l'entreprise – perte de données clients, échecs de conformité, systèmes interrompus, vol financier direct – il est plus facile pour le conseil d'administration d'apprécier le retour sur investissement pour prévenir cette menace, car il travaille avec un lexique familier.
Plaidoyer pour l'investissement dans le renseignement
Mais qu'en est-il du programme de Business Risk Intelligence (BRI) lui-même? Comment le RSSI obtient-il l'adhésion à l'investissement dans le renseignement? Cela revient à l'analogie des études de marché: vous n'alloueriez pas les dépenses marketing sans preuve solide qu'elles sont dirigées vers les bonnes cibles, alors pourquoi élaborer une stratégie de cybersécurité sans une connaissance détaillée de l'environnement dans lequel vous opérez? Les RSSI doivent savoir ce dont l'entreprise a besoin pour s'assurer qu'elle dispose des bons outils pour protéger les données, les clients et l'infrastructure informatique. De cette façon, l'entreprise investit de manière proactive, et non réactive, dans la cybersécurité.
Soit dit en passant, la BRI utilisée pour construire le dossier d'investissement en cybersécurité est également pertinente pour des problèmes commerciaux et de sécurité plus larges. Un programme BRI efficace peut révéler des preuves de menaces à la sécurité physique, de risques de violation d'initié et de campagnes de fraude. Un seul exemple est la fraude de retour dans le secteur de la vente au détail; nous voyons les tactiques discutées et facilitées maintes et maintes fois dans les forums et les bavardoirs où les cybercriminels se réunissent.
La BRI peut également aider à gérer les risques de fusions et acquisitions et la diligence raisonnable, en identifiant les entreprises ciblées par les acteurs de la menace. Et comme les entreprises deviennent de plus en plus responsables de la sécurité de leurs partenaires et fournisseurs, la BRI peut être utilisée pour identifier les faiblesses de la chaîne d'approvisionnement en temps opportun afin de prendre des mesures d'atténuation.
En fin de compte, plus une entreprise connaît les risques auxquels elle est confrontée, meilleures sont ses décisions. La BRI peut être liée à tous les types de risques commerciaux stratégiques et en fournissant des preuves de menaces crédibles, quantifiées autant que possible, elle peut s'avérer inestimable pour aider les RSSI à renforcer l'analyse de rentabilisation de leur programme d'investissement en cybersécurité.