Budget et sécurité : comment muscler les arbitrages ?

Quand la sécurité devient un sujet stratégique dans les organisations, quels sont les sujets qui font évoluer les budgets ? Didier Schreiber, directeur marketing Europe du Sud du spécialiste de la sécurité cloud Zscaler partage son analyse de l’implication grandissante des comex.

>> Cet article est extrait du hors-série « Le Numérique en Pratique », la sécurité téléchargez-le !

Didier Schreiber, directeur marketing Europe du Sud du spécialiste de la sécurité cloud Zscaler

Didier Schreiber, directeur marketing Europe du Sud du spécialiste de la sécurité cloud Zscaler

L’édition 2018 du baromètre du Cesin sur la cybersécurité des entreprises met le doigt sur un frémissement généralisé. Sur les 142 responsables de sécurité interrogés, 64 % estiment que leur entreprise va augmenter les budgets alloués à la protection des cyber-risques. Une hausse bienvenue alors que 63 % des entreprises concernées déclarent que leur budget sécurité représente encore moins de 5 % du budget IT de l’organisation.  Une entreprise sur cent seulement évoque un ratio supérieur à 10 %. Nous sommes loin des estimations, oscillant entre 15 et 18 %, annoncées dans les dernières études internationales. « Nous constatons depuis la fin de l’année 2017 des évolutions marquées au niveau des budgets sécurité des entreprises », confie Didier Schreiber, directeur marketing Europe du Sud de Zscaler, spécialiste de la sécurité cloud en forte croissance dans l’Hexagone. « L’année dernière a vu s’enchaîner les attaques WannaCry et NotPetya mais aussi la compromission massive de données d’Equifax. Cela a fortement contribué à faire remonter le sujet depuis la DSI jusqu’au comex. »

En l’occurrence, depuis quelques mois, la part consacrée à une meilleure détection des menaces, voire au renforcement des réactions plutôt qu’au seul axe traditionnel de la prévention, s’accroît. Le message de résilience qui revient en boucle avec la médiatisation de chaque nouvelle cyberattaque, marque en effet les dirigeants. « Vu notre ultradépendance au numérique, la priorité est de faire en sorte de pouvoir rester debout et de continuer son activité quoiqu’il arrive, pas de maintenir une illusion d’invincibilité. Ce parti pris joue de plus en plus sur les arbitrages des comex », commente Didier Schreiber. L’autre raison tient dans quatre lettres que les directions ont de plus en plus entendues ces douze derniers mois : RGPD. En Europe, il a été comme un coup de fouet sur de nombreux sujets, poussant à l’apparition de nouveaux budgets et, surtout, à remettre à plat des priorités. De nombreux « vieux projets » structurants, souvent relatifs à la bonne connaissance des SI, ont ainsi été remis sur les rails grâce au règlement, de l’aveu de nombreux DSI. 

Mettre fin à l’illusion d’invincibilité

Alors où est le problème si les budgets sécurité augmentent  ? Didier Schreiber estime que le sujet est loin d’être uniquement quantitatif : « On voit un manque criant de coordination au sein des entreprises, et entre leurs filiales. Les choix rapides réalisés, souvent dictés par l’actualité, ne sont pas une mise en cohérence des orientations budgétaires de la transformation. Les chances sont élevées de retomber dans les vieux travers, avec des empilements de solutions diverses, alors qu’en parallèle les entreprises essayent pourtant d’harmoniser leurs pratiques et leur SI, autour du cloud notamment. »

Le numérique en pratique - Extrait sécurité cyber La clé des bons arbitrages se situe donc dans une meilleure prise en compte de cet impératif de coordination. En la matière, dans le cadre de la discussion entre le comex, le DSI et le RSSI, le sujet des budgets à consacrer à la sécurité doit absolument impliquer également la direction commerciale et marketing. « La sécurité est un facteur de confiance client. Et la fidélisation est un sujet métier : ce sont ces directions qui sont équipées pour avoir la vision globale des impératifs et impacts pour le client. Par contre, elles ne le sont généralement pas pour lier ceci aux pratiques de sécurité à installer, contrairement à un RSSI. Malheureusement, réconcilier les deux mondes se fait aujourd’hui sans outils de data management qui permettraient de sortir d’une approche au “doigt mouillé“ », estime le directeur marketing de Zscaler. 

Des exemples marquants

Ce travail commun – à mener une à deux fois par an d’après l’expert – est chronophage, et demande donc de s’équiper pour exploiter les données à disposition de l’entreprise à des fins d’arbitrages budgétaires. Les chiffres macro et généraliste sur l’impact financier des cyberattaques s’avèrent souvent insuffisants pour convaincre un comex de cette nécessité. Mais des exemples très concrets sont aujourd’hui en mesure de peser sur les choix. Il suffit pour cela de regarder l’année écoulée.

Equifax a ainsi précisé les chiffres extrêmement importants de sa perte de données  : 145,5 millions de numéros de sécurité sociale, 99 millions d’adresses, ou encore la bagatelle de 209 000 détails de cartes bancaires. Il n’a pas fallu attendre une année pour voir des impacts économiques chiffrables : le 7 septembre 2017, lorsque l’entreprise a avoué avoir été victime du vol, soit un mois et demi après s’en être rendu compte, son action est passée de 142 à 123 dollars. Une semaine plus tard, elle tombait sous la barre des 93 dollars, soit une baisse de près de 35 %. Un an plus tard, plus de la moitié de cette perte colossale n’a toujours pas été épongée. Et le groupe américain est toujours sous la menace d’une épée de Damoclès judiciaire. Bien plus proche de nous, le témoignage de Saint-Gobain, touché de plein fouet par NotPetya le 27 juin 2017, peut servir de référence. L’entreprise a été capable d’évaluer l’impact financier de la cyberattaque sur ses ventes à près de 220 millions d’euros. NotPetya a eu raison de 4,4 % de son résultat d’exploitation
du premier semestre 2017, pour un montant de 65 millions d’euros. Claude Imauven, directeur général exécutif l’a vite reconnu : il y a eu un « avant » et un « après » NotPetya pour le groupe français. Le comex de celui-ci a notamment eu un aperçu de ce que pouvait lui coûter de tels actes de malveillance, et a pu imaginer de pires scénarios. Parmi les arbitrages alors réalisés : souscrire à une assurance cyber et s’assurer que le budget de la sécurité du système d’information représente entre 10 à 15 % de celui de la DSI.

>> Cet article est extrait du hors-série « Le Numérique en Pratique », la sécurité téléchargez-le !