Protection & Sécurité

Budget & cybersécurité : comment sensibiliser votre direction ? Inspirez-vous de l’approche des experts

2 Feb 2022

Sans le soutien de leur direction, de nombreux experts en sécurité informatique se trouvent coincés. Heureusement, les PDG se sont davantage préoccupés de la cybersécurité au cours de l’année écoulée. Certains d’entre eux ne comprennent pourtant pas encore tout à fait pourquoi les experts en sécurité informatique ont besoin de plus de budget. Alors, que pouvez-vous faire pour y remédier ?

Plusieurs points de vue ont été mis en avant par Infosecurity Magazine, qui a récemment organisé un webinaire sur le thème « Comment obtenir du budget et l’adhésion de la direction pour atténuer les menaces croissantes ? », qui comprenait un débat sur la situation actuelle des investissements dans la cybersécurité des entreprises. Comment le paysage de la cybersécurité a-t-il évolué depuis le début de la pandémie de COVID-19, et l’augmentation des cybermenaces a-t-elle influé sur le financement de la cybersécurité dans les entreprises du monde entier ?

 

Budget de cybersécurité et soutien au leadership - ce qui a changé en raison de COVID-19

La moitié des entreprises ont été victimes d’une cyberattaque ou d’une faille de sécurité en 2020.

Le délai moyen nécessaire pour identifier une faille en 2020 est de 207 jours.

Source : Étude IBM sur le coût des failles de données en 2020

 

De nombreuses entreprises ne s’étaient pas préparées à sécuriser les appareils personnels lorsque les salariés du monde entier ont été contraints de télétravailler, et beaucoup n'ont toujours pas rectifié le tir. L’utilisation de ces appareils à des fins personnelles et professionnelles représente l’un des plus grands défis actuels pour la sécurité des PME, en raison notamment des difficultés à séparer les données professionnelles sensibles de l’environnement de messagerie personnelle d’un utilisateur. Ainsi, les politiques de BYOD nécessitent la création d’un processus complet de cybersécurité pour identifier et sécuriser un appareil personnel sans empiéter sur les données privées (telles que la localisation GPS ou les photos), mais celui-ci peut prendre des mois voire des années à être mis en place.

 

BYOD Apportez votre propre appareil

 

Même si les dépenses de cybersécurité sont apparemment en hausse, l’absence de mesures de sécurité pour ces appareils personnels n’est qu’un exemple parmi d’autres illustrant la nécessité d’améliorer considérablement les processus et les programmes de sécurité. Cela comprend à la fois la formation à la cyberhygiène et l’instauration d’une culture de la cybersécurité dans les entreprises. 

Ces améliorations peuvent nécessiter un financement encore plus important et une plus grande implication de la haute direction. Alors, comment faire pour que votre PDG prenne le sujet à bras-le-corps ?

 

1) Comprenez l’environnement dans lequel vous intervenez 

Les raisons d’investir dans la cybersécurité varient : passage au télétravail, prévalence des ransomwares, mauvaises pratiques de sécurité d’une entreprise... En tant qu’expert informatique, il est donc de votre devoir de déterminer clairement qui vous essayez de persuader et d’influencer. Vous devrez peut-être expliquer l’importance d’obtenir un soutien en interne, aborder les risques locaux pour l’entreprise, et expliquer comment vous prévoyez de les gérer. En parallèle, vous devez comprendre ce qui est essentiel pour les activités de votre entreprise. Pour ce faire, il peut être utile de faire appel à différentes équipes pour connaître leurs priorités.

 

2) Présentez des informations très techniques ou très simplifiées sur les cyber-risques

Votre direction doit être sensibilisée à la situation actuelle de l’entreprise en matière de sécurité, et a souvent besoin d’être coaché dans cette discussion. Chacun dans la société doit comprendre sa responsabilité, mais cela commence toujours par le haut de la pyramide. Les responsables suivent l’actualité et se documentent sur les cyber-risques, mais ils ne sont peut-être pas en mesure de transformer ces informations en objectifs prioritaires pour l’entreprise et en actions concrètes. Au lieu de cela, ils pourraient vous poser des questions amenant à des réponses telles que « oui » ou « non », comme par exemple « Sommes-nous préparés à une attaque de ransomware ? » C’est donc à vous qu’il incombe principalement de mieux formuler les questions de sécurité, et d’aider votre PDG à comprendre la probabilité des risques réels pour l’entreprise et ses conséquences éventuelles. 

 

3) Évitez les messages négatifs 

Lorsqu’ils parlent de cybersécurité, les responsables informatiques se limitent souvent à des exemples terrifiants et aux pires scénarios. Comme Daniel Chromek, CISO d’ESET l’a déclaré dans une récente interview, ces tactiques échouent souvent car les gens se sentent simplement dépassés et adoptent un état d’esprit défaitiste. Et cela vaut non seulement lorsque vous tentez de sensibiliser votre équipe aux cybermenaces, mais également lorsque vous décrivez à votre direction les précautions nécessaires.  

 

Approche descendante en cybersécurité

 

À lire aussi

SMB_cybersecurity_risk_assessment_cover

Évaluez vos cyber-risques et votre degré de vulnérabilité

Ordinateurs, téléphones portables, imprimantes, tablettes et autres gadgets intelligents ? Ou peut-être serveurs, emails, réseaux sociaux et Wifi ? Les ressources numériques et les appareils intelligents sont devenus indispensables pour la plupart des entreprises. Alors si vous souhaitez conserver une longueur d’avance sur les cybercriminels, déterminez quels éléments parmi ceux cités pourraient devenir vos points faibles. Il ne vous reste plus qu’à effectuer une évaluation des cyber-risques pour les découvrir.

VPN-how-to-convince-CEO-invest

VPN : 3 raisons pour convaincre votre hiérarchie d'investir

L’augmentation du nombre de personnes travaillant à domicile signifie que davantage d’informations sont partagées en ligne. Il semble donc prudent de créer un tunnel chiffré via un réseau privé virtuel (VPN) pour y accéder. En tant que responsable informatique, vous le savez déjà très probablement. Toutefois, ce n’est peut-être pas le cas de votre Direction qui contrôle le budget. Si votre PDG n’a pas le temps de comprendre pourquoi certaines mesures de sécurité sont nécessaires pour l’infrastructure informatique, lisez ce qui suit. Voici quelques arguments de base pour investir dans une solution VPN et ainsi vous épargner des discussions interminables.

MSP_5_reasons_to_entrust_your_company_IT_security_cover

5 raisons de confier l'informatique de votre entreprise à un MSP

Parfois, ce qui compte n'est pas à l'intérieur, mais à l'extérieur. Oui, vous avez bien lu. D'un point de vue commercial, l'externalisation est un investissement aussi important que vos opérations internes pour l’avenir de votre entreprise.