Sans le soutien de leur direction, de nombreux experts en sécurité informatique se trouvent coincés. Heureusement, les PDG se sont davantage préoccupés de la cybersécurité au cours de l’année écoulée. Certains d’entre eux ne comprennent pourtant pas encore tout à fait pourquoi les experts en sécurité informatique ont besoin de plus de budget. Alors, que pouvez-vous faire pour y remédier ?
Plusieurs points de vue ont été mis en avant par Infosecurity Magazine, qui a récemment organisé un webinaire sur le thème « Comment obtenir du budget et l’adhésion de la direction pour atténuer les menaces croissantes ? », qui comprenait un débat sur la situation actuelle des investissements dans la cybersécurité des entreprises. Comment le paysage de la cybersécurité a-t-il évolué depuis le début de la pandémie de COVID-19, et l’augmentation des cybermenaces a-t-elle influé sur le financement de la cybersécurité dans les entreprises du monde entier ?
La moitié des entreprises ont été victimes d’une cyberattaque ou d’une faille de sécurité en 2020.
Le délai moyen nécessaire pour identifier une faille en 2020 est de 207 jours.
Source : Étude IBM sur le coût des failles de données en 2020
De nombreuses entreprises ne s’étaient pas préparées à sécuriser les appareils personnels lorsque les salariés du monde entier ont été contraints de télétravailler, et beaucoup n'ont toujours pas rectifié le tir. L’utilisation de ces appareils à des fins personnelles et professionnelles représente l’un des plus grands défis actuels pour la sécurité des PME, en raison notamment des difficultés à séparer les données professionnelles sensibles de l’environnement de messagerie personnelle d’un utilisateur. Ainsi, les politiques de BYOD nécessitent la création d’un processus complet de cybersécurité pour identifier et sécuriser un appareil personnel sans empiéter sur les données privées (telles que la localisation GPS ou les photos), mais celui-ci peut prendre des mois voire des années à être mis en place.
Même si les dépenses de cybersécurité sont apparemment en hausse, l’absence de mesures de sécurité pour ces appareils personnels n’est qu’un exemple parmi d’autres illustrant la nécessité d’améliorer considérablement les processus et les programmes de sécurité. Cela comprend à la fois la formation à la cyberhygiène et l’instauration d’une culture de la cybersécurité dans les entreprises.
Ces améliorations peuvent nécessiter un financement encore plus important et une plus grande implication de la haute direction. Alors, comment faire pour que votre PDG prenne le sujet à bras-le-corps ?
1) Comprenez l’environnement dans lequel vous intervenez
Les raisons d’investir dans la cybersécurité varient : passage au télétravail, prévalence des ransomwares, mauvaises pratiques de sécurité d’une entreprise... En tant qu’expert informatique, il est donc de votre devoir de déterminer clairement qui vous essayez de persuader et d’influencer. Vous devrez peut-être expliquer l’importance d’obtenir un soutien en interne, aborder les risques locaux pour l’entreprise, et expliquer comment vous prévoyez de les gérer. En parallèle, vous devez comprendre ce qui est essentiel pour les activités de votre entreprise. Pour ce faire, il peut être utile de faire appel à différentes équipes pour connaître leurs priorités.
2) Présentez des informations très techniques ou très simplifiées sur les cyber-risques
Votre direction doit être sensibilisée à la situation actuelle de l’entreprise en matière de sécurité, et a souvent besoin d’être coaché dans cette discussion. Chacun dans la société doit comprendre sa responsabilité, mais cela commence toujours par le haut de la pyramide. Les responsables suivent l’actualité et se documentent sur les cyber-risques, mais ils ne sont peut-être pas en mesure de transformer ces informations en objectifs prioritaires pour l’entreprise et en actions concrètes. Au lieu de cela, ils pourraient vous poser des questions amenant à des réponses telles que « oui » ou « non », comme par exemple « Sommes-nous préparés à une attaque de ransomware ? » C’est donc à vous qu’il incombe principalement de mieux formuler les questions de sécurité, et d’aider votre PDG à comprendre la probabilité des risques réels pour l’entreprise et ses conséquences éventuelles.
3) Évitez les messages négatifs
Lorsqu’ils parlent de cybersécurité, les responsables informatiques se limitent souvent à des exemples terrifiants et aux pires scénarios. Comme Daniel Chromek, CISO d’ESET l’a déclaré dans une récente interview, ces tactiques échouent souvent car les gens se sentent simplement dépassés et adoptent un état d’esprit défaitiste. Et cela vaut non seulement lorsque vous tentez de sensibiliser votre équipe aux cybermenaces, mais également lorsque vous décrivez à votre direction les précautions nécessaires.