Arrêtons de dépenser inutilement de l’argent en cybersécurité !

La lecture de la presse suffit à dresser un constat simple, même pour un non spécialiste, les ressources allouées par les organisations ou gouvernements semblent insuffisantes en capacité face à la cyber menace. Est-ce une question d’investissements insuffisants ou d’allocation des ressources ?

by adidionxlm

Arrêtons de dépenser inutilement de l’argent en cybersécurité !

La lecture de la presse suffit à dresser un constat simple, même pour un non spécialiste, les ressources allouées par les organisations ou gouvernements semblent insuffisantes en capacité face à la cyber menace. Est-ce une question d’investissements insuffisants ou d’allocation des ressources ?

by adidionxlm

by adidionxlm

La lecture de la presse suffit à dresser un constat simple, même pour un non spécialiste, les ressources allouées par les organisations ou gouvernements semblent insuffisantes en capacité face à la cyber menace. Est-ce une question d’investissements insuffisants ou d’allocation des ressources ?

Certains pensent que les moyens ou ressources disponibles dans le domaine de la cybersécurité sont insuffisants. D’autres, souvent du côté des décideurs ou des financiers, pensent plus souvent que l’investissement est déjà trop important pour le retour actuel.

La vérité est très certainement au milieu du chemin. Alors peut-être serait-il intéressant de cesser de dépenser inutilement nos moyens limités et de concentrer les efforts sur les aspects importants. L’enjeu étant de définir cet aspect.

Il est notable aujourd’hui du fait de l’actualité, des régulations ou enjeux métiers, que la gestion des risques cyber soit LE sujet. Encore faut-il pour les professionnels de la sécurité un certain effort de vulgarisation et d’éducation afin que les décideurs puissent appréhender les dynamiques liées à ce sujet et les réponses possibles. Pour les spécialistes, cela nécessite aussi de prendre un peu de recul afin de comprendre les enjeux business et de cesser de penser que la cybersécurité n’est qu’un enjeu technologique.

Historiquement du fait de cet écart entre le management et l’Homme Sécurité, celui-ci incarne trop souvent la difficulté ou la complexité. La sécurité est d’abord une question d’éducation et de sensibilisation et non pas une pure réponse technologique.

Ainsi aujourd’hui il devient indispensable de changer d’approche et d’aligner les objectifs de chaque partie prenante en considérant quelques éléments:

  • Penser par les risques et non plus par la peur.
  • Piloter sa maturité cyber et non pas la subir.
  • Accepter l’incident et se préparer à y répondre.

 

Si l’on considère et qu’on accepte que l’enjeu soit de se doter de capacités pour répondre aux risques auxquels l’entreprise est exposée et non plus de penser que le but soit la sécurisation absolue (quête futile et irréalisable), il est alors possible de répondre à la problématique cyber de manière raisonnable et raisonné.

Une gestion pertinente de la sécurité, dans une période ou la digitalisation et la gestion des données est à l’agenda de tous les plans stratégiques, permet une meilleure mise en œuvre de projet.

Le temps ou la cybersécurité était une commodité que l’on acquiert dans le cadre d’un appel d’offre soumis aux règles du plus offrant est révolu ! De même, il est fini le temps ou chaque entreprise imaginait construire sa propre capacité cybersécurité et répondre efficacement à la menace.

Aujourd’hui les entreprises qui ont atteint un stade de maturité adéquate rentre dans un vrai partenariat avec les professionnels de sécurité afin de disposer des compétences et des capacités adaptées.

Disposer de capacités financières n’est plus suffisant. Aujourd’hui, dans une période où les compétences et les ressources en cyber sont limités, il est d’autant plus important pour les organisations de s’inscrire dans des schémas de partenariat.

L’approche cybersécurité doit s’inscrire dans un souhait d’obtenir un niveau de maturité aligné sur l’appétit au risque de l’entreprise. Il nécessite de définir et de mesurer celui-ci et d’inscrire la bonne démarche tant au quotidien qu’au travers des projets métiers.

Il est en outre indispensable de se projeter dans la situation de crise cybersécurité à venir. Elle est aujourd’hui inévitable pour les organisations. La question n’est pas la possibilité mais plutôt quand ?  Et dans cette optique s’y préparer.

Enfin penser « resilience » signifie aussi penser couverture assurance. Les offres en cyber assurance aujourd’hui émergent sur le marché et représentent une composante indispensable à l’arsenal des mesures cyber d’une organisation mature et en contrôle.

Ainsi si à la lecture de cette note, vous vous posez des questions, voici quelques éléments pour mener votre réflexion à bien dans le cadre de votre organisation :

  • Quel est l’appétit au risque de mon organisation ?
  • A quoi nommes nous exposés ?
  • Sommes-nous suffisamment éduqués au sein de l’organisation sur ces sujets ?
  • Quel est l’efficacité de ce que nous avons construit à ce jour ?
  • Est-ce que notre approche sécurité supporte réellement les enjeux métiers mais aussi est-ce que je les connais ?
  • Inversement connaissant mes enjeux métiers sommes nous en mesure de les accompagner aussi bien sur le sujet vie privée que sécurité ?
  • Sommes-nous prêts à traiter un incident cyber ?
  • Sommes-nous couvert en termes d’assurance ?

 

N’oublions pas que dans une économie digitale et de la confiance, la composante cybersécurité est un pôle structurant et majeur de la pérennité des organisations. La lecture d’incidents et de leurs conséquences dans la presse n’en est qu’une malheureuse illustration.

Si vous êtes dans le domaine cyber rejoignez-nous lors de nos sessions Excellium University pour aborder ces sujets. Si vous êtes plutôt dans une posture de management pourquoi ne pas participer à la prochaine session de l’ILA sur cette thématique – https://ila.lu/event/cybersecurity-for-the-board-2018-12-12-3238/page/introduction-cybersecurity-for-the-board

 

Top