Ce questionnement a été complexifié par la pandémie de COVID, qui a modifié les habitudes de travail. Jamais autant d’utilisateurs n’avaient accès à distance au réseau informatique de leur entreprise. Il en résulte un surcroît de travail pour les RSSI, qui doivent sécuriser le télétravail, mais aussi une augmentation des risques, notamment de piratage.

Une étude menée par Thycotic, fournisseur de solutions de gestion des accès privilégiés, en 2020 révèle que face aux problèmes causés par la pandémie, 58 % des RSSI en France pensent augmenter leur budget de sécurité. Les directions sont en effet de plus en plus nombreuses à écouter les RSSI et à comprendre les besoins des équipes de sécurité.

L’impact du COVID

Le premier confinement a contraint beaucoup d’entreprises à soudainement adopter le télétravail, ce qui a pu poser problème à certaines d’entre elles. En particulier pour celles mal équipées en capacité Cloud. Ces dernières ont été obligées d’investir rapidement dans ces technologies pour que leurs collaborateurs poursuivent leur activité.

Plus de la moitié des sondés déclarent donner la priorité au Cloud en matière d’investissements dans des nouvelles technologies, au cours des douze prochains mois. En effet, les entreprises qui avaient mis en place des solutions Cloud avec gestion des accès à privilège ont pu assurer la continuité du service et la sécurité lorsque les collaborateurs ont dû se délocaliser.

La peur du gendarme plutôt que des cybermenaces

Lorsqu’il s’agit de décider des priorités d’investissement dans les budgets de sécurité, la protection de l’entreprise, contre de lourdes amendes, en fait partie. Plus de 40 % des participants à l’enquête se disent réticents à investir dans des mesures de sécurité non conformes avec les règlementations. Ce n’est guère surprenant car les pénalités pour non-respect de obligations règlementaires dépassent souvent le coût d’un piratage de données.

Depuis le RGPD, quantité d’entreprises victimes d’un piratage ont écopé de fortes pénalités pour des défauts de conformité. Ainsi, en octobre 2020, l’autorité britannique de protection des données (ICO) a infligé à British Airways une amende de 20 M£ pour n’avoir pas protégé les informations personnelles et financières de plus de 400 000 clients.

On peut aussi être sanctionné pour échec à un audit de sécurité. De ce fait, les RSSI sont plus enclins à rechercher des solutions qui répondent aux exigences des audits plutôt qu’à celles du marché, fondées sur la crainte des cybermenaces. Pourtant, la conformité à elle seule ne suffit pas à garantir la sécurisé d’une entreprise. Face à l’évolution constante du paysage des menaces, les entreprises doivent aller au-delà des exigences de la réglementation, et surveiller le réseau en temps réel.

Choisir l’innovation ou la sécurité ?

L’investissement dans une solution de cybersécurité est l’une des décisions les plus importantes qu’un RSSI puisse prendre. La solution doit atténuer les risques, être utilisée au maximum de ses capacités et être rentable. Avant d’investir dans une solution, le RSSI doit recueillir les meilleures informations afin de faire son choix en connaissance de cause.

Beaucoup de RSSI commencent par consulter leurs pairs. Les RSSI sont une mine d’expériences et de connaissances en matière de solutions de cybersécurité. Les recommandations de ceux qui utilisent déjà une technologie fournissent un éclairage neuf sur l’adéquation d’une solution.

La majorité des RSSI investissent dans des solutions qui respectent les meilleures pratiques de leur secteur et reposent sur des technologies bien éprouvées et recommandées. Cependant, 45 % des participants à l’enquête en France disent ne pas hésiter à adopter les nouveaux progrès technologiques et vouloir se tenir informés des dernières tendances dans le domaine de la sécurité. Ces tendances sont souvent bien couvertes par des analystes comme Gartner ou Forrester, qui jouent le rôle de référent.

Se décider pour une solution

Le choix de la solution obéit à plusieurs critères, en plus de la limitation des risques et la résolution des défis de l’entreprise, le coût total de possession (TCO), la facilité d’utilisation, les délais de déploiement et l’investissement initial sont autant de facteurs à prendre en compte.

Pour évaluer leur produit, les RSSI se reposent sur des preuves de concept (POC) et des pilotes. Ceux-ci leur permettent de connaître la facilité de déploiement et d’utilisation du produit, sa capacité d’intégration avec les solutions existantes, et si l’équipe de sécurité saura en assurer la gestion. La sécurité constitue une véritable priorité pour cette année : 58 % des décideurs (56 % en France) en sécurité informatique comptent se doter de solutions de sécurité supplémentaires au cours des douze prochains mois.

Soutien de la direction

Il est crucial pour les RSSI de pouvoir compter sur le soutien du conseil d’administration. Si les départements informatiques et de sécurité tendent à avoir le plus d’influence sur les investissements technologiques, c’est la direction qui tient les finances. Il est nécessaire de la convaincre pour bénéficier du budget nécessaire.

Fort heureusement, notre étude indique que le soutien apporté par la direction aux décideurs dans la sécurité informatique n’a jamais été aussi fort. Depuis le COVID, les dirigeants apprécient plus clairement les conséquences d’une sécurité insuffisante. Une grande majorité des RSSI rapportent que leur direction répond à leurs besoins d’investissement, en augmentant leurs budgets.

Il appartient toutefois aux RSSI de faire valoir que l’investissement dans la cybersécurité est plus qu’une « police d’assurance » pour l’entreprise. Il faut montrer que la cybersécurité accroît la productivité des collaborateurs, accélère la transformation numérique et améliore les résultats de l’entreprise. Tout ceci passe par une communication efficace.

Trouver la solution adéquate

Face à des centaines de solutions différentes, les RSSI doivent s’assurer que les investissements vont leur permettre d’atteindre les objectifs souhaités. Les décisions des RSSI s’appuient sur des recherches minutieuses, la consultation des pairs, le test des produits et la présentation des avantages à la direction.

La mise en place de la bonne solution de sécurité au bon moment a toujours été cruciale pour limiter les risques. La sécurité doit être vue comme un investissement stratégique qui favorise et protège le succès de l’entreprise. En convainquant sa direction, le RSSI pourra plus facilement se faire entendre d’elle et obtenir les investissements indispensables pour faire évoluer sa stratégie de sécurité, en abandonnant les achats réactifs au profit d’une approche plus proactive, axée sur la réalisation des objectifs métier.

Par Mortada Ayad, Technical Regional Manager / Emerging Markets de Thycotic