Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
ROI : Conseils d'experts pour justifier les investissements en sécurité

ROI : Conseils d'experts pour justifier les investissements en sécurité

Dec 28, 2020

Justifier les investissements en sécurité nécessite d'équilibrer la perspicacité technique avec le langage des affaires. Le ROI en cybersécurité repose sur quatre piliers : économies de coûts opérationnels, conformité réglementaire, réduction des risques et opportunité commerciale. Alors que les coûts et la conformité peuvent soutenir l'argumentation, la véritable valeur provient de l'alignement de l'atténuation des risques avec la stratégie d'entreprise. Les responsables de la sécurité doivent impliquer les cadres dirigeants, estimer les impacts de manière pragmatique et présenter la sécurité comme un facilitateur stratégique, et non comme un centre de coûts.

Les défis du ROI dans la sécurité informatique

Au cours des derniers mois, j'ai eu un certain nombre de conversations sur la nécessité de justifier les dépenses de sécurité. Cette année a été difficile pour de nombreuses organisations, donc les budgets informatiques ne croissent généralement pas. De plus, l'argent déjà alloué a souvent dû être réaffecté pour répondre aux besoins commerciaux changeants. En même temps, les dirigeants et les membres du conseil d'administration sont devenus douloureusement conscients des risques cybernétiques actuels et du coût de l'inattention. Ils attendent de l'équipe informatique et des responsables de la sécurité informatique qu'ils fournissent des données solides qui permettent les décisions d'investissement en sécurité les plus efficaces.

C’est là que de nombreuses entreprises avec lesquelles je parle se heurtent à un obstacle inattendu. Pendant des décennies, l’informatique (et la sécurité informatique) a été traitée comme une discipline purement technique, et les meilleurs professionnels techniques ont été promus à des postes de direction en informatique. Ils peuvent vous guider à travers n’importe quelle question technologique sophistiquée, mais ils ne parlent pas tous le langage des affaires. Cela rend difficile pour les deux parties de la conversation d'arriver à des décisions productives.

Contenu connexe sélectionné :

Un autre défi pour de nombreux responsables informatiques est le manque de données factuelles sur lesquelles s'appuyer. Dans le domaine de la technologie, vous travaillez avec des faits, et vous disposez de mesures précises et défendables. Par exemple, vous pouvez rendre compte du nombre d'incidents sur une période donnée, ou du temps nécessaire pour corriger un serveur vulnérable. Mais comment démontrer le retour sur investissement attendu d'une sécurité sans entrer dans le domaine des suppositions et des probabilités ? Cela pousse beaucoup de professionnels de l'IT, moi y compris, hors de leur zone de confort.

Utilisons ces perspectives comme une opportunité pour voir ce qui existe.

Les quatre piliers du ROI

Lorsque j'ai l'occasion de parler d'investissements en sécurité, que ce soit en personnes, en processus ou en technologie, j'essaie toujours de poser une question : Comment pensez-vous que cela puisse être rentable ? Les réponses varient grandement, mais elles peuvent être résumées en une ou plusieurs de ces quatre catégories :

  • Cet investissement nous permettra d'économiser de l'argent en réduisant les coûts continus.
  • Cet investissement nous aidera à respecter les obligations contractuelles ou les réglementations industrielles ou gouvernementales.
  • Cet investissement réduira les risques commerciaux (en réduisant la probabilité, l'impact ou les deux).
  • Cet investissement nous permettra de poursuivre de nouvelles opportunités commerciales.

Les quatre éléments semblent être de bonnes raisons d'investir. Mais où chacun de ces éléments s'insère-t-il dans la conversation, et comment tout cela s'assemble-t-il ? Examinons chaque élément à son tour.

Contenu connexe sélectionné :

Économies sur les coûts opérationnels

L'économie de coûts est l'une des mesures les plus évidentes du retour sur investissement, surtout lorsque le CIO ou le responsable informatique est également en charge de la sécurité. Si un projet vous permet de réduire l'espace de stockage, de consolider les licences ou de réduire le temps et l'effort grâce à l'automatisation, vous pouvez calculer les retours avec une certitude raisonnable.

Le bémol ici est de comprendre que cela ne devrait jamais être la seule raison de l'investissement. L'objectif principal de la sécurité informatique est de gérer les risques, et vous vous rendez un mauvais service avec tout projet qui ne commence pas par là. Cependant, les économies de coûts fonctionnent très bien comme raison supplémentaire d'investir dans quelque chose qui réduit un risque qui préoccupe l'entreprise.

Conformité

Les organisations savent qu'elles doivent se conformer aux réglementations pertinentes simplement pour continuer à exercer leurs activités. De nombreuses équipes de sécurité informatique tirent parti de cela et présentent de nouvelles initiatives de sécurité comme indispensables à la conformité. Il n'est pas rare d'entendre un conseil tel que « utilisez la conformité pour financer vos initiatives de sécurité » dans les communautés professionnelles ou les conférences.

En général, il est vrai que les réglementations tentent d'établir des directives minimales pour sécuriser certains types de données ou activités. Cependant, aucune réglementation ne peut vous fournir un guide universel pour sécuriser votre entreprise spécifique contre les menaces actuelles à un moment donné.

La conformité peut être un moyen efficace de lancer une conversation sur le retour sur investissement et d'attirer l'attention dans une organisation moins mature où l'équipe exécutive est moins consciente des risques réels. Cependant, c'est potentiellement un terrain glissant : Vous ne devriez jamais céder à un faux sentiment de sécurité basé sur le fait de cocher toutes les cases d'une liste de contrôle de conformité.

Un autre piège à éviter est de créer la perception que l'équipe de sécurité informatique est un « mal nécessaire » que les dirigeants toléreront et financeront même, mais dont ils se débarrasseraient volontiers si cela était possible.

Je ne dis certainement pas que vous ne devriez pas aborder la conformité dans une conversation budgétaire. Au contraire, vous devriez être conscient des exigences réglementaires actuelles et anticipées pour votre secteur et votre juridiction. Cependant, tout comme la réduction des coûts opérationnels, je pense qu'il serait une erreur de trop compter sur la conformité comme principal moyen de justifier un investissement en sécurité.

Réduction des risques

L'objectif principal de toute organisation de sécurité informatique est la gestion et l'atténuation des risques. Mais comprendre les risques peut être compliqué : Une vulnérabilité nouvellement découverte représente-t-elle un risque pour votre entreprise en particulier ? Devriez-vous prêter attention aux nouvelles concernant des groupes APT soutenus par des États, comme Lazarus ?

Contenu connexe sélectionné :

La clé est d'aligner la gestion des risques de sécurité informatique sur la gestion globale des risques de l'entreprise au sein de votre organisation. Les organisations de défense ou financières disposent généralement d'une stratégie de gestion des risques mature et établie, parfois avec un rôle dédié de Chief Risk Officer ; si votre organisation a quelqu'un à ce poste, c'est auprès de cette personne que vous voulez apprendre. Mais chaque organisation prend constamment des décisions concernant les risques. Souvent, cette responsabilité incombe au CFO et au CEO. Je pense que vous devriez solliciter leur conseil pour construire une stratégie de gestion des risques alignée et cohérente pour l'organisation. Ne pas le faire crée un travail supplémentaire et peut laisser l'organisation exposée à de réelles menaces que l'IT a négligées par manque d'implication des affaires.

Cela nous ramène au défi avec lequel j'ai commencé : Comment mesurez-vous le risque et les économies prévues ? Je ne vais même pas essayer de tout déballer dans un seul article ; il y a de longs livres sur le sujet (en voici un bon : “How to Measure Anything in Cybersecurity Risk” par Douglas W. Hubbard et Richard Seiersen).

Vous devrez vous fier à l'opinion d'experts pour estimer le coût ou le risque et le niveau de réduction. Cependant, cela ne signifie pas que vous devez simplement deviner. Il existe une approche à double sens pour éviter les suppositions :

  • Apprenez de l'intérieur. Apprenez de votre processus de gestion des risques d'entreprise et essayez d'être cohérent avec celui-ci. Vous devrez établir une connexion avec la direction pour y parvenir, et vous aurez besoin de leur avis sur les pertes estimées.
  • Apprenez de l'extérieur. Voyez s'il existe un groupe ou un forum de CISO pertinent que vous pouvez rejoindre pour apprendre de l'expérience d'autres entreprises. Une autre bonne source est la recherche sectorielle, telle que le «Cost of Data Breach Report» du Ponemon Institute, parrainé par IBM.

Ne compliquez pas trop les choses — convenez d'une approche et utilisez-la de manière cohérente. Après quelques trimestres, vous pourrez voir (et prouver) des tendances et ajuster si nécessaire.

Opportunité commerciale

Il se peut que vous ayez entendu parler de la « sécurité comme facteur d'activation des affaires » lors de divers événements industriels ces dernières années. La plupart des gens semblent être d'accord sur le fait que c'est une excellente idée, mais peu d'organisations réussissent à tenir cette promesse.

Comme pour les autres aspects du ROI, la communication est cruciale ici. Vous devez établir des connexions et rester en contact avec l'équipe exécutive et les responsables des unités opérationnelles. Ainsi, vous aurez l'opportunité de faire de la sécurité une partie intégrante de chaque nouvelle discussion de projet — et un élément inséparable du plan de mise en œuvre — dès le tout début.

Puisque vous n'êtes pas le propriétaire d'un nouveau projet d'entreprise, vous ne pouvez pas estimer l'ampleur des retours sur l'opportunité dans son ensemble. Cependant, vous n'avez pas à le faire. Je recommande de faire référence à ces nouvelles initiatives dans vos conversations sur le ROI, mais sans essayer de fournir des chiffres spécifiques.

Principaux enseignements

J'ai commencé à travailler sur cet article afin de résumer mes conclusions personnelles de toutes les conversations que j'ai eues cette année sur le ROI dans la sécurité. Voici ma liste :

  • Utilisez votre jugement et votre expertise pour estimer l'atténuation des risques pour chaque investissement. Vous n'avez pas besoin d'être précis ; acceptez l'imperfection. N'oubliez pas que l'expertise en gestion des risques existe probablement ailleurs dans votre entreprise — essayez d'apprendre de ces personnes et d'adopter la même approche. Utilisez les outils et les données qui sont à votre disposition.
  • Apprenez à parler le langage des affaires. La sécurité n'est pas (seulement) une question technique. Vous pouvez apprendre beaucoup du CFO ou du CRO et du CEO, et vous pouvez utiliser ces conversations pour les aider à en apprendre davantage également. Construire un programme de gestion des risques complet qui englobe les risques financiers, de réputation et de sécurité aidera votre entreprise à se renforcer sur tous les fronts.
  • Maintenez les lignes de communication ouvertes avec les dirigeants de l'entreprise. L'investissement dans la sécurité peut (et devrait souvent) faire partie de nouveaux projets et de nouvelles opportunités. Aidez les dirigeants d'entreprise à percevoir la sécurité non pas comme un centre de coûts, mais comme une initiative stratégique.
  • Exploitez et équilibrez les quatre arguments du ROI.Bien que la réduction des risques doive être le point de départ, considérez toujours comment le même dollar dépensé peut aider votre organisation à atteindre la conformité, réduire les coûts opérationnels et/ou soutenir les opportunités commerciales.

Partager sur

En savoir plus

À propos de l'auteur

Un homme barbu se tient devant un btiment

Ilia Sotnikov

Vice-président de l'Expérience Utilisateur

Ilia Sotnikov est stratège en sécurité et vice-président de l'expérience utilisateur chez Netwrix. Il possède plus de 20 ans d'expérience dans la cybersécurité ainsi qu'une expérience en gestion informatique pendant son temps chez Netwrix, Quest Software et Dell. Dans son rôle actuel, Ilia est responsable de l'habilitation technique, de la conception UX et de la vision produit à travers tout le portefeuille de produits. Les principaux domaines d'expertise d'Ilia sont la sécurité des données et la gestion des risques. Il travaille en étroite collaboration avec des analystes de sociétés telles que Gartner, Forrester et KuppingerCole pour acquérir une compréhension plus approfondie des tendances du marché, des développements technologiques et des changements dans le paysage de la cybersécurité. De plus, Ilia contribue régulièrement au Forbes Tech Council où il partage ses connaissances et ses perspectives concernant les menaces cybernétiques et les meilleures pratiques de sécurité avec la communauté informatique et commerciale plus large.

En savoir plus sur ce sujet

Supprimer le fichier avec Powershell s'il existe

PowerShell Write to File : "Out-File" et techniques de sortie de fichier

Comment créer de nouveaux utilisateurs Active Directory avec PowerShell

Comment exécuter un script PowerShell

Qu'est-ce que PowerShell ? Un guide complet de ses fonctionnalités et utilisations

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité