À l'attention des RSSI : le conseil d'administration ne se soucie pas des buzzwords

L'informatique dématérialisée et le zero trust, lorsqu'elles sont correctement mises en œuvre, entrent dans une catégorie de décision avec trois thèmes clés : plus rapide, moins onéreux et réduction des frictions, notamment en matière de collaboration.

Si vous avez déjà fait une présentation à un conseil d'administration, vous savez que ces membres ne se soucient pas des buzzwords comme le zero trust par exemple. La seule fois où le conseil d'administration est confronté au jargon du secteur, c'est lorsqu'il en prend connaissance dans le Financial Times ou le Wall Street Journal. La seule question à laquelle vous devez répondre est donc simple : que va apporter cette solution de sécurité à l'entreprise pour la rendre plus rentable ?

La sécurité est identique à n'importe quelle autre unité commerciale

Pour qu'une partie de l'entreprise obtienne l'approbation du conseil d'administration, la formule est la suivante : "Je veux dépenser un montant X pour réaliser un montant Y de revenus ou de bénéfices avec une probabilité de Z %. Si Y fois Z est nettement supérieur à X, alors le conseil d'administration approuvera." En matière de sécurité, la plupart de nos coûts se situent sous la ligne , c'est-à-dire le coût de l'activité. Mais la stratégie pour obtenir l'approbation est la même. Nous voulons dépenser X euros pour sauver l'organisation de Y euros d'exposition avec une probabilité de Z % que cela se produise.

Accepter le risque n'est pas acceptable

La différence entre cette dépense et d'autres dépenses d'entreprise est que le risque est plus complexe et a quatre résultats majeurs.

  • Élimination : le risque est éliminé de votre infrastructure.
  • Atténuation : le risque est compensé par des contrôles supplémentaires.
  • Transfert : une autre partie prend le risque en charge, comme dans le cas d'une assurance.
  • Acceptation : le risque reste un coût pour l'entreprise.

Souvent, le risque est simplement accepté surtout lorsque le conseil d'administration ne reconnaît pas le problème ou n'est pas d'accord avec votre analyse. La difficulté est que le risque de sécurité et la probabilité que quelque chose se produise sont difficiles à quantifier et sont donc considérés comme subjectifs.

Positionner la sécurité comme un catalyseur

L'informatique dématérialisée et le zero trust, lorsqu'elles sont correctement mises en œuvre, entrent dans cette catégorie avec trois thèmes clés : plus rapide, moins onéreux et réduction des frictions, notamment en matière de collaboration.

Considérez tous les angles avant de présenter

Les coûts cachés peuvent réduire à néant vos calculs de coût total de possession (TCO) et de retour sur investissement (ROI). Même si le produit ne coûte rien à l'achat, il y a d'autres dépenses à prendre en compte. Il existe deux éléments clés à prendre en compte lorsque vous préparez votre présentation au conseil d'administration.

Quel sera le coût de la mise en service et des tests ? Par exemple, si j'ai 88 000 appareils et qu'il me faut 50 euros pour configurer chacun d'entre eux, mon déploiement s'élève à plus de 4,5 millions d’euros. Ce chiffre ne tient pas compte des coûts supplémentaires liés à l'achat ou à l'affectation de matériel (physique ou virtuel), à l'affectation d'un chef de projet, à la formation du personnel ou au recours à des consultants externes. Tout cela prend également du temps, ce qui vous coûtera de l'argent.

Quel sera le coût de fonctionnement ? Comprenez les dépenses liées aux opérations. Avec toute solution de sécurité, vous avez généralement besoin d'une couverture 24h/24, 7 jours sur 7. Ainsi, un outil dont le fonctionnement ne nécessite qu'une personne à tout moment se traduira par une équipe de cinq personnes et un coût de 500 000 euros par an.

Ensuite, vous devez démontrer la compatibilité avec les processus existants. Un élément clé pour convaincre le conseil d'administration est d'illustrer comment il réduit les frictions dans les opérations. Et pour le cas où quelque chose ne fonctionnerait pas, assurez-vous d'avoir un critère de réussite ou d'échec et un plan de secours. Les systèmes disparates et autonomes nécessitent des équipes et des compétences distinctes pour être gérés. Cela crée également des failles dans les processus et la couverture, par lesquelles les hackers peuvent se faufiler. Personnaliser quoi que ce soit demande du temps et des ressources. C'est pourquoi les meilleures solutions sont simples, cohérentes, réduisent les frictions pour les utilisateurs et sont peu coûteuses et simples à utiliser.

Les buzzwords ne sont que superflus dans les conseils d’administration, il faut considérer tous les angles avant la présentation pour ne pas se tromper devant le conseil d’administration.