Un mur d’incompréhension persiste entre les responsables de la sécurité et les décideurs business et IT. Beaucoup, encore, ne voient que la contrainte.

Sécurité, toujours ce mur d’incompréhension. Tout le monde s’entend sur le fait la renforcer, notamment depuis la crise actuelle. Mais comment ? C’est là que la question divise. Devoteam le démontre à travers une étude inédite menée par IDC.

La question divise parce que chacun la voit selon le prisme de sa fonction. Pour les décideurs business, les principaux freins à l’amélioration de la sécurité en entreprise sont : les contraintes budgétaires (52,98 %), le manque de compétences (43,71 %) et la difficulté à arbitrer entre la sécurité et les priorités business (41,72 %).

Pour les responsables de la sécurité, les contraintes budgétaires sont bel et bien le frein (50,93 %). Mais ils classent en deuxième et troisième position respectivement la fragmentation et le manque d’intégration des solutions de sécurité (43,2 %) et le manque de compétences (39,81 %).

Enfin, pour les décideurs IT, les contraintes budgétaires (39,74 %) passent après la fragmentation et le manque d’intégration des solutions de sécurité et le manque de compétences qui se classent ex aequo (40,17%).

Des attentes qui divergent

Ces chiffres démontrent à quel point trouver le point d’équilibre entre sécurité et atteinte de l’efficacité opérationnelle est un défi difficile à relever.

Si cette étude a été réalisée avant la crise du coronavirus, ses résultats n’en sont que plus précieux. Avec la multiplication des cyber-attaques pendant le COVID-19, cet épisode a malheureusement démontré que notre résilience repose de plus en plus sur des systèmes digitaux, et donc sur notre capacité à les protéger face à des menaces que la crise ne fait qu’exacerber. Pourtant, l’enjeu, pour une entreprise n’est pas de limiter les dégâts, mais bien de rester compétitive quoi qu’il arrive.

L’incompréhension est bel et bien là. Les fonctions business attendent en priorité de la transformation digitale une «meilleure implication des métiers», quand pour les fonctions IT, «l’intégration des systèmes» reste l’objectif n°1. Sans surprise, la fonction sécurité souhaite, elle, permette d’«assurer la sécurité de l’information au sein de l’organisation».

Incompréhension sur la notion même de risque

Les caractéristiques intrinsèques des métiers et l’essence même des objectifs liés à chaque fonction rendent l’équation «Risques versus Agilité» difficile à résoudre. Un constat posé par l’ensemble des fonctions de l’organisation. Si pour 62,8 % des sondés, «innover, développer de nouveaux produits/services, accélérer le time-to market» est l’objectif n°1 de la transformation digitale, 67 % estiment néanmoins que la réconciliation de priorités concurrentes est l’obstacle principal majeur à la mise en œuvre d’une transformation digitale efficace.

Si l’amélioration de l’efficacité opérationnelle est l’objectif principal de toutes les fonctions (24,96 %), elle n’est pas pleinement perçue comme porteuse de valeur. Pour cette raison, elle se retrouve trop souvent sacrifiée à d’autres enjeux. À cela s’ajoutent les contraintes budgétaires, la fragmentation et le manque d’intégration des solutions de sécurité, plus le manque de compétences. Autant de freins qui empêchent d’aller au-delà de ce qu’exigent la réglementation et les instances de contrôle en la matière.   

La nécessité de passer de la notion absolue de sécurité à la notion relative du risque…

Traduite en risques, la sécurité IT n’est plus une contrainte obscure et coûteuse. Or, elle est un élément objectif de pilotage, estime Devoteam. Adopter une approche basée sur les risques permet d’expliciter les impacts potentiels sur le business. L’enjeu devient alors compréhensible par tous, mesurable et comparable. L’entreprise peut alors se fixer des objectifs, des règles claires et mesurer les progrès accomplis au regard des investissements consentis.

La cybersécurité ne doit pas être une option. Pourtant, si plus de la moitié des décideurs interrogés sont convaincus du fait que l’intégration de la sécurité dès la planification d’un nouveau développement est source de valeurs, là encore dans les faits cela reste un véritable challenge… Seules 13 % des entreprises s’emparent du sujet à ce stade et 50 % l’adoptent au cas par cas.

En matière de gestion des risques, adopter une approche basée sur les risques pour expliciter les impacts business est le point de départ essentiel pour une approche efficace de la cybersécurité.

Une métamorphose engagée… mais un appât du gain qui persiste

En matière de sécurité, les lignes commencent à bouger. Elle ne doit pas être l’affaire d’un seul homme, mais faire partie intégrante de la culture de chaque métier. Les organisations ont d’ailleurs amorcé sa migration vers la phase initiale de construction de la plateforme numérique. Ce qui est bon signe. Toutes fonctions confondues, les organisations sont près de 26 % à l’intégrer dès la conception (37,7 % des fonctions business, 27,3 % des fonctions sécurité et 23,2 % IT).

Malgré les promesses de transformation sécurisée du lieu de travail, dans un marché de plus en plus compétitif, les organisations sont malheureusement toujours prêtes à sacrifier la sécurité des utilisateurs pour soutenir des initiatives commerciales. Seul le CIO est plus prêt à affronter les risques réglementaires que la sécurité des utilisateurs.

Le CISO, l’indispensable médiateur

Disposant d’une meilleure vision du risque, le CISO est un acteur clé au sein de l’entreprise. Il est le seul capable, en effet, de transposer les cyber-menaces en risques business. C’est à lui qu’appartient de porter cette approche de la cybersécurité par le risque. Et de la diffuser à tous les niveaux de l’organisation à travers des outils et une prise de conscience culturelle.

C’est d’ailleurs le rôle principal que lui assignent en priorité les décideurs interrogés : «Coopérer avec les métiers pour qu’ils inscrivent leurs activités dans un cadre de risque accepté» (47 %), devant «Réduire la probabilité des menaces (internes et externes) qui pèsent sur l’entreprise et ses actifs» (45 %) et «Intégrer la sécurité dans l’environnement» de l’entreprise pour réduire les coûts et accroître l’efficacité» (43 %).

«Ce mur d’incompréhension peut tomber… à condition de repenser la gouvernance de la cybersécurité, conclut Martin Esslinger, Partner, Devoteam. En séparant l’IT et la sécurité, on élimine les conflits d’intérêt. En adaptant son discours et ses arguments, en se concentrant sur la notion de risque, connue et acceptée, plutôt que sur celle de sécurité, plus vague et démobilisatrice, le CISO serait alors en mesure d’obtenir directement l’adhésion de l’entreprise et de sa direction générale.»