3 étapes que les RSSI doivent suivre pour prouver la valeur de la cybersécurité

Les conseils d'administration savent que le cyberrisque est un élément clé du risque opérationnel, et ils exigent de plus en plus que les RSSI démontrent des gains de sécurité tangibles.

Pour les dirigeants confrontés à cette pression croissante, la clé du succès réside dans le fait de ne plus se concentrer sur les menaces mais sur la valeur. Il est temps de passer des rapports qualitatifs à des mesures plus quantitatives et basées sur la valeur afin de démontrer la manière dont les programmes de cybersécurité sont soutenir les résultats commerciaux.

Voici les trois étapes que je recommande aux responsables de la sécurité de suivre pour adopter une approche basée sur la valeur qui sera couronnée de succès au sein du conseil d'administration et protégez votre organisation contre l'évolution des cybermenaces.

‍1. Rétrograder par rapport aux objectifs commerciaux

Pour vraiment parler à problèmes de sécurité au niveau du conseil, les équipes de sécurité doivent travailler à rebours en fonction des résultats commerciaux. Il ne suffit plus de considérer la sécurité comme un exercice à cocher : les RSSI et leurs équipes doivent disposer d'une stratégie ciblée qui prouve son efficacité et efficacité.

En alignant les objectifs de sécurité sur les objectifs généraux de l'entreprise, vous pouvez démontrer comment votre programme et ses dépenses s'alignent sur les principaux résultats de l'entreprise tout en contribuant à améliorer la résilience globale de l'organisation. Cela obligera à abandonner les rapports qualitatifs au profit de mesures plus quantitatives fondées sur la valeur afin de démontrer l'impact de la cybersécurité.

Par exemple, ne dites pas simplement que l'organisation devrait investir dans l'amélioration de l'authentification, car il s'agit d'une tactique de sécurité importante. Expliquez plutôt comment un objectif commercial majeur bénéficiera de la priorisation de l'authentification et de l'investissement dans une solution d'authentification améliorée. Cet état d'esprit actualisé garantit que vous n'investissez que dans la technologie qui vous permet de démontrer une valeur conforme aux objectifs commerciaux.

2. Démontrer rigoureusement le retour sur investissement de la sécurité

Malgré des investissements massifs dans les outils de sécurité, les entreprises de tous secteurs, de toutes régions et de toutes tailles sont toujours confrontées à des cyberattaques catastrophiques. En fait, Rapport d'IBM sur le coût d'une violation de données pour 2023 a constaté que les violations de données ont coûté aux entreprises 4,45 millions de dollars en moyenne l'année dernière. Cela prouve que de nombreuses équipes de sécurité mettent en place des technologies de sécurité sans avoir la preuve qu'elles ont un impact positif sur cyber-résilience.

Il est temps de lier les efforts de cybersécurité à des avantages de résilience tangibles et mesurables. Chaque dollar investi dans la cybersécurité devrait permettre de réaliser des gains significatifs en termes de sécurité ou de réduction mesurable des risques.

Les conseils d'administration reconnaissent que le cyberrisque joue un rôle important dans le risque opérationnel de l'organisation. Ils demanderont aux responsables de la cybersécurité de démontrer des gains tangibles en matière de cybersécurité. Les équipes de sécurité doivent démontrer de manière rigoureuse que les investissements sont directement liés à des avantages réels. Les conseils d'administration, qui exigent davantage de données et de preuves, évalueront le coût de la résolution des cyberproblèmes par rapport aux risques financiers liés au fait de ne pas les résoudre.

3. Élaborez des stratégies et communiquez en termes commerciaux

Le risque de cybersécurité est un risque commercial, et il dépend de RSSI pour traduire les tactiques de sécurité en une stratégie de sécurité unifiée qui contribue à atténuer ce risque.

La cybersécurité axée sur les données est en train de devenir la norme, et les responsables de la sécurité devraient fournir des mises à jour régulières sur la manière dont les initiatives et les outils informatiques ont réduit ou atténué les risques et renforcé la résilience. Les conseils d'administration voudront savoir comment les initiatives de sécurité contribuent aux résultats commerciaux. Malheureusement, de nombreux RSSI ne communiquent pas suffisamment avec les hauts dirigeants.

Selon recherche selon la Harvard Business Review, seuls 47 % des membres du conseil d'administration interagissent régulièrement avec leurs RSSI.

Il est essentiel d'adopter une approche basée sur les risques, idéalement construite autour de principes tels que la défense en profondeur ou le Zero Trust. Une stratégie cohérente orientera non seulement votre prise de décision, mais permettra également à la direction de l'entreprise de voir comment vous développez une défense complète contre les menaces.

Lorsque vous parlez de votre programme, en particulier au niveau du conseil d'administration, engagez des conversations liées aux objectifs principaux et financiers de l'organisation plutôt qu'à des tactiques de sécurité ou à des menaces spécifiques. Cette approche de communication stratégique garantit que la cybersécurité n'est pas considérée uniquement comme un centre de coûts, mais comme une partie intégrante de la réussite commerciale.

Les leaders de la sécurité qui vont gagner sont ceux qui peuvent clairement exprimer l'impact de leurs programmes sur l'entreprise.

L'avenir, c'est une approche de la cybersécurité fondée sur les valeurs

L'ère des exercices de cases à cocher, des données qualitatives et des stratégies mal alignées est révolue pour la cybersécurité. Il est impératif que les responsables de la cybersécurité passent d'une approche centrée sur les menaces à une approche centrée sur la valeur, en alignant les efforts de sécurité sur les objectifs commerciaux. Ceux qui accordent la priorité à une approche fondée sur les valeurs en sortiront gagnants à long terme. Anticipez un avenir dans lequel une approche centrée sur la valeur influera sur la manière dont nous mesurerons les progrès en matière de sécurité, notamment mandats de conformité à venir des gouvernements du monde entier.

Entrez en contact pour savoir comment Illumio peut soutenir les principales initiatives de cybersécurité de votre organisation.