3 étapes que les RSSI doivent suivre pour prouver la valeur de la cybersécurité

Boards know that cyber risk is a key component of operational risk, and they’re increasingly demanding that CISOs demonstrate tangible security gains.  

For leaders feeling this growing pressure, the key to success lies in shifting our focus from threats to value. It’s time to move away from qualitative reporting to more quantitative, value-based measures to demonstrate the ways cybersecurity programs are supporting business outcomes.

Voici les trois étapes que je recommande aux responsables de la sécurité de suivre pour adopter une approche fondée sur la valeur qui sera couronnée de succès dans la salle du conseil d'administration et protégera votre organisation contre les cybermenaces en constante évolution.

‍1. Travailler à rebours à partir des objectifs de l'entreprise

To truly speak to board-level security concerns, security teams must work backward from business outcomes. It’s no longer enough to think about security as a tick-box exercise — CISOs and their teams must have a focused strategy that proves efficacy and efficiency.

En alignant les objectifs de sécurité sur les objectifs généraux de l'entreprise, vous pouvez démontrer comment votre programme et ses dépenses s'alignent sur les résultats clés de l'entreprise tout en contribuant à améliorer la résilience globale de l'organisation. Cela obligera à abandonner les rapports qualitatifs au profit de mesures plus quantitatives basées sur la valeur pour démontrer l'impact de la cybersécurité.

Par exemple, ne vous contentez pas de dire que l'organisation devrait investir dans l'amélioration de l'authentification parce qu'il s'agit d'une tactique de sécurité importante. Expliquez plutôt comment l'un des principaux objectifs de l'entreprise bénéficiera de la priorité accordée à l'authentification et de l'investissement dans une solution d'authentification améliorée. Cet état d'esprit actualisé garantit que vous n'investissez que dans la technologie qui vous permet de démontrer une valeur alignée sur les objectifs de l'entreprise.

2. Démontrer rigoureusement le retour sur investissement en matière de sécurité

Malgré des investissements massifs dans les outils de sécurité, les organisations de tous secteurs, de toutes zones géographiques et de toutes tailles subissent encore des cyberattaques catastrophiques.

In fact, IBM’s 2023 Cost of a Data Breach report found that data breaches costed organizations $4.45 million on average last year. This proves that many security teams are putting security technology in place without having proof that it’s making a positive impact on cyber resilience.

Il est temps d'associer les efforts de cybersécurité à des avantages tangibles et mesurables en matière de résilience. Chaque dollar dépensé pour la cybersécurité doit se traduire par des gains significatifs en matière de sécurité ou par une réduction mesurable des risques.

Les conseils d'administration reconnaissent que le cyberrisque joue un rôle important dans le risque opérationnel de l'organisation. Ils exigeront des responsables de la cybersécurité qu'ils démontrent des gains tangibles en matière de cybersécurité. Les équipes de sécurité doivent rigoureusement démontrer que les investissements sont directement liés à des avantages réels.

Les conseils d'administration, qui exigent davantage de données et de preuves, évalueront le coût de la résolution des cyberproblèmes par rapport aux risques financiers qu'ils encourent s'ils ne sont pas résolus.

3. Élaborer des stratégies et communiquer en termes commerciaux

Cybersecurity risk is business risk — and it’s up to CISOs to translate security tactics into a unified security strategy that helps mitigate this risk.  

La cybersécurité axée sur les données devient la norme, et les responsables de la sécurité sont censés fournir des mises à jour régulières sur la manière dont les initiatives et les outils cybernétiques ont permis de réduire ou d'atténuer les risques et de renforcer la résilience. Les conseils d'administration voudront savoir comment les initiatives en matière de sécurité soutiennent les résultats de l'entreprise.

Malheureusement, de nombreux RSSI ne communiquent pas suffisamment avec les dirigeants.

According to research by the Harvard Business Review, only 47% of board members interact with their CISOs on a regular basis.

Il est essentiel d'adopter une approche basée sur les risques, idéalement fondée sur des principes tels que la défense en profondeur ou la confiance zéro. Une stratégie cohérente guidera non seulement votre prise de décision, mais permettra également à la direction de l'entreprise de voir comment vous développez une défense complète contre les menaces.

Lorsque vous parlez de votre programme, en particulier dans le cadre d'un conseil d'administration, engagez des conversations sur les objectifs de l'organisation en termes de chiffre d'affaires et de résultat, plutôt que sur des tactiques ou des menaces spécifiques en matière de sécurité. Cette approche stratégique de la communication permet de s'assurer que la cybersécurité n'est pas considérée comme un simple centre de coûts, mais qu'elle fait partie intégrante de la réussite de l'entreprise.  

Les responsables de la sécurité qui gagneront sont ceux qui peuvent clairement expliquer l'impact de leurs programmes sur l'entreprise.

Une approche de la cybersécurité fondée sur la valeur est l'avenir

En matière de cybersécurité, l'ère des exercices à cases à cocher, des données qualitatives et des stratégies mal alignées est révolue. Les responsables de la cybersécurité doivent impérativement passer d'une approche centrée sur les menaces à une approche centrée sur la valeur, en alignant les efforts de sécurité sur les objectifs de l'entreprise.

Those who prioritize a value-based approach will emerge as winners in the long run. Anticipate a future where a value-centric approach filters into how we measure progress throughout security, including upcoming compliance mandates from global governments.  

Get in touch to learn how Illumio can support your organization’s top cybersecurity initiatives.