L’approche réactive de la sécurité, frein au développement des entreprises

0
283

Selon une nouvelle recherche publiée par WithSecure™, la sécurité tangible améliore la résilience, la compétitivité et la productivité des organisations.

Tribune – Les entreprises adoptent souvent une approche réactive de la cybersécurité. Selon une nouvelle étude commandée par Forrester Consulting pour le compte de WithSecure™ (anciennement connu sous le nom de F-Secure Business), cette approche est contre-productive. Elle empêche les entreprises de démontrer leur valeur et d’adapter leur sécurité à leurs objectifs commerciaux.

Selon cette étude, les solutions et services de sécurité motivés par l’obtention de résultats concrets sont sollicités par 83 % des professionnels interrogés : soit ils envisagent ces produits et solutions, soit ils prévoient officiellement d’en acquérir, soit ils en sont déjà clients et souhaitent aller développer leurs acquisitions.

Toutefois, la plupart des entreprises abordent encore la cybersécurité de manière réactive : 60 % des professionnels déclarent réagir aux problèmes de cybersécurité au fur et à mesure qu’ils se présentent.

Ce pourcentage varie selon les secteurs d’activité : 71 % des entreprises du secteur manufacturier évoquent donc cette approche réactive, contre un peu plus de 50% dans le secteur très réglementé des services financiers.

Les professionnels reconnaissent pourtant qu’une telle approche est problématique : 90 % déclarent être confrontés à des difficultés lorsqu’ils adoptent une approche réactive. Ils disposent pourtant de budgets de sécurité de plus en plus importants : 71 % déclarent dépenser davantage chaque année pour la cybersécurité.

Les professionnels interrogés évoquent plusieurs grands défis à surmonter : la visibilité des cyber-risques, la pénurie d’expertise, le manque de ressources, et la difficulté à répondre rapidement et efficacement aux menaces.

« Aujourd’hui, la plupart des investissements en cybersécurité visent à réduire les cyber- risques. Cette approche pose problème lorsque les risques en question ne sont pas ceux qui importent pour les objectifs de l’entreprise. En définitive, soit les investissements en cybersécurité sont complètement déconnectés de l’activité de l’entreprise, soit la cybersécurité ne reçoit pas du tout le financement qu’elle mérite », explique Christine Bejerasco, Chief Security Officer chez WithSecure™.

Selon l’étude de Forrester, la cybersécurité motivée par l’obtention de résultats concrets est une approche plus adaptée : elle permet de la simplifier en misant sur des indicateurs mesurables, par opposition aux méthodes traditionnelles axées sur les menaces, les activités ou le retour sur investissement.

Les entreprises affichent différents objectifs de résultats liés à la sécurité : 44 % des professionnels interrogés évoquent la réduction des risques, 40 % souhaitent que la sécurité permette d’améliorer l’expérience client ; et 34 % recherchent une croissance du chiffre d’affaires.

Les professionnels interrogés ont bien identifié les résultats opérationnels que la sécurité doit venir consolider au sein de leur entreprise. Pourtant, seul un sur cinq affirme aboutir à une parfaite correspondance entre les priorités de cybersécurité et les résultats de l’entreprise.

Cette adéquation entre les priorités de sécurité et les résultats opérationnels se heurte  plusieurs obstacles : la gestion d’un environnement informatique complexe, la gestion des conflits entre la sécurité et les objectifs, et le maintien des résultats de détection. De plus, les professionnels éprouvent des difficultés à évaluer concrètement l’impact de la sécurité sur les résultats de leur entreprise :

  • 42 % peinent à évaluer l’apport concret de la sécurité en termes de résultats (difficulté à évaluer le niveau de sécurité actuel et le niveau cible)
  • 37 % ont des difficultés à mesurer la valeur ajoutée de la cybersécurité.
  • 36 % ont des difficultés à recueillir des données cohérentes et significatives.
  • 28 % ont des difficultés à surmonter le paradoxe de la sécurité (après avoir investi dans une sécurité efficace, les entreprises connaissent moins de cyberincidents et ont moins d’occasions de prouver l’utilité d’une telle protection)
  • 23 % ont éprouvé des difficultés à expliquer au conseil d’administration la pertinence des indicateurs de cybersécurité.

L’étude, intitulée The Value Of Putting Security Outcomes First: Rethink Cybersecurity To
Amplify Resilience, Productivity, And Competitiveness est disponible à l’adresse suivante.