Sécurité

Professionnels TI - 5 arguments pour convaincre votre patron d'investir dans une sécurité informatique forte

Laurence Cadieux

Bonjour! Je m'appelle Laurence Cadieux et je suis spécialiste en communication chez Devolutions. Mon rôle consiste à coordonner la stratégie de contenu et le développement de notre blogue, à gérer le contenu et la communication de notre plateforme pour les membres VIP de la Devolutions Force, et à travailler en étroite collaboration avec nos partenaires en relations publiques à travers le monde. Je suis titulaire d’un baccalauréat en marketing. Lorsque je ne travaille pas, je chante au sein d'un groupe, et j'aime regarder mes films préférés en boucle. J'aime aussi cuisiner, et pendant la pandémie, je suis devenue une experte du pain : je peux maintenant préparer la plus incroyable tarte à la lime de la planète (si je peux me permettre!). De plus, j'ai découvert tout récemment les LEGO et je ne peux plus faire marche arrière : je suis passionnée! Je suis toujours heureuse de vous aider, et vous pouvez me contacter directement à lcadieux@devolutions.net.

Afficher plus d'articles

Tout professionnel de l'informatique digne de ce nom (c’est-à-dire qui a un espace de travail avec plusieurs écrans, qui apprécie les aspects les plus raffinés de la culture geek et qui est un amoureux du travail à distance) sait qu'une sécurité informatique forte n'est pas qu’une chose le fun à avoir, ni même une « meilleure pratique ». C’est absolument, catégoriquement et indiscutablement essentiel.

Et c'est le cas depuis plusieurs décennies. Ces dernières années, cependant, l'importance cruciale d'une sécurité informatique forte ne peut plus être surestimée. Compte tenu des conséquences potentiellement catastrophiques d'une violation ou d'une fuite de données – le coût actuel est d'environ 200 000 dollars US par incident et ne cesse d'augmenter – il est difficile d'imaginer que quelqu'un puisse considérer la sécurité informatique comme autre chose qu'essentielle.

Pourtant, malgré cette vérité, de nombreux cadres, par ailleurs très intelligents, accomplis, prudents et tournés vers l'avenir, en dehors du monde de l'informatique, font précisément ça : ne pas considérer une sécurité informatique forte comme une exigence de base. Que se passe-t-il ici?

La raison est probablement ancrée dans le mot « forte ». Certains cadres n'ayant pas de formation informatique – parmi lesquels de nombreux chefs d'entreprise, PDG, directeurs financiers, vice-présidents des opérations, etc. – peuvent croire à tort que leur entreprise investit déjà dans une sécurité informatique forte, surtout s'ils n'ont pas (encore) été confrontés à une violation ou à une fuite grave. Ainsi, ils pensent qu'il n'est pas nécessaire d'augmenter le budget de la sécurité informatique ou de donner à leurs professionnels de l'informatique plus d'autorité pour décider, en matière d’accès, qui dans l'entreprise peut faire quoi (et où, quand, comment et pourquoi).

En plus, les professionnels de l'informatique qui tirent sans cesse la sonnette d'alarme (« NOUS AVONS BESOIN D'UNE SÉCURITÉ INFORMATIQUE PLUS FORTE ICI! ») dans les conversations, les mémos et les réunions peuvent être considérés comme des alarmistes motivés par leur propre intérêt. Évidemment, rien n'est plus éloigné de la vérité!

Voyez les choses ainsi : les pompiers n'agissent pas par intérêt personnel lorsqu'ils avertissent les gens d'installer et de maintenir le nombre approprié de détecteurs de fumée dans leur maison. De la même manière, les professionnels de l'informatique n'ont aucune motivation personnelle pour inciter les gestionnaires de leur entreprise à prendre plus au sérieux la sécurité informatique. Au contraire, l'augmentation du budget consacré à la sécurité informatique et l'intensification de l'attention portée à cette question se traduisent par un surcroît de travail pour les professionnels TI, et non par une diminution! En réalité, leur seul objectif est d'assurer la sécurité et la productivité de leur entreprise dans un environnement de menaces externes et internes qui devient de plus en plus dangereux et difficile à défendre.

Alors, que peuvent faire les professionnels de l'informatique (qui n'ont pas les ressources nécessaires pour déjouer les mauvais acteurs et limiter les dommages et le chaos provoqués par des utilisateurs finaux négligents) pour convaincre enfin leur(s) patron(s) qu'investir dans une sécurité informatique forte DÈS MAINTENANT est stratégique et non superficiel? Nous suggérons que tout argumentaire, proposition ou présentation couvre ces cinq raisons principales :

Une sécurité informatique forte permet de gagner et de conserver la confiance des clients.

Le milliardaire Warren Buffet a déclaré qu'il « faut 20 ans pour construire une réputation et cinq minutes pour la ruiner. Si vous pensez à ça, vous ferez les choses différemment ».

Loin de nous l'idée d'améliorer ce qu'a dit l'Oracle d'Omaha. Mais nous pensons qu'il ne nous en voudra pas si nous ajoutons qu'il faut en réalité moins de cinq minutes pour qu'un piratage ou une violation se produise et porte atteinte de manière durable, voire permanente, à la réputation d'une entreprise. Considérez ceci :

  • Plus de 80 % des consommateurs considèrent la confiance comme un facteur décisif dans leurs décisions d'achat.
  • 88 % des consommateurs affirment que la confiance est plus importante en période de changement (et c'est bien ce que nous vivons actuellement!).
  • 70 % des consommateurs veulent savoir que la protection des données est considérée comme une priorité absolue par les entreprises avec lesquelles ils font affaire.

Le message que les professionnels de l'informatique doivent transmettre à leur(s) patron(s) est clair : allouer davantage de ressources à la sécurité informatique n'est pas seulement une question TECHNIQUE. Elle est fondamentale pour gagner et conserver la confiance des clients, ce qui en fait une question de BUSINESS. Les entreprises qui sont considérées comme indignes de confiance parce qu'elles ont négligé d'investir dans une sécurité informatique forte sont obligées de dépenser des sommes énormes pour tenter de se relever. Évidemment, ces dépenses sont beaucoup, beaucoup plus importantes que ce qu'il aurait coûté de renforcer la sécurité informatique en premier lieu. Le vieil adage « mieux vaut prévenir que guérir » s'applique certainement ici.

Une sécurité informatique forte est nécessaire pour la conformité.

Nous venons de constater que de nombreux clients cesseront de faire affaire avec une entreprise qui n'a pas réussi à renforcer de manière proactive sa sécurité informatique (même si ces clients, eux-mêmes, n'ont pas été directement ou matériellement affectés par une attaque).

Cependant, certains clients refuseront carrément de faire affaire avec une entreprise dont l'infrastructure, la gouvernance et les contrôles de sécurité n'ont pas été évalués et vérifiés par une tierce partie. Il existe plusieurs normes et programmes de conformité crédibles, dont :

Le conseil aux professionnels de l'informatique est d'expliquer clairement qu'en tolérant une sécurité informatique faible (parce que si la sécurité informatique n'est pas forte, alors elle est faible… Il n'y a pas de juste milieu!), il existe un groupe important et croissant de clients potentiels qui n'envisageront tout simplement pas d'entrer en relation d’affaires. Ils peuvent admirer le produit d'une entreprise, ils peuvent trouver le prix abordable, mais s'ils n'ont pas confiance dans le profil de sécurité informatique de l'entreprise, ils se dirigeront vers un concurrent.

Étant donné que la seule chose qui empêche les dirigeants de dormir la nuit est de laisser des revenus et des bénéfices sur la table, le fait d'expliquer ce qui précède en termes pratiques peut contribuer à créer un moment de changement de paradigme où la sécurité informatique cesse d'être perçue comme une dépense inévitable et commence à être considérée comme un investissement rentable.

Une sécurité informatique forte élargit le marché pour inclure plus de clients. Une sécurité informatique faible rétrécit le marché et désavantage les entreprises par rapport à la concurrence.

Une forte sécurité informatique peut être nécessaire pour les assurances.

C'est une tendance qui s'est fortement accélérée ces deux dernières années : les entreprises qui ont souscrit une assurance cybersécurité découvrent, au moment du renouvellement de leur police, que leur assureur exige des contrôles de sécurité informatique plus stricts, notamment en ce qui concerne la gestion des accès privilégiés (PAM).

Il est évident que les professionnels de l'informatique qui travaillent pour des entreprises confrontées à cette exigence peuvent en tirer parti pour obtenir davantage de ressources en matière de sécurité informatique (et peut-être envoyer une belle carte de remerciement à leur compagnie d'assurance pour avoir été un allié dans leur quête d'un budget et de ressources supplémentaires!).

Cependant, même les professionnels de l'informatique qui travaillent pour des entreprises qui n'ont pas d'assurance cybersécurité (ou dont l'assureur, pour l'instant, n'a pas exigé de contrôles informatiques plus stricts) peuvent citer cette tendance pour étayer leur argumentation. Par exemple, les professionnels de l'informatique peuvent dire : « Si un nombre croissant de compagnies d'assurance sont si terrifiées à l'idée de couvrir les coûts d'une sécurité informatique faible, alors ne devrions-nous pas être tout aussi effrayés? ».

Une sécurité informatique forte envoie le bon message aux employés.

Qu'ils tombent dans le piège de l'hameçonnage, qu'ils partagent leurs mots de passe de manière peu sûre et/ou inappropriée, qu'ils perdent leurs ordinateurs portables (la liste est longue…), les utilisateurs finaux ont toujours été, et seront toujours, le maillon faible de la chaîne de sécurité informatique.

Une entreprise qui réalise des investissements appropriés en matière de sécurité informatique et qui met en avant ces mesures envoie un message clair et convaincant aux utilisateurs finaux : « Nous prenons très au sérieux la sécurité informatique et nous nous attendons que vous fassiez de même. »

À l'inverse, une entreprise dont la sécurité informatique est faible se heurtera constamment à des obstacles de crédibilité lorsqu'elle demandera aux utilisateurs finaux de pratiquer une bonne hygiène en la matière. Certains utilisateurs finaux verront le décalage entre ce que les dirigeants exigent et ce qu'ils font et ne prendront pas le message au sérieux.

Les professionnels de l'informatique doivent aider leur(s) patron(s) à comprendre les implications de ce décalage : les utilisateurs finaux sont MOINS disposés à adopter une bonne hygiène de sécurité, ce qui signifie que la surface d'attaque s'agrandit et que les risques augmentent.

Une sécurité informatique forte est éthique.

Les professionnels de l'informatique devraient essayer d'aider les gestionnaires à comprendre que le fait de soutenir une sécurité informatique forte n'est pas seulement la chose la plus intelligente, mais aussi la chose la plus juste à faire. Il ne s'agit pas seulement d'éviter les coûts et les conséquences. Il s'agit aussi d'être socialement responsable et d'être une bonne entreprise citoyenne.

Les dirigeants qui ouvrent la voie en matière de sécurité informatique gagnent le combat de la sécurité informatique.

En bref

Les professionnels de l'informatique savent qu'une sécurité informatique forte est obligatoire et non facultative. Mais il peut être difficile et frustrant d'obtenir l'adhésion des patrons et des autres parties prenantes, y compris des « gardiens » qui n'ont peut-être pas le pouvoir officiel d'approuver quoi que ce soit, mais qui ont malheureusement la capacité de faire obstruction.

Nous espérons que les conseils ci-dessus aideront les professionnels de l'informatique dans leur quête pour obtenir le budget, les ressources et l'autorité dont ils ont besoin pour assurer la sécurité et la productivité de leur entreprise. Et les professionnels de l'informatique peuvent également être assurés que Devolutions sera à leurs côtés, les soutenant à chaque étape du processus!

Articles similaires

Lire plus d'articles dans la section Sécurité