Vous ne pensez pas avoir besoin d'investir dans un programme de cybersécurité?
0 0
Read Time:7 Minute, 3 Second


23 novembre 2020


Par le Dr Romeo Farinacci, expert en cybersécurité et rédacteur collaborateur

Protégez votre entreprise grâce aux investissements en cybersécurité

Se faire arrêter et retrouver sans assurance automobile peut vous coûter des centaines, mais se faire prendre sans cybersécurité peut vous coûter des millions.

La cybersécurité va au-delà du respect de la conformité, des réglementations, des lois et des normes, il s’agit de soutenir votre entreprise dans ce paysage concurrentiel. Sans outils de cybersécurité efficaces et meilleures pratiques en place (par exemple, des correctifs appropriés, des analyses périodiques ou des périphériques réseau renforcés), la probabilité de perte de données ou de fuites de propriété intellectuelle résultant de piratages, de ransomwares, de virus ou de simples erreurs humaines dans la gestion des données augmente considérablement, réduisant ainsi la rentabilité, la valeur marchande, la fiabilité et la capacité d’une organisation à être compétitive.

Comprenant que les données sont un produit, un service ou une bonne gestion et qu’une gestion efficace de ces données peut générer des bénéfices de plusieurs milliards de dollars, les entreprises commenceront à comprendre l’importance de la protection des données que les normes et les contrôles de cybersécurité fournissent.

Comment mesurez-vous le retour sur investissement (ROI) des initiatives de cybersécurité?

Comment une organisation peut-elle équilibrer les coûts des technologies de sécurité sophistiquées et communiquer les avantages qu’elles offrent? Certains déclarent simplement: «Les cyber-violations potentielles et leurs conséquences justifient les dépenses initiales et continues nécessaires pour éviter qu’elles ne se produisent.»

De nombreuses grandes entreprises utilisent une approche d’évaluation des risques et des recherches en cours parmi des organisations similaires qui ont été compromises pour identifier la probabilité, l’impact et les menaces associés à divers risques. Ces valeurs fournissent un scénario de simulation et une analyse des coûts pour ne pas implémenter ou contrôler le flux de données de manière appropriée. Cependant, les petites et moyennes entreprises (PME) avec des ressources limitées sont confrontées à des défis pour obtenir, appliquer et gérer des normes et des contrôles de cybersécurité et ont de plus grands défis et comprennent et communiquent l’investissement de la cybersécurité. Dans de nombreux cas, ils ne disposent pas non plus des recherches nécessaires pour comparer les impacts potentiels de la perte de données sur leur organisation.

La plupart des dirigeants ont une bonne compréhension du risque de marché, du risque financier, du risque opérationnel, etc., mais n’ont pas la connaissance du cyber-risque, en particulier pour les nouvelles entreprises qui n’ont pas encore rassemblé de mesures pour identifier les menaces potentielles. Les dirigeants et les membres du conseil ont besoin de données fiables pour prendre des décisions stratégiques éclairées. L’utilisation d’un langage tel que «pourrait», «peut» et «très probablement» donne une bonne idée mais manque de confiance et de justification. «… De nombreux décideurs clés insistent encore pour voir des résultats réels et mesurables afin de justifier la valeur d’un plan de détection des menaces bien établi et solide.» Tout bien considéré, essayer de calculer et de communiquer un retour sur investissement pour la cybersécurité est une approche médiocre et dans de nombreux cas irréaliste.

Combien êtes-vous prêt à dépenser, à épargner?

C’est peut-être la question fondamentale de l’équilibre entre les coûts et les avantages (ou les avantages potentiels) des stratégies de cybersécurité. Les professionnels de la sécurité adorent utiliser des scénarios, des études de cas ou de simples métaphores pour exprimer la signification et la justification de divers outils et technologies utilisés pour sécuriser et gérer la propriété intellectuelle de l’entreprise et les données des consommateurs. Par exemple, pourquoi acheter des serrures et des systèmes de surveillance de sécurité sur une maison? Et si, au cours de sa vie dans une résidence, personne n’essayait jamais d’entrer dans la maison à l’improviste; cela justifie-t-il encore les dépenses accumulées au fil des ans pour le système de verrouillage et de sécurité? Lors de l’abandon de la résidence, y a-t-il vraiment un retour sur investissement? Les Américains dépensent des milliers de dollars par an sur les systèmes de sécurité à domicile pour la tranquillité d’esprit, car avouons-le, si un méchant veut entrer, il entrera. Cela est vrai en cybersécurité car les acteurs malveillants trouveront un moyen quelles que soient les mesures prises en place, mais pour certaines organisations (très peu), une violation peut ne jamais se produire. Cependant, le rôle de la cybersécurité n’est pas nécessairement d’éloigner les méchants, mais de limiter ce qu’ils peuvent accéder ou d’exploiter, de réduire le temps de réaction ou le temps moyen de résolution (MTTR), de démontrer la diligence, la compétence et la fiabilité de l’organisation auprès des consommateurs. données, et finalement pour former et éduquer les employés internes sur l’utilisation appropriée des données.

cybersecurity inset

Investir dans la cybersécurité améliore la productivité et permet d’économiser de l’argent. On pourrait soutenir qu’il augmente également la rentabilité car il communique aux consommateurs la confiance et la fiabilité. Cela permet non seulement d’économiser de l’argent sur ce qui pourrait arriver, mais aussi sur ce qui se passe. Selon un article récent, «… les principales sources de cybermenaces ne sont pas technologiques. On les trouve dans le cerveau humain, sous forme de curiosité, d’ignorance, d’apathie et d’orgueil. Ces formes humaines de logiciels malveillants peuvent être présentes dans n’importe quelle organisation et sont tout aussi dangereuses que les menaces transmises via un code malveillant. » La formation de sensibilisation à la sécurité pour les employés sur la façon de gérer, de stocker et de transmettre correctement les données fournit une maîtrise et un contrôle des données qui ont un impact sur la productivité. Les données sont disponibles et fiables aux moments critiques, sont transmises en toute sécurité avec intégrité aux personnes d’intérêt, et sont stockées et sauvegardées pour une récupération rapide. Investir dans les bons outils et technologies de cybersécurité offre aux chefs d’entreprise une tranquillité d’esprit dans les opérations et la gestion des informations numériques ou des flux de revenus.

Selon la loi de Murphy, de mauvaises choses peuvent arriver et arrivent. Qu’elle soit externe ou interne, un compromis de propriété intellectuelle peut se produire. Avec les bons investissements en cybersécurité, la cause première peut être identifiée, les données peuvent être suivies et les opérations de récupération peuvent être en cours en quelques minutes. Les entreprises ont passé des heures, des semaines, des mois ou des années à essayer de déterminer comment un incident s’est produit, quelles données ont été compromises et comment prévenir ou réduire la répétition de l’incident. «On estime qu’environ 60% du MTTR est dépensé pour déterminer la cause profonde du problème réel.» Les outils de cybersécurité peuvent économiser des milliers d’heures de travail en réduisant le MTTR et en remettant les opérations en production. Une stratégie clé pour investir dans la cybersécurité consiste à prendre en compte les cybermenaces les plus impactantes susceptibles de se produire et à appliquer des mesures appropriées pour non seulement dissuader mais récupérer rapidement et sans perturber les activités. C’est là que les économies de coûts brillent vraiment!

Votre clé à emporter

Traitez la cybersécurité comme un investissement dans la mise en œuvre des stratégies commerciales avec peu de frictions liées à la cyber-guerre en cours. Il ne doit pas être traité comme une police d’assurance ni être ventilé de telle manière qu’un retour sur investissement hypothétique puisse être établi. Ces idées fausses sur la création d’un programme de cybersécurité peuvent entraîner la déception des employés, la perte du soutien de la direction et une fausse représentation de la véritable valeur que la cybersécurité apporte au personnel. L’exécution de programmes et de stratégies de cybersécurité est une opportunité d’investissement précieuse qui améliorera la productivité et augmentera la rentabilité de l’entreprise; en économisant de l’argent, en gagnant du temps et en intégrant des gains d’efficacité dans les opérations.


Références
1. http://searchcio.techtarget.com/news/450419414/Not-investing-in-cybersecurity-has-inverse-ROI
2. https://cybersponse.com/2942-2
3. https://ayehu.com/calculate-roi-cybersecurity-threat-defense/
4. https://www.forbes.com/sites/gilpress/2017/07/10/leveraging-ai-ai-to-maximize-cybersecurity-roi/#3d81c29539e4
5. https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/small-businesses-investing-cybersecurity/
6. https://hbr.org/2017/05/the-best-cybersecurity-investment-you-can-make-is-better-training
sept. http://business.financialpost.com/technology/companies-see-the-cyber-threat-but-spending-on-security-is-a-different-matter/wcm/6587b090-4936-48f9-80e1-e57ce22b8ccf
8. http://www.csoonline.com/article/3084887/leadership-management/philosophy-plato-and-cybersecurity-as-a-public-service.html

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire