Passez d’une approche réactive à une approche active, conseille WithSecure. Ce n’est pas seulement une question de résilience, mais aussi de compétitivité et de productivité.

Trop souvent, c’est l’approche réactive de la sécurité qui domine. Selon une étude commandée par Forrester Consulting par WithSecure (anciennement F-Secure Business), c’est contre-productif. Pareille approche empêche les entreprises de démontrer leur valeur et d’adapter leur sécurité à leurs objectifs commerciaux.

60 % des professionnels déclarent réagir aux problèmes de cybersécurité au fur et à mesure qu’ils se présentent. Autrement dit de façon réactive. C’est plus net encore dans le secteur manufacturier : 71 %. Un peu moins dans la finance : 50%.

Les professionnels reconnaissent pourtant qu’une telle approche est problématiqu 90 % déclarent être confrontés à des difficultés lorsqu’ils adoptent une approche réactive. Ils disposent pourtant de budgets de sécurité de plus en plus importants. 71 % déclarent dépenser davantage chaque année pour la cybersécurité.

« Cette approche pose problème lorsque les risques en question ne sont pas ceux qui importent pour les objectifs de l’entreprise, explique Christine Bejerasco, Chief Security Officer, WithSecure. Soit les investissements en cybersécurité sont complètement déconnectés de l’activité de l’entreprise, soit la cybersécurité ne reçoit pas du tout le financement qu’elle mérite ! »

La sécurité sans négliger les objectifs de l’entreprise

Selon Forrester, la cybersécurité motivée par l’obtention de résultats concrets est une approche plus adaptée. Elle permet de la simplifier en misant sur des indicateurs mesurables, par opposition aux méthodes traditionnelles axées sur les menaces, les activités ou le retour sur investissement.

Les entreprises affichent différents objectifs de résultats liés à la sécurité. 44 % des professionnels interrogés évoquent la réduction des risques. 40 % souhaitent que la sécurité permette d’améliorer l’expérience client. Et 34 % recherchent une croissance du chiffre d’affaires.

Les professionnels interrogés ont bien identifié les résultats opérationnels que la sécurité doit venir consolider au sein de leur entreprise. Pourtant, seul un sur cinq affirme aboutir à une parfaite correspondance entre les priorités de cybersécurité et les résultats de l’entreprise.

De la difficulté à évaluer l’impact sur les résultats de l’entreprise

Cette adéquation entre les priorités de sécurité et les résultats opérationnels se heurte à plusieurs obstacles : la gestion d’un environnement informatique complexe, la gestion des conflits entre la sécurité et les objectifs, et le maintien des résultats de détection.

De plus, les professionnels éprouvent des difficultés à évaluer concrètement l’impact de la sécurité sur les résultats de leur entreprise. Ainsi, 42 % peinent à évaluer l’apport concret de la sécurité en termes de résultats (difficulté à évaluer le niveau de sécurité actuel et le niveau cible). 37 % ont des difficultés à mesurer la valeur ajoutée de la cybersécurité. 36 % ont des difficultés à recueillir des données cohérentes et significatives. 28 % ont des difficultés à surmonter le paradoxe de la sécurité (après avoir investi dans une sécurité efficace, les entreprises connaissent moins de cyberincidents et ont moins d’occasions de prouver l’utilité d’une telle protection). Enfin, 23 % ont éprouvé des difficultés à expliquer au conseil d’administration la pertinence des indicateurs de cybersécurité.