DAF et Directeur de la sécurité : une collaboration à cultiver

Pour Nabil Hannan, directeur de l’entreprise de sécurité NetSPI, la lutte contre la cybercriminalité implique une meilleure collaboration entre le DAF et le Directeur de la sécurité.

Quel ROI pour les dépenses de sécurité ? La discussion sur les enjeux de sécurité se heurte encore à des incompréhensions au sein des comités de direction. Pourtant la cybersécurité peut directement impacter la santé financière de l’entreprise et sa réputation.

D’après la dernière étude d’IBM « Cost of a Data Breach Report 2020 », le coût moyen d’une faille de sécurité est de 3.86 millions de dollars. Les menaces de sécurité venant de l’intérieur de l’entreprise sont aussi celles qui peuvent lui coûter le plus, soit en moyenne 243 101 Dollars. C’est aussi le type de menace qui croît le plus.

Les risques liés à la sécurité des données sensibles sont aussi particulièrement coûteux. Sur les 6 premiers mois de 2020, 3.2 millions de dossiers ont ainsi été exposés lors des 10 principales failles de sécurité. Il est donc important que les équipes sécurité communiquent de façon plus proactive la valeur de leur investissements et obtiennent un soutien financier en amont.

Pour obtenir ces financements, le responsable de la sécurité des systèmes d’information (RSSI) aura besoin du soutien du CFO de l’entreprise. Un partenariat où le DAF a aussi beaucoup à gagner en termes de contrôle des risques et de la conformité.

Pour y parvenir, le RSSI devra aussi adapter sa façon de communiquer, pour parler la même langue que le comité de direction. Une réunion stratégique de sécurité peut très bien associer RSSI et CFO autour des enjeux de protection des données, conformité et gestion des risques. Les deux peuvent également collaborer pour chiffrer le ROI des solutions technologiques déployées, en fonction de leur impact business.

Enfin, les indicateurs de suivi des activités de sécurité doivent être adossés aux indicateurs d’affaires. Ainsi, plutôt que des chiffres bruts, il sera plus utile de communiquer sur des ratios ou pourcentages montrant la valeur des initiatives. En ce qui concerne la gestion des risques, RSSI et CFO peuvent ensemble évaluer l’organisation actuelle de l’entreprise et l’impact de ses choix sur sa posture de risque.

Allouer des ressources aux tests de sécurité est en fait un investissement pour protéger l’entreprise. Car prévenir une faille de sécurité et permettre à l’entreprise de remplir ses obligations de conformité sera moins coûteux que de devoir réagir à postériori. Les budgets de développement applicatifs peuvent aussi être optimisés en intégrant la sécurité très en amont et en procédant tôt à des tests de vulnérabilité.

D’après une étude McKinsey réalisée au milieu de la pandémie de Covid-19, plus de 70% des RSSI s’attendaient à des réductions des budgets sécurité d’ici fin 2020, et prévoient de demander des budgets supplémentaires pour 2021. C’est là qu’une meilleure collaboration entre RSSI et DAF sera utile. L’idée n’est pas que les DAF deviennent des experts de la cybersécurité, mais qu’ils puissent avec le RSSI trouver des solutions pour garantir la sécurité de l’entreprise.