Quel devrait être le budget sécurité de mon entreprise ?

À la question de savoir quelle somme une entreprise devrait consacrer à sa sécurité, la réponse évidente semble être : combien a-t-elle à dépenser ? Depuis toujours, la meilleure façon de se débarrasser d’un problème – pour ceux qui ne sont pas à court d’argent – est de dépenser sans compter. Et à première vue, la sécurité ne fait pas exception à la règle.

Si vous investissez des milliers voire des millions d’euros pour vous protéger des individus malveillants, votre sécurité devrait théoriquement être assurée. Mais bien des exemples démontrent le contraire, tels le scandale majeur qui a touché Facebook, et les innombrables enseignes de détail qui ont été victimes de fuites de données de cartes de crédit au cours des dernières années : de plus gros investissements ne se traduisent pas systématiquement par de meilleurs résultats. Et en matière de sécurité, ce sont les résultats qui comptent.

Un peu de contexte

Puisqu’il est question des budgets, commençons par examiner quelques chiffres. La sécurité est un secteur d’activité qui connaît actuellement un véritable essor. Selon Gartner, quelque 124 milliards de dollars de dépenses devraient être consacrés à la sécurité cette année à travers le monde, contre 114 milliards de dollars en 2018. Une telle progression, qui se renforce d’une année sur l’autre, ne laisse pas d’impressionner.

Selon le magazine CIO, en 2018, un quart des entreprises consacraient en moyenne 10 à 20 % de leur budget informatique total à la sécurité. Un montant très proche du pourcentage de 13,7 % préconisé par l’IDC en 2015. Si vous êtes à la recherche d’une règle gravée dans le marbre, celle-ci peut convenir, mais il est préférable de pousser la réflexion un peu plus loin. D’autres facteurs sont à prendre en compte pour déterminer votre budget de sécurité.

Un environnement en constante évolution

L’une des chances que nous offre notre époque est la possibilité d’assister à l’avènement de technologies qui relevaient, il y a peu encore, de la science-fiction. Si nous attendons toujours l’arrivée des voitures volantes imaginées dans Retour vers le futur, les nouvelles technologies impressionnantes ne manquent pas.

L’environnement informatique et Internet ne cessent d’évoluer, pour le meilleur et pour le pire, avec des technologies révolutionnaires telles que l’intelligence artificielle et la blockchain, ou de nouvelles réglementations telles que le RGPD (le pire cauchemar de tous les marketeurs).

Des solutions de sécurité créatives telles que la détection des intrusions par IA sont de plus en plus prisées. Capgemini rapporte ainsi que 48 % des entreprises prévoient d’injecter 29 % de fonds supplémentaires dans leur budget de sécurité pour renforcer leurs solutions IA.

Si ces avancées sont positives, n’oublions pas le revers de la médaille. Les personnes malveillantes commencent d’ores et déjà à détourner l’IA à leur profit, comme en témoignent des faits insolites survenus en mars dernier. Des pirates ont utilisé l’IA pour usurper l’identité du PDG d’une entreprise énergétique britannique, avec à la clé le vol de centaines de milliers de dollars.

Quelles que soient les technologies impressionnantes développées pour assurer notre sécurité à tous, la même technologie finit toujours, inévitablement, par se retourner contre nous. Ce constat peut sembler assez décourageant.

Quelles sont les solutions

La technologie et ses utilisations dans le domaine de la sécurité évoluant à grands pas, il est difficile de savoir avec certitude à quoi ressemblera le paysage dans 6 semaines, et encore moins dans un an, d’où la difficulté d’élaborer en amont un budget spécifique. Si la complexité de la tâche peut sembler intimidante, quelques repères seront utiles pour vous aider à trouver votre chemin.

1. Soyez conscient de l’environnement dans lequel vous évoluez

Ce n’est pas seulement la meilleure façon d’éviter une attaque d’ours lors d’une randonnée dans les Pyrénées. C’est aussi l’une des étapes les plus importantes pour naviguer avec succès dans les eaux agitées de la cybersécurité. Tenez-vous au courant des nouvelles réalités, des menaces qui se profilent et des protections disponibles.

Comme le dit l’adage, le savoir c’est le pouvoir, qu’il s’agisse de mettre en place une alerte Google, de s’inscrire à des bulletins de sécurité, ou même de faire vos propres recherches sur Internet. Pour ne pas se laisser surprendre et éviter la catastrophe, le meilleur moyen est de rester au fait des risques émergents.

2. Analysez, prévoyez, consignez. Encore et encore.

L’analyse a posteriori est riche d’enseignements, comme nous le savons tous, alors tirez-en pleinement parti. Au moment de fixer votre budget de sécurité, analysez minutieusement le passé. Qu’est-ce qui a bien fonctionné ? Qu’est-ce qui s’est avéré être une perte colossale de temps et d’argent ? Qu’auriez-vous préféré faire, acheter ou utiliser ?

À partir de là, et en vous appuyant sur une vision bien documentée et précise du paysage actuel de la cybersécurité, élaborez un plan d’action pour l’année à venir. C’est l’occasion de tirer les leçons du passé et de s’en servir réellement pour l’avenir.

Enfin, notez chaque centime que vous dépensez en cybersécurité, des frais récurrents aux urgences imprévues. Faites le tri entre les bons choix et ce qu’il convient d’ajuster. Cela vous sera utile pour la prochaine fois.

3. Laissez-vous une marge de manœuvre

Quand j’avais environ 10 ans, mon père m’a suggéré de mettre de côté chaque semaine un peu de mon argent de poche afin d’alimenter un « fonds d’urgence » pour ma future voiture. Je n’étais pas convaincu par l’utilité de cette idée jusqu’à ce qu’à 16 ans, je reçoive ma première contravention, que j’ai pu payer immédiatement sans devoir aller tondre la pelouse de mes voisins.

J’ai tiré de cette situation une leçon précieuse : avoir un petit bas de laine en prévision d’urgences peut vous sauver, vous et votre entreprise, en cas de cyberattaque imprévue ou de vulnérabilité affectant votre système de sécurité. Quelle que soit l’approche suivie pour établir votre budget de sécurité, laissez-vous un peu de marge de manœuvre.

4. Simplifiez, toujours et encore

De nouveaux outils, applications et gadgets apparaissent tous les jours dans le domaine de la cybersécurité. Le risque est de se laisser aller à tous les acheter. Aussi incroyable que chaque outil individuel puisse paraître, il faut prendre le temps de vérifier qu’il s’agit de la meilleure option, c’est-à-dire à la fois la plus efficace et la plus rentable.

Laissez-moi vous donner un exemple. Une entreprise pour laquelle j’ai travaillé disposait d’une multitude d’outils, des gestionnaires de mots de passe aux serveurs proxys. La facture technologique était énorme mais, comme tout semblait nécessaire, nous pensions que la dépense était justifiée. Cependant, en cherchant un peu, nous avons pu trouver une plateforme SSO (single sign-on) qui prenait en charge la moitié de nos problèmes pour le prix d’un seul des outils utilisés auparavant.

Oui, le temps c’est de l’argent, mais parfois il est possible de réduire considérablement ses coûts en y consacrant un peu de temps. Prenez ces quelques heures (ou déléguez cette tâche) pour comprendre en détail vos dépenses de sécurité, identifier des alternatives et des voies d’amélioration potentielles.

Conclusion

En fin de compte, il n’y a pas de règle absolue s’agissant du montant à consacrer à la sécurité. Vous trouverez des recommandations élaborées par des sociétés de recherche de premier plan, mais en réalité personne ne connaît votre situation aussi bien que vous.

La taille de votre clientèle et celle de chaque client, les flux de travail spécifiques de votre entreprise, les forces et les faiblesses de votre équipe : tous ces facteurs rendent votre entreprise unique, tout comme votre situation financière. Au lieu de dépenser sans compter pour acquérir tous les outils ou services disponibles, apprenez à connaître votre entreprise et ce dont elle a besoin. Le budget nécessaire pourrait être plus faible que vous ne le pensez.