Alors que le nombre de cyberattaques ne cesse de croître, la nécessité de se munir d’une réelle stratégie visant à définir des objectifs de performance sécurité devient urgente pour les entreprises. Si la complexité de sa mise en place peut susciter quelques doutes au sein des directions, il convient pour les sociétés d’aller au-delà de cet a priori pour comprendre la pertinence d’une telle stratégie à long terme. Une notion peu répandue et pourtant (bientôt) incontournable.
Souvent évoquée à la suite d’une attaque ou d’un incident, la performance sécurité est encore à ce jour peu connue des entreprises. Elle l’est davantage au sein des grandes organisations qui, du fait de leur statut et de leur influence, font le choix de se doter de stratégies de sécurité avancées. Un état de fait qui ne pourra durer en raison de l’augmentation croissante du nombre d’attaques et du durcissement de la législation et de la réglementation en faveur d’une plus grande sécurité au sein des entreprises. Si les pays anglo-saxons ont déjà entamé ce travail – depuis 2002 aux États-Unis avec la loi SOX – d’autres nations comme la France présentent toujours un temps d’adaptation souvent culturel.
Pour l’heure, la notion de sécurité induit souvent une contradiction avec les objectifs stratégiques d’une société. Or, la performance sécurité vient mesurer le niveau de sécurité d’une entreprise selon trois axes principaux qui sont la performance du service, la performance financière associée au concept de ROI ainsi que celle qui se rapporte aux objectifs et enjeux de la société. En d’autres termes, une stratégie de performance sécurité vient s’adapter, grâce à de nombreux indicateurs, à la structure de l’entreprise ainsi qu’à sa culture pour maximiser son niveau de sécurité globale tout en fluidifiant ses activités. Sa complexité nécessite qu’elle soit décidée et validée par la direction générale, et appliquée par les services SSI en lien avec les RSSI. Plus les indicateurs sont adaptés à l’entreprise et à son secteur, plus celle-ci sera efficiente.
Sortir de la logique du court terme pour obtenir de vrais résultats
Dans leur stratégie de sécurité et notamment face aux cyberattaques, une majorité d’entreprises adoptent encore une posture réactionnelle. Elles réagissent plus qu’elles n’anticipent, ce qui les rend vulnérables en cas de futures attaques. Une telle configuration implique généralement la mise en place d’indicateurs très mobiles et difficilement pondérables dans le cadre d’une stratégie de performance sécurité efficace. Sans jeter la pierre aux organisations qui ne sont pas encore dans une approche à long terme, il va devenir inévitable de penser autrement la sécurité pour éviter de subir les coûts colossaux qu’entraînent les attaques et les incidents sur l’activité des entreprises. Ainsi, une approche pondérée par les coûts et les retours sur investissement liés aux fonctions SSI, favorisera la relation entre la direction et ses objectifs d’une part et la gestion des apports et contraintes des fonctions SSI d‘autre part.
Bien entendu, le risque zéro n’existe pas mais les entreprises auraient tout intérêt à allouer un budget à l’élaboration d’une stratégie de performance sécurité solide et durable. Dans un cadre comme celui-ci, les indicateurs auront tendance à se stabiliser pour montrer de vraies tendances, utiles à l’analyse et à l’ajustement de la stratégie sécurité. Il ne s’agit pas d’ériger cette approche comme une solution miracle mais plutôt de montrer qu’il faut tendre vers cette dynamique même si la logique du court terme présente certains avantages. En témoigne la situation que vivent les hôpitaux français, victimes de cyberattaques à répétition, dont la priorité est de mettre en place une stratégie de protection des données durable mais qui ne peut se faire sans l’apport de moyens assurant une sécurisation immédiate d’un maximum de données.
La sensibilisation et l’acceptation, clés de voûte de la performance sécurité
La mise en place d’une telle stratégie vient souvent s’opposer aux doutes de la direction générale quant à l’efficacité d’un projet qui n’est pas nécessairement en mesure d’offrir des résultats rapidement. Face à ces réticences, il est préférable de chercher à convaincre la direction en trouvant des indicateurs personnalisés et adaptés à la structure de l’entreprise. Cette phase de conduite du changement implique un réel effort en amont pour comprendre la culture de l’entreprise afin de proposer une stratégie adéquate. Une approche pédagogique essentielle pour lever les doutes et pour avancer dans le bon sens.
Ces travaux d’acceptation et de mesure de la performance sécurité doivent être effectués de concert avec un travail de sensibilisation de la direction mais aussi des différents acteurs de l’organisation, afin de permettre une mise en place avec les sponsors suffisants et une forte adhésion aux changements inévitables dans ce cadre. Comment faire accepter une stratégie de performance sécurité si personne n’en comprend l’intérêt ? Il ne s’agit pas tant de trouver les bons indicateurs que les bons mots pour convaincre du bien-fondé d’une stratégie de sécurité ainsi que de sa faisabilité métier, financière et technique. Un bon travail de formulation permet donc l’adhésion de tous à un projet qui bénéficie autant à la sécurité qu’aux enjeux métiers.