Financer une cyberrésilience plus forte
- La direction
- il y a 21 heures
- 6 min de lecture
Gordon Cowan explique comment entrer avec confiance dans une salle du conseil d’administration et demander plus de budget.
Cet article présente des preuves de rendement du capital investi difficiles à ignorer pour aider à augmenter le financement en cyberrésilience. Vous découvrirez six façons de justifier un investissement compétitif dans la confiance des clients et la protection des revenus – en obtenant la réputation la plus attrayante en matière de résilience.
Les consommateurs manifestent leur mécontentement à l’égard des entreprises qui ont subi une violation de leurs données. Beaucoup prennent des recours judiciaires et se tournent vers la concurrence.
Pourtant, selon un rapport récent d’Accenture(1), 74 % des PDG sont toujours préoccupés par la capacité de leur organisation à prévenir ou à minimiser les dommages d’une cyberattaque.
Bien que les outils de cybersécurité puissent atténuer 99 % des attaques, ils sont inefficaces pour limiter les dommages après une attaque – ou pour garantir la continuité opérationnelle.
Il est temps d’apporter quelques faits concrets au conseil d’administration.
Le coût moyen d’une violation de données a atteint un niveau record en 2023, soit 4,45 millions de dollars US.
Le temps moyen pour identifier et contenir une violation reste de 277 jours(2).
Les pertes d’exp loitation liées à une violation de données s’élèvent à 1,3 million de dollars US(3). Ces coûts incluent : l’interruption des activités et les pertes de revenus dues à l’arrêt du système, à la perte de clients et aux ressources nécessaires pour en acquérir de nouveaux pendant une période où la réputation de l’entreprise est ternie. La taille n’est plus une excuse. Les PME et les grandes entreprises utilisent de plus en plus des services et des infrastructures de sécurité similaires.
Les PME et les grandes entreprises utilisent de plus en plus des services et des infrastructures de sécurité similaires. Quelle que soit la taille de l’organisation(4), il y a maintenant une convergence des profils d’attaque.
La cyberrésilience apporte une résilience financière.
De nouveaux outils arrivant sur le marché de la sécurité peuvent aider à surmonter certains des principaux problèmes énoncés ci-dessus, mais ils ne sont pas gratuits.
Le coût moyen d’une
violation de données
a atteint un niveau record en 2023,
soit 4,45 millions de dollars US.
Allianz, baromètre des risques 2023
Pour rester opérationnel et compétitif en tout temps, voici six façons de prouver la valeur de la cyberrésilience à vos responsables budgétaires :
1. Expliquez comment la cyberrésilience permet de maintenir des prix avantageux pour les clients.
Les outils de cyberrésilience n’ont pas besoin de prévenir une attaque pour prouver leur valeur. Ils commencent à bénéficier de la sécurité opérationnelle dès qu’ils sont déployés.
Le temps moyen pour
identifier et contenir une violation
.reste de 277 jours
Pourtant, environ la moitié (51 % selon l'enquête d'IBM*) des organisations envisagent d’augmenter leurs dépenses de sécurité uniquement après une violation.
Les coûts de sécurité supplémentaire peuvent se répercuter sur les clients par une augmentation des prix des biens et services.
À ce moment-là , la confiance des clients peut être ébranlée, et ils peuvent déjà avoir rejoint un concurrent qui promeut de meilleures pratiques en matière de sécurité.
Les entreprises qui adoptent une cyberrésilience plus proactive peuvent constater des conséquences financières nettement plus faibles en cas de violation.
Promouvoir la présence de facteurs de sécurité plus élevés sur les marchés cibles peut également aider à augmenter sa compétitivité et la croissance de ses revenus.
2. Calculez les conséquences financières de la perte d’un tiers de vos clients en raison d’une atteinte à la confiance.
Dès que vous avez ce chiffre, ajoutez les coûts probables nécessaires pour attirer de nouveaux clients.
Un tiers des répondants d’ISACA ont déclaré qu’ils cesseraient de faire affaire avec une entreprise connue qui aurait subi une violation(5).
Le rapport de DigiCert de novembre 2022 sur l’état de la confiance numérique a révélé que 47 % des consommateurs interrogés ont cessé de faire affaire avec une entreprise qui a perdu leur confiance dans le passé(6). Il est intéressant de noter que les consommateurs nord-américains étaient plus préoccupés par les cybermenaces visant leurs comptes bancaires, l’accès à leurs cartes de crédit et le vol d’argent. Deux tiers des organisations ont changé de fournisseurs après une perte de confiance.
Donc, lorsqu’elles se disputent la confiance et la fidélité des clients, les entreprises qui peuvent déjà démontrer qu’elles disposent de mesures strictes en matière de sécurité des données auront un avantage considérable.
Voici une autre raison d’agir sur la cyberrésilience plus tôt que tard : 69 % des consommateurs interrogés par l’ISACA pensent que les entreprises devraient être évaluées de manière indépendante sur les pratiques de sécurité des données et que ces scores devraient être communiqués au public.
3. Déterminez les coûts de récupération en termes de volume, de temps et d’argent.
Examinez votre plan de sauvegarde et de récupération existant.
Sachez combien de temps il peut falloir pour restaurer seulement 1 To de données critiques. Calculez combien de temps il faudrait pour restaurer complètement les opérations.
Changer la manière dont vous sauvegardez les données et l’endroit où vous les sauvegarder peut vous faire économiser des dizaines de milliers de dollars, ainsi que des jours ou des semaines de productivité, lorsque la récupération devient nécessaire.
Cela peut également permettre de protéger toutes vos données.
Avec les méthodes de sauvegarde traditionnelles, un ou deux tiers des données sensibles/matérielles peuvent être compromis avant même que vous ne commenciez à rétablir la continuité de vos opérations.
4. Identifiez et éliminez les risques liés aux données inconnues.
Il est probable que les responsables des systèmes informatiques croient savoir exactement où se trouvent les données quotidiennes et comment elles sont utilisées. Mais ce n’est pas tout à fait vrai.
Les bons outils permettent de découvrir une quantité surprenante de données oubliées, qui représentent des millions de dollars de risques cachés. S’occuper de ce genre de risque apporte un RCI (retour du capital investi) substantiel presque instantanément.
Je connais une banque qui a remédié à des risques liés aux données d’une valeur de 16,1 millions de dollars US en procédant à un cryptage automatique et transparent grâce aux outils de cyberrésilience. Elle surveille maintenant 17,7 millions de dollars US de risques liés aux données pour différents types de données (au repos et en mouvement).
Il y a aussi une organisation de télésanté et de soins primaires qui a remédié à des risques liés aux données d’une valeur de 13,1 millions de dollars US, encore une fois en utilisant des outils de cyberrésilience.
5. Présentez le coût de la paralysie opérationnelle à votre conseil d’administration.
Développer une boîte à outils de résilience du dernier kilomètre peut réduire considérablement les coûts d’une attaque. Elle aide à éliminer les éléments suivants :
Tous les risques liés aux données cachées qui peuvent être trouvées et volées.
Les demandes de rançon probables/estimées typiques de votre industrie. Il ne s’agit pas de refuser de payer la rançon, mais plutôt de refuser d’être pris en otage.
Les coûts imprévus de restauration des données.
Les coûts de réponse aux incidents : frais juridiques, heures supplémentaires du personnel (et recrutement éventuel).
Les augmentations futures de primes pour l’assurance cyber.
Les campagnes marketing pour gagner de nouveaux clients lorsque la confiance et la fidélité sont affectées.
Les campagnes de relations publiques pour limiter les dommages à la réputation.
La communication avec les employés ainsi que la formation et l’éducation supplémentaires en matière de sécurité.
6. Faites appel à des experts externes lors de la collecte de preuves pour votre dossier de demande de budget.
Il peut être difficile de trouver le temps de rechercher et de repérer toutes les informations dont vous aurez besoin pour faire une demande de budget convaincante.
Des spécialistes indépendants en cyberrésilience ont déjà testé les outils et savent ce que chacun d’eux fait – et ne fait pas.
Profitez de leur expertise lors de la collecte de preuves pour justifier l’augmentation du budget lié à la sécurité. Ils pourront vous fournir des statistiques et des exemples de tarification pour vous aider à plaider votre cause.
L'importance de la cyberrésilience pour les entreprises de toutes tailles est indéniable, comme le souligne cet article.
Les coûts élevés des violations de données et l'impact sur la confiance des clients justifient pleinement l'investissement dans des mesures de sécurité renforcées.
En fin de compte, une approche proactive en matière de cyberrésilience ne se traduit pas seulement par une meilleure sécurité, mais également par une valeur ajoutée significative pour l'entreprise, à la fois en termes de protection financière et de réputation sur le marché.
Article rédigé par Gordon Cowan
Gordon Cowan, PDG de Cybrilliance, aide les entreprises à élaborer leur stratégie de cyberrésilience, à faire progresser la gouvernance de la sécurité des données et à atténuer les défis non abordés par la cybersécurité. Cybrilliance trouve, teste et valide les solutions relatives au cycle de vie des données les plus résilientes en ce qui concerne la découverte, la protection et la récupération.
Pour en savoir plus : https://www.linkedin.com/in/gord-cowan/
(3) IBM. Figure 6. Lost business costs hit a five-year low. Cost of a Data Breach Report 2023.
(5) In October 2022, ISACA® released the findings of its international cthe onsumer cybersethe curity report which counted the opinions of 3,000 consumers in UK, Australia, US and India.
