Tous les RSSI ont bien conscience que le paysage des cybermenaces s’étend et se complexifie chaque jour davantage, faisant de leur mission de sécuriser les systèmes informatiques de l'entreprise une tâche sans fin. Près de 90 % des entreprises ont déjà subi une violation de données au cours des trois dernières années, qu’il s’agisse de menace interne, de phishing ou d’attaque par compromission d’emails professionnels (BEC). Dans ce contexte, les membres du conseil d'administration n’ont plus d’autre choix que de considérer la cybersécurité comme partie intégrante de la gouvernance globale de l’entreprise.

Cependant, être conscient du problème et allouer les ressources adéquates pour y remédier sont deux choses différentes, surtout quand de nombreuses entreprises sont confrontées à des restrictions budgétaires, conséquence de la pandémie mondiale. La mission du RSSI devient plus difficile dès lors qu’il doit convaincre le conseil d'administration et plus particulièrement, le directeur financier, d'investir dans la cybersécurité.

Comprendre le directeur financier

Travaillant très étroitement avec le PDG, le directeur financier surveille les performances de l’entreprise, protège ses atouts et donne les bons indicateurs pour stimuler la rentabilité et augmenter les revenus. S’il consacre peu de temps aux problématiques de sécurité, il est conscient que le coût d'une cyberattaque peut être dévastateur.

Comme 85 % des cadres supérieurs, le directeur financier est donc de ceux qui savent que le risque de violation des données est une priorité essentielle. Les attaques de type BEC par exemple, sont aujourd’hui les attaques les plus coûteuses pour les entreprises, dépassant même le coût des attaques de ransomware. Le FBI a récemment estimé les pertes dues à ces attaques à plus de 26,5 milliards de dollars au cours des trois dernières années.

Y-a-t-il donc réellement besoin de convaincre le directeur financier d’investir dans la cybersécurité ? Oui, car le directeur financier ne dispose pas d’un budget illimité. Il doit faire des choix.

Communiquer avec le directeur financier

Le directeur financier entre dans un processus de réflexion relativement formel et rationnel dès lors qu’il doit se prononcer sur une nouvelle demande d'investissement. Pour investir dans des solutions de cybersécurité, il a donc besoin que le RSSI anticipe et l’éclaire sur des points concrets et essentiels :
• Quel est le risque et son impact financier potentiel ?
• Quel est le coût à moyen terme de la solution par rapport au coût d’une cyberattaque ?
• Quelle est la plus-value de cette solution ? Pour cette solution plutôt qu’une alternative ?
• Est-il possible de faire un benchmark de tous les fournisseurs ?

Avant même de vouloir solliciter le directeur financier pour évaluer de nouveaux investissements, il est conseillé au RSSI de penser en termes de rentabilité, et de tenter d’aligner objectifs de cybersécurité et objectifs économiques.

Voici quatre conseils qui pourront permettre d’avancer des arguments convaincants :

1. Mettre en évidence les insuffisances de contrôle

La première étape à intégrer pour justifier un investissement en cybersécurité, est de s'assurer que l'énoncé du problème est clairement défini. Il est nécessaire de décrire en des termes non techniques les insuffisances de contrôle en matière de sécurité : certains types d’emails malveillants peuvent-ils passer entre les mailles du filet ? Peut-on vraiment suivre les données critiques qui circulent entre les cloud de tiers ?

2. Mesurer les niveaux de risque et l’ampleur de l’impact

Une fois les insuffisances pointées du doigt, il est important de les traduire en impact financier potentiel, en prenant si possible appui sur les modèles de risque définis dans l’entreprise. Evaluer la probabilité des scenarii de risques est un indicateur précieux pour le directeur financier. Il est également judicieux de présenter l’impact d’une menace en pourcentage du chiffre d’affaires et l’impact sur la réputation, voire de lister les amendes réglementaires de non-conformité qui pourraient en résulter.

3. Décrire la solution pour mieux la vendre

Sans adopter un langage trop technique, il est important d’expliquer ce qu’une nouvelle solution peut apporter. Même si une solution sort du lot du point de vue technologique, mieux vaut intégrer des alternatives à la proposition afin d’accorder une marge de manœuvre au directeur financier. Au-delà, il est conseillé de valoriser les opportunités qu’offrent l'investissement, comme la possibilité de consolider et simplifier le parc technologique, d’obtenir de meilleures remises, ou encore de gagner en efficacité.

4. Valoriser les gains de l’investissement
L’analyse de rentabilité doit prendre en compte les questions relatives aux coûts spécifiques. Le directeur financier reconnaît qu'il est difficile d’avoir un "retour sur investissement" en matière de sécurité, mais ceci ne devrait pas être perçu comme un obstacle. Il convient toutefois de démontrer l'optimisation des ressources et d’expliquer à quel point la solution peut permettre de faire des économies budgétaires.

Gagner en proximité avec la direction

On a souvent tendance à relayer au second plan le rôle du RSSI en pensant qu’il n’a pas le même poids que le directeur financier ou que le PDG, mais il est temps de faire tomber ces idées reçues afin de pouvoir relever les défis de sécurité face auxquels l’économie numérique est confrontée.

Dans cette optique, le RSSI doit sortir de sa zone de confort afin d’établir de meilleures relations avec la direction générale, et faire du directeur financier son meilleur allié. Comprendre les préoccupations de chacun est le meilleur moyen de se faire entendre et faire évoluer les projets.