Parler la même langue que les dirigeants est indispensable pour obtenir le budget et le soutien nécessaires aux investissements de sécurité.
Si vous êtes un professionnel de la sécurité, vous êtes plus susceptible de vous préoccuper de l’aspect opérationnel de la sécurité. Les dirigeants, en revanche, sont plus susceptibles de considérer la sécurité comme n’importe quel autre poste d’investissement. Ils veulent s’assurer que les bénéfices d’un investissement l’emportent sur les risques encourus s’ils n’investissent pas, ils évaluent les effets à long terme sur les performances de l’entreprise et prennent une décision fondée sur les données et les éléments tangibles dont ils disposent, avant toute chose.
Si votre entreprise a subi une cyberattaque importante, vos dirigeants sont susceptibles de connaître les pertes financières que peut causer un tel événement. Toutefois, si vous faites partie des chanceux qui n’ont pas eu à faire face à la méfiance du public à la suite d’une attaque, vous devrez démontrer à vos dirigeants pourquoi il est essentiel de privilégier la sécurité avant que le pire n’arrive.
Voici quelques conseils que nous avons recueillis auprès de responsables de la sécurité des systèmes d’informations pour présenter des données probantes afin d’obtenir le budget nécessaire à la sécurité :
Appuyez-vous sur la nécessité de vous conformer au RGPD/ GDPR
Le règlement général sur la protection des données (RGPD/ GDPR) est un sujet d’actualité, qui est susceptible de susciter l’attention des dirigeants. Utilisez ce sujet à votre avantage. Étant donné qu’ils sont probablement déjà au courant des éventuelles amendes, il ne vous reste plus qu’à exposer l’intérêt que présente le GDPR pour votre entreprise et vos données. Le GDPR pouvant être source de confusion, vous devez faire en sorte qu’ils comprennent ce que cela implique pour l’entreprise et quels investissements sont nécessaires pour améliorer la sécurité et la confidentialité des données.
Présentez les facteurs de risque propres à votre entreprise
Expliquez aux dirigeants que les attaques peuvent toucher votre entreprise en particulier. Ne passez pas trop de temps à présenter des statistiques et des tendances génériques. Essayez plutôt de montrer le lien qui existe entre les tendances en matière de sécurité et les challenges qui sont propres à votre entreprise et à votre secteur d’activité. Plus vous fournirez d’informations tangibles, plus il vous sera facile de convaincre vos interlocuteurs.
Par exemple, vous pouvez évoquer la plus grande source de revenus de l’entreprise et expliquer avec des exemples à l’appui comment un ransomware peut la mettre en péril. Si votre entreprise conserve des données sensibles telles que des dossiers financiers, vous pouvez donner des exemples de poursuites judiciaires et d’amendes auxquelles l’entreprise peut s’exposer si ces données sont rendues publiques.
Expliquez comment fonctionne une attaque et combien il est facile de compromettre la sécurité d’une entreprise. Donnez des exemples réels des problèmes auxquels vous êtes déjà confronté en exposant les risques et les effets à long terme qu’ils peuvent avoir.
Proposez des arguments quantifiés
Les dirigeants aiment les chiffres et les mesures. Par conséquent, il est essentiel que vous teniez compte des objectifs et des impératifs de votre entreprise lorsque vous présentez vos besoins en matière de sécurité. Démontrez comment des investissements dans la sécurité peuvent contribuer à atteindre les objectifs fixés sur le plan informatique et commercial.
Parlez aussi des risques. Expliquez comment un incident lié à la sécurité peut nuire aux plans envisagés. Par exemple, si vous êtes sur le point de lancer un nouveau produit, exposez les risques pour l’entreprise si la propriété intellectuelle inhérente à ce produit est rendue publique ou détruite.
En fait, si vous pouvez quantifier le coût des problèmes de sécurité existants pour l’entreprise, cet argument aura bien plus de poids que la simple évocation de risques hypothétiques.
Répétez-vous, répétez-vous et répétez-vous encore
Il est peu probable qu’une seule discussion suffise pour que vous obteniez tout ce dont vous avez besoin. Faites en sorte de communiquer de façon simple et fréquente. Fournissez régulièrement des informations et des chiffres pertinents. N’hésitez pas à vous répéter et essayez d’aborder la question sous différents angles jusqu’à ce que le message soit entendu et que vous obteniez les financements dont vous avez besoin.