Cinq conseils pour gérer la sécurité durant une récession
Face au ralentissement économique actuel, de nombreuses entreprises réduisent leurs coûts. Les dépenses de sécurité font souvent partie des dépenses dans lesquelles on taille. Une étude publiée lundi 9 février par RSA, a interrogé dix responsables sécurité de grandes entreprises : Comment la sécurité peut-elle être gérée, et même être un moteur de l'innovation, malgré le ralentissement économique actuel ? Des RSSI de sociétés comme Cigna, eBay, Motorola et JP Morgan Chase ont donné leur point de vue sur la manière d'aborder les défis et les coûts et, dans certains cas, comment justifier les investissements en matière de sécurité lorsque les entreprises serrent la vis. Art Coviello, président de RSA, fournisseur de solutions de sécurité, donne un aperçu des cinq points-clés dans le cadre d'une étude réalisée par sa société. L'étude est intitulée « Driving Fast and Forward: Managing Information Security for Strategic Advantage in a Tough Economy ». (« Conduire vite pour aller de l'avant : gérer la sécurité de l'information pour un avantage stratégique dans une économie difficile »). 1. Définir les priorités selon le risque et le résultat attendu : Dans le climat économique actuel, certains risques peuvent ne pas valoir le coût de l'investissement, selon l'étude, qui conseille aux entreprises de savoir comment établir des priorités. Les décisions sur les dépenses doivent se prendre non seulement en fonction de là où se trouvent les plus grands risques, mais aussi de là où se trouvent les plus grandes opportunités. Photo : Coviello, président de RSA (D.R.) L'étude suggère aussi que des arbitrages difficiles seront inévitables à l'heure où les entreprises détermineront quels risques doivent être immédiatement traités et ceux qui ne valent pas le coût. Art Coviello donne l'exemple d'une grande banque qui a investi dans une solution de RSA pour réduire la fraude mais qui coûtait 2 millions de dollars par an pour la faire fonctionner avec tout ce qui va avec. « La question était : est-ce que le risque valait 2 millions de dollars, et la réponse était non", répond Art Coviello. L'étude suggère également de ne plus se concentrer sur le déploiement des plus récentes technologies de sécurité mais plutôt de passer à une approche convergente de la sécurité dans les domaines où se déroule l'activité de l'entreprise. « Vous aurez beaucoup plus de chances d'obtenir un financement pour vos efforts de gestion des risques si vous prouvez que vos contrôles de sécurité répondent à de multiples zones de risque à la fois», indique l'étude. «Par exemple, savoir qui a accès à quel s systèmes peut aider à prévenir la fraude. » 2. Avoir la bonne combinaison de personnes dans votre équipe : A mesure que les budgets se réduisent, les équipes aussi. Désormais, plus que jamais, recruter les meilleurs est essentiel. « Avoir les bonnes personnes au sein de l'équipe de sécurité est plus important que jamais, car vous devrez compter sur eux encore plus », souligne l'étude. « Les membres de l'équipe de sécurité doivent avoir un état d'esprit orienté vers le rapport entre risque et résultat, et maîtriser ... ... un ensemble exceptionnel de compétences. » Art Coviello suggère de mieux repositionner les personnes afin d'éviter les licenciements, et de développer une stratégie plus efficace. Par exemple, si l'on automatise la gestion des incidents et des événements de sécurité, les équipes en charge de ces tâches peuvent être réaffectées à d'autres responsabilités. 3. Construire des processus reproductibles : Standardiser les manières de réaliser les tâches peut être un long chemin vers l'efficacité. Différents services dans l'entreprise ont souvent des façons différentes de faire les mêmes choses. Est-ce que cela peut être changé afin de sécuriser de manière plus efficace ? L'étude pointe vers ce qu'elle appelle « les fruits les plus facilement atteignables », afin de gagner en efficacité, tels que la gestion des accès et des identités. Est-ce que les différents services de l'entreprise ont, par exemple, réellement besoin de leur propre dispositif de demande d'identifiant, ou de leur propre système de gestion des droits ? Un point essentiel est de ne pas réinventer la roue. Il existe des opportunités incroyables en élargissant les actifs de différents services afin de réduire le coût de la protection de l'entreprise. Les solutions peuvent venir du département informatique, de l'audit, de la finance. Il faut consacrer du temps à chercher ce qui a déjà été fait, plutôt que de simplement le refaire à nouveau. Puis, il faut faire confiance et utiliser les informations des partenaires internes à l'entreprise. 4. Créer une stratégie de coûts partagés optimale : « Chacun cherche à mutualiser les coûts ces derniers temps, mais pour beaucoup c'est sans succès», déclare Art Coviello. « Mais l'idée ici est que la sécurité doit être considérée comme partie intégrante de tous les budgets et non que l'équipe sécurité doive en permanence financer toutes ces initiatives. C'est fondamental. » Selon l'étude, il existe trois catégories d'activités en matière de sécurité, et chacune est généralement financée différemment. Il s'agit de : - Stratégie de sécurité et gestion de la connaissance, - Opérations critiques quotidiennes, - Enclenchement de projets. Le partage des coûts peut être difficile, mais il est essentiel. « L'environnement des affaires est très dynamique, comment répartir les ressources là où elles sont nécessaires? » interroge Bill Boni, Vice President en charge de la sécurité de l'information et de la protection chez Motorola. « Comment l'équipe de sécurité va-t-elle déterminer les ressources dont elle va avoir besoin afin de gérer les besoins dans l'entreprise ? Au lieu de bâtir une cathédrale de la sécurité, faites en sorte que les services accroissent leurs propres actifs. Et l'équipe de la sécurité délivre les standards et a un programme de gouvernance. » 5. Automatiser et externaliser de façon pertinente : « L'important est le rapport coût-efficacité», affirme Art Coviello, qui conseille aux entreprises d'envisager toutes les implications de l'externalisation, avant de prendre une décision. «Envisager l'externalisation devrait être une combinaison de plusieurs facteurs. Si vous ne vous focalisez que sur le prix, vous faites un erreur. » Alors que la sous-traitance peut améliorer l'efficacité et réduire les coûts, les entreprises devraient aussi considérer que l'externalisation induit des risques sur la sécurité dans certains cas, tels que une possibilité de perdre des données lorsque l'on fait confiance à une autre organisation pour des informations sensibles.
