Alors que les taux d’intérêt augmentent et que les bénéfices ralentissent au Canada et aux États-Unis, un certain nombre de chefs de la direction (PDG) demandent aux gestionnaires – y compris les dirigeants de la sécurité informatique – de réduire les dépenses. L’une des dernières en date est Patreon, une plate-forme pour les créateurs de contenu, qui a déclaré que cinq des 80 personnes licenciées ce mois-ci faisaient partie de son équipe de sécurité des applications.
La société maintient que la sécurité des applications ne sera pas compromise. Mais des exemples comme celui-ci soulèvent la question de savoir ce que les responsables de la sécurité de l’information (CISO) doivent faire lorsqu’on leur dit que leur budget doit être réduit.
Ils peuvent consolider le nombre d’outils avec lesquels ils traitent et rationaliser certains processus, explique Tony Buffomante, responsable mondial des services de cybersécurité et de gestion des risques chez Wipro, basé dans l’Illinois.
« Il n’est pas rare d’avoir jusqu’à 60, 70, 80 outils. Des choses comme des outils d’évaluation des vulnérabilités, des outils de conformité ou des outils de gestion des identités et des accès.
Passer du meilleur de sa catégorie à une suite qui offre un certain nombre d’outils peut non seulement économiser de l’argent, mais peut également aider à la création de rapports, car les données des journaux sont consolidées.
Mais, a-t-il ajouté, les départements de sécurité informatique qui ne maîtrisent pas bien tous leurs outils et où résident leurs données “ont vraiment du mal en ce moment à prouver leur valeur”.
Pour être préparés aux hauts et aux bas des cycles économiques, les dirigeants de la sécurité informatique ont besoin d’un modèle opérationnel agile, a déclaré Buffomante.
« Il existe certains processus que les organisations doivent exécuter pour maintenir la conformité ou atténuer les risques. Nous constatons que les organisations qui ont un modèle opérationnel agile sont capables de faire pivoter ces ressources. Ils ont automatisé un certain nombre de processus, ont mis en œuvre des éléments tels que des technologies de conformité aux risques de gouvernance qui peuvent automatiser les évaluations de leur environnement et des tiers, et éliminer l’élément humain de 60 % de l’équation. Ils réorientent également certaines de leurs dépenses pour s’assurer qu’elles sont alignées sur les priorités commerciales les plus stratégiques – la mise en œuvre du cloud, par exemple – et réduisent certaines des activités à faible risque.
«Mais cela implique que l’organisation maîtrise vraiment quels sont les actifs les plus critiques, les joyaux de la couronne, les zones les plus à risque. Les organisations qui ont fait un bon travail d’identification et qui ont un modèle agile ont été en mesure d’augmenter et de réduire les dépenses », si nécessaire.
Wipro est une société internationale de conseil et de services informatiques qui interroge ses clients deux fois par an sur leurs besoins. “Un sujet qui continue d’être abordé par nos clients sous les vents contraires actuels… est de savoir comment devraient-ils penser à leurs cyber-investissements ?
“Nos RSSI et autres praticiens de la sécurité ont vraiment du mal.”
“Nous commençons à constater un léger ralentissement des programmes de cyber-transformation”, a-t-il ajouté. “Cela m’inquiète car le rythme des affaires continue de changer [and] le rythme d’adoption de la technologie se poursuit. Ce que nous voulons nous assurer, c’est que la maturation des cyberprogrammes continue de suivre le rythme des mises à jour commerciales et technologiques. Sinon, nous commençons à nous ouvrir à des risques indus.
« Nous ne préconisons certainement pas d’augmenter les budgets en cette période économique. Nous prônons une approche équilibrée où [the organization] peut voir changer certaines priorités de l’organisation de la sécurité pour mieux s’aligner sur la stratégie de l’entreprise. Cela permettrait “une meilleure articulation du retour sur investissement du point de vue de la réduction des risques, et une capacité à renforcer la confiance des clients et à pénétrer potentiellement de nouveaux marchés”.
Forrester Research a récemment fait valoir que la réponse des leaders de la sécurité à une récession dépendra du type d’organisation pour laquelle ils travaillent : croissance élevée, croissance modérée, croissance nulle ou croissance négative (c’est-à-dire que les revenus de l’entreprise sont en baisse).
Les responsables de la sécurité dans les entreprises à forte croissance devraient aligner leurs programmes sur l’obsession du client, tandis que ceux qui rencontrent des turbulences devront mettre l’accent sur la valeur, suggère Forrester.
Quel que soit l’état de l’entreprise, ajoute-t-il, les exigences et les politiques de sécurité devront être liées aux exigences des clients et à la réglementation. Il y aura des opportunités de consolider les applications de sécurité, y compris l’externalisation de certaines fonctions.
Cependant, certains membres du personnel de la sécurité informatique devront peut-être être supprimés. Dans ce cas, dit Buffomante, les responsables de l’infosec doivent voir quels services s’alignent sur l’entreprise et ajoutent de la valeur et ne peuvent pas être éliminés. Il devrait y avoir une recommandation au conseil d’administration afin qu’il accepte que tout changement puisse se faire au prix d’un niveau de risque plus élevé.
Une partie de cela peut être atténuée en se tournant vers des fournisseurs de services gérés à moindre coût et en automatisant certaines tâches.
La façon dont les licenciements sont gérés peut provoquer « angoisse et mécontentement » parmi le personnel, a-t-il ajouté, augmentant la menace interne. Cela signifie que le personnel informatique doit renforcer la surveillance de ce type de menace, en particulier parmi le personnel qui a un accès élevé aux systèmes.
