« Avoir le gout du risque », c’est avoir une prédisposition à s’engager volontairement dans des actions qui comportent un certain degré d’incertitude ou de danger, avec la possibilité de gains ou de pertes élevée. En Cybersécurité, la définition que je vais vous proposer est tout autre.
Chaque semaine, la rédaction de ChannelBiz donne la parole à un(e) spécialiste de l’IT et Tech, qui apporte un éclairage plus personnel sur l’actualité et les tendances du Channel. Aujourd’hui, c’est Chloé Viletier, ancienne Chief Of Staff de la présidente de Microsoft France, et actuellement consultante en cybersécurité, qui se prète à l’exercice.
La vente de solutions IT de cybersécurité est votre métier? Avec l’EDR multi-plateforme, l’anti-virus avec le meilleur taux de détection, le SIEM le plus efficace dans la corrélation des événements, vous ne manquez pas d’arguments pour proposer à vos clients des solutions technologiques qui présentent les meilleures fonctionnalités techniques, les meilleures capacités de déploiement, d’intégration et d’administration, pour répondre aux mieux à leurs enjeux de sécurité informatique.
Bien que la situation évolue plutôt positivement face à la recrudescence et à la médiatisation des cyberattaques, vous êtes néanmoins souvent confrontés à une objection majeure de la part de vos clients : l’argent. Ce n’est pas une vue de votre esprit, les dernières statistiques Gartner* viennent le confirmer : au niveau mondial, la part du budget Cyber dans le budget IT des organisations connait une relative stagnation depuis les 5 dernières années : de 5% en 2019 à 5,5% en 2023.
Or, on estime généralement que pour être bien armé pour se protéger contre les différentes attaques, il faut en moyenne consacrer 10 à 15% de son budget informatique global à sa cybersécurité. En parallèle, et sans surprise, le coût des cyberattaques en France a été multiplié par 5 entre 2019 et 2023 pour atteindre près de 100 milliards de dollars selon Statista**.
Le paradoxe de la cybersécurité et l’appétence au risque des dirigeants d’entreprise
Les cyberattaques n’ont jamais été plus nombreuses, plus efficaces et plus coûteuses. Pourtant, tout porte à croire que nous faisons face à un relatif sous-investissement des entreprises pour se protéger. La raison principale que je vous propose de développer ici est l’appétence au risque des dirigeants d’entreprise. Il y a tout d’abord un sujet de bonne compréhension du risque Cyber. La cybersécurité peut être encore perçue comme une problématique purement technique, un risque technologique, et non comme une menace stratégique, un risque business pour l’entreprise, qui, au-delà de l’impact financier, peut engager ses capacités opérationnelles, sa réputation, la confiance de ses clients, ou même sa responsabilité pénale.
Vient ensuite un sujet de sous-estimation du risque Cyber. Les solutions technologiques de protection cyber ne vont pas faire disparaitre comme par enchantement les menaces et les vulnérabilités des entreprises. Le risque zéro n’existe pas. Il existe aussi souvent une croyance erronée selon laquelle l’entreprise ne serait pas une cible, soit en raison de sa petite taille, soit parce qu’elle ne pense pas traiter de données sensibles. A cela s’ajoute souvent une sous-estimation de la probabilité de la cyberattaque (qui ne peut arriver qu’aux autres).
Enfin, l’appropriation du risque Cyber se révèle clé. Les entreprises peuvent rencontrer des difficultés à évaluer le risque Cyber (qui implique à la fois d’appréhender la probabilité d’occurrence d’une attaque et son impact potentiel,) et donc à pouvoir prendre ensuite des décisions éclairées et accepter les conséquences et la responsabilité de ces décisions, tout comme les risques résiduels.
Implanter une culture du risque au sein des équipes dirigeantes
La solution : aider vos clients à développer une véritable culture du risque au sein des équipes dirigeantes et plus largement au sein de l’organisation. Pour cela, en tant que professionnel de l’IT et de la Cybersécurité, vous avez un rôle à jouer, en amont et en complément de la vente de solutions de protection : celui de proposer à vos clients de procéder à une véritable analyse des risques au sein de leur organisation.
EBIOS Risk Manager est LA méthode d’appréciation et de traitement du risque numérique publiée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), qui fait référence pour toutes les organisations en France. Elle permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser, dans une démarche d’amélioration continue. Par une meilleure compréhension de la combinaison des actifs critiques, des menaces, et des vulnérabilités de l’entreprise, les dirigeants peuvent alors prendre la mesure des investissements nécessaires pour arriver à un niveau de risque acceptable.
Vous l’aurez compris, en Cybersécurité, « avoir le gout du risque », c’est donc connaitre le risque, l’accepter et le gérer, pour un impact minimal en cas de cyberattaque. Ne serait-ce pas là une façon vertueuse pour vous d’obtenir de nouveaux budgets pour l’acquisitions de solutions de protection complémentaires, mais aussi d’être plus que jamais perçu comme un partenaire d’expertise et de confiance par vos clients ?
*Source : Gartner, IT Key Metrics Data 2024 : IT Security Measures – Analysis
**Source : Statista Technology Market Insight
Un avos d’expert à retrouver dans le dernier numéro de « ChannelBiz : Le Mag » : Le magazine des revendeurs, MSP et intégrateurs en France. 60 pages pour tout comprendre des enjeux de la distribution IT & Tech et des tendances du marché Cyber, Infra, Telecom et AV. Et Pour ne rien rater de l’actualité du Channel au quotidien, rejoignez notre page Linkedin ChannelBiz.fr.
