Cybersécurité : convaincre la direction, sans jargon technique

Pour les CISO, l’approche des fêtes de fin d’année coïncide souvent avec la préparation des budgets d’investissement (CAPEX) de l’année suivante.

Un exercice de négociation pas toujours évident, surtout lorsque vous cherchez à convaincre votre direction d’augmenter les dépenses allouées à la cybersécurité.

Si, sur le papier, la plupart des organisations reconnaissent aujourd’hui la nécessité d’investir dans des solutions de sécurité informatique, les avis divergent quant au juste financement à allouer à ce poste de dépense.

Un montant aléatoire, fixé à 10 % du budget alloué aux investissements informatiques, a parfois servi de base pour ce calcul. Mais ce pourcentage arbitraire varie, bien sûr, d’une organisation à l’autre.

Les CISO font alors face à une difficulté : comment convaincre une audience de dirigeants, éloignée des réalités du terrain et sans connaissances techniques, de l’intérêt d’augmenter leurs dépenses en matière de cybersécurité ?

Chez Rsecure, nous privilégions une approche pragmatique lors de cet échange, en corrélant les risques de sécurité informatique avec les intérêts des dirigeants.

Explications.

Abordez les investissements par le prisme du risque.

À travers ces objections, les COMEX jouent leur rôle. Celui de gestionnaires qui cherchent à répartir au mieux les ressources limitées dont ils disposent pour l’ensemble des besoins d’investissements de l’entreprise.

Ces obstacles auxquels se heurtent les CISO ralentissent le déploiement des projets en matière de cybersécurité, pourtant essentiels à la protection des données et, in fine, à la pérennité de l’organisation.

Si les démonstrations techniques les plus irréprochables ne suffisent pas à convaincre votre direction de débloquer des budgets, il peut être intéressant d’adopter une autre approche.

Pour convaincre un dirigeant, nous recommandons de recentrer vos messages et de donner du contexte : que se passerait-il si les chaînes de production étaient à l’arrêt pendant une semaine, suite à une attaque par ransomware ? Combien coûte une équipe à l’arrêt pendant une seule demi-journée ? À combien vos dirigeants estiment-ils l’impact de ces perturbations sur le commerce, la relation client et la réputation de l’entreprise ?

L’enjeu n’est pas de défendre des solutions de cybersécurité, mais d’amener votre direction à se projeter sur les conséquences concrètes d’un incident, afin de comparer le coût d’un investissement préventif à celui d’une crise à gérer.

Quels sont les arguments à utiliser pour convaincre votre direction d’investir dans des solutions de cybersécurité ?

Pour aborder la thématique de la cybersécurité, nous vous recommandons de la rendre intelligible par tous. Pour cela, il vous faut être didactique et supprimer les discours techniques, au profit de concepts généraux.

Ainsi les bénéfices apportés par un SOC, un EDR ou une solution de cybermonitoring ne se limitent pas à une réduction du bruit, une meilleure protection des données de l’entreprise ou une réduction de la surface d’attaque exposée aux cybercriminels.

Pour être compris, nous vous recommandons de traduire ces bénéfices techniques en impacts financiers, opérationnels et juridiques.

Il faut faire comprendre à vos dirigeants que la cybersécurité permet :

• de préserver les marges d’exploitation de l’entreprise,
• d’éviter les pertes de productivité,
• de réduire significativement les coûts de gestion liés aux incidents
• de prévenir les sanctions administratives, parfois élevées, en cas de manquement.

Pour illustrer concrètement cette approche, voici quelques idées afin d’échanger avec votre COMEX, sans jamais recourir au jargon technique.

Argument 1 : la cybersécurité n’est pas un sujet technique. C’est une question de business.

Rappelez que l’informatique n’est plus un sujet « pour les geeks », mais la colonne vertébrale de l’activité de l’entreprise.

Vos interlocuteurs ne le perçoivent pas ? Posez-leur une simple question : quels services ou fonctions importantes continueront à opérer normalement en cas de panne majeure, due à une cyberattaque ? La réponse : presque aucun.

De la facturation à la paie, des échanges commerciaux jusqu’aux chaînes de production modernes : l’ensemble des opérations dépend d’outils numériques qui doivent rester opérationnels.

Nous vous recommandons pour ce faire de dresser une cartographie des risques informatiques, et de mettre en exergue la dangerosité d’une cyberattaque en comparaison avec, par exemple, un aléa climatique.

Argument 2 : l’entreprise ne peut pas absorber le coût d’une cyberattaque.

Chiffrez précisément le coût d’un incident de cybersécurité. Cela se traduit, très concrètement, par des temps d’arrêt et des pertes de productivité, auxquels sont ajoutés une longue liste de frais associés :

• coût de la gestion de l’incident (communication, experts, matériel à remplacer),
• coût d’un constat d’audit ou d’une investigation post-mortem par des experts,
• coût des surprimes d’assurance cyber en cas de manquement au contrat,
• coût d’un procès ou de poursuites par les parties prenantes impactées (collaborateurs, clients, partenaires),
• coût des amendes administratives en cas de signalement et condamnation des autorités (notamment la CNPD au Luxembourg).

Des frais subis et non pas maîtrisés par l’entreprise, qui sera alors en situation de gestion de crise.
Présentés de manière simple et factuelle, ces calculs mettent en évidence l’impact direct d’un incident de cybersécurité sur les marges.

D’un côté, une interruption de services, même temporaire, entraîne une baisse des revenus, tandis que les charges fixes (salaires, loyers, abonnements) sont inchangées. De l’autre, les perturbations dues aux outils inaccessibles causent immanquablement des pertes de productivité, et parfois des dépenses supplémentaires pour rattraper les retards de production.

Des actions correctives, indispensables en période de crise, qui dégradent mécaniquement la rentabilité globale.

L’entreprise aura-t-elle la capacité d’absorber l’impact d’une cyberattaque ?

Argument 3 – C’est arrivé à nos concurrents, nos voisins, nos partenaires.

À ce stade, vos interlocuteurs devraient avoir compris l’importance d’investir en matière de cybersécurité. Toutefois, il reste une objection, persistante, à contourner : “Est-ce bien nécessaire, nous n’avons jamais été attaqués”.

Sans être alarmiste, répondez-y en contextualisant le risque. Restez factuel et donnez des exemples d’entreprises similaires à la vôtre : même secteur d’activité, même région, même typologie d’entreprise ou même outils utilisés.

La presse locale et nationale rapporte très régulièrement des faits de cybermalveillance qui pourront appuyer vos cas d’études.

Dans l’industrie, on se souvient du groupe Pierre Fabre, victime en 2021 d’un arrêt quasi complet de ses systèmes : plus de site web, de standard téléphonique, et une chaîne de production française totalement à l’arrêt pendant des semaines.

Des collectivités comme la Région Normandie en France, des opérateurs de services essentiels comme le CHU de Rouen, mais aussi des acteurs économiques importants comme POST et des services de l’État luxembourgeois sont régulièrement paralysés par des cyberattaques ciblées et des ransomwares.

Or, en cas de cyberattaque, les données et réseaux de communication de l’entreprise sont souvent coupés.

Les salariés doivent alors recourir aux prises de notes papier, acheter du matériel en urgence dans des enseignes destinées au grand public et utiliser des boîtes mail personnelles pour continuer à travailler.
L’impact sur la qualité de service, la continuité d’activité et l’image de l’entreprise peut être significatif.

Présenter ces scénarios concrets et proches de la réalité peut permettre de mieux se projeter et de prendre des décisions objectives concernant les dépenses de cybersécurité.

Argument 4 : Les obligations réglementaires et les sanctions administratives.

La Communauté européenne compte parmi les gouvernements qui encadrent le plus strictement la protection des données et l’application de la cybersécurité en entreprise. Les réglementations adoptées ces dernières années tendent à renforcer ces exigences, envers les acteurs de secteurs stratégiques et leurs fournisseurs (directive NIS 2), les acteurs de la finance (règlement DORA), ou encore les entreprises ayant adopté l’intelligence artificielle (AI ACT).

Les sanctions pour manquement au RGPD concernent toutes les entreprises, sans distinction de taille ni de secteur d’activité.

Contrairement aux croyances, la Commission Nationale pour la Protection des Données (CNPD) contrôle autant les PME que les grandes entreprises, comme l’atteste la liste des décisions publiée sur son site.

Rappelez que les amendes peuvent s’élever de 2 % à 4 % du chiffre d’affaires annuel mondial de l’entreprise, ou de 10 à 20 millions d’euros, selon le montant le plus élevé.

Ici encore, le calcul est simple : si l’amende potentielle pour non-conformité aux réglementations dépasse le coût des solutions proposées, la direction sera plus encline à vous accorder le budget nécessaire.

Comment présenter un budget d’investissement en cybersécurité, pour convaincre la direction ?

Plutôt qu’un investissement immédiat, proposez un plan progressif :

Votre direction voudra comprendre et pouvoir suivre les actions de cybersécurité menées.
Pour ce faire, proposez des indicateurs de performance et des tableaux de bord à destination des profils dirigeants et profils non techniques : temps de réponse en cas d’incident, nombre de cyberattaques déjouées, amélioration des scores des collaborateurs lors des campagnes de phishing et réduction des écarts entre vos pratiques et les exigences réglementaires.

Si besoin, faites-vous accompagner par des experts en gouvernance et audits. Les CISO à temps partagé de Rsecure maîtrisent les cadres réglementaires (RGPD, NIS 2, DORA, FIDA) et les normes reconnues en matière de cybersécurité (ISO 27001, ISO 27005). Ainsi au quotidien, nous vous accompagnons dans le déploiement, le pilotage et l’audit de vos projets de gouvernance et de conformité.

Bénéficiez de l’accompagnement de nos experts en sécurité informatique.

Rsecure vous accompagne dans la définition de vos besoins, notamment en matière d’investissement dans la cybersécurité.

Prenez contact dès aujourd’hui pour discuter de vos besoins avec nos équipes.