Une stratégie sécurité ne sert à rien !

Une stratégie sécurité ne sert à rien ! Ce qui compte, c’est d’avoir une stratégie business sécurisée. C’est intéressant comme un seul mot peut faire toute la différence. Quand on y réfléchit, à quoi sert vraiment la cybersécurité ? Elle sert à protéger l’entreprise du risque digital et donc en assurer la résilience. Or, on sait pertinemment que dans toute organisation, il y a des éléments critiques et des éléments qui le sont moins. Donc à moins d’avoir des budgets et des ressources illimitées (ce qui est un doux rêve mais aussi un vrai gaspillage), c’est par niveau de risques qu’il faut travailler. Et ce niveau de risque est à mettre en perspective de ce qui génère de la valeur pour l’entreprise, là où elle fait son argent. C’est pour cela que le métier de RSSI est un grand écart entre besoin d’être affuté technologiquement, et pertinent sur le business model détaillé de l’entreprise à protéger.

Quand un RSSI présente à son ComEx des indicateurs de vulnérabilités, des taux de patching, un nombre d’incidents… ça n’a aucune valeur car ça ne leur parle pas. Ce qui le rend crédible et utile c’est de prendre chacun de ces éléments, de les traduire en cas métiers et de prendre les décisions nécessaires. Prenons par exemple le patching. Vous croyez sérieusement qu’un ComEx s’y intéresse ? Non. Mais en revanche, étant donné que c’est un sujet sur lequel les entreprises auront toujours du retard et qui est exploité par les hackers pour mener des cyber-attaques pouvant générer des dommages importants (perte de chiffre d’affaires, dégradation de l’image, perte de confiance des clients, dommages corporels sur les employés, gros titre dans la Presse…), alors pourquoi ne pas avoir une stratégie accélérée de bascule vers le Cloud ? Si ce n’est pas le métier de l’entreprise de patcher, un fournisseur de Cloud sait le faire de manière industrielle. La confiance n’exclut pas le contrôle, certes, mais sur le problème d’attaques à cause de patchs non passés, le Cloud est une solution logique.

Prenons un autre exemple qui est la digitalisation des processus de Supply Chain. C’est très intéressant pour la gestion du cash, l’agilité des processus Demand & Supply, la planification, et pour la relation clients. Car quand vos clients ne peuvent plus se rendre en magasin parce que vous avez été obligés de les fermer, comment faites-vous pour gagner votre argent ? On entend souvent que les entreprises ne font pas faillite parce qu’elles ont des pertes mais parce qu’elles ont un problème de cash. Eh bien, avec vos magasins fermés, vous voulez continuer de vendre car au bout de la souris il y a des clients qui ont envie d’acheter (et d’être livrés), donc vous digitalisez et augmentez l’expérience clients en ligne. Et quand les magasins auront rouvert, vous pourrez pleinement profiter de cette omnicanalité pour servir au mieux les clients. Là encore on voit un problème, une solution.

Ceci dit, toute cette digitalisation est très utile mais elle augmente également la surface d’attaque exploitable par les hackers. C’est donc un élément important à sécuriser, mais pas dans l’absolu, dans le contexte de cette entreprise qui en a besoin pour générer de la valeur. Donc avoir une stratégie sécurité ne sert à rien, c’est une stratégie business sécurisée qui est utile et qui place le RSSI dans une position de partenaire business sans qui la moindre innovation digitale peut se révéler être un désastre pour l’entreprise qui pensait parfois naïvement qu’elle allait résoudre ses problèmes.