Alors que les taux d’intérêt augmentent et que les bénéfices ralentissent au Canada et aux États-Unis, un certain nombre de chefs de la direction (PDG) demandent aux gestionnaires – y compris les dirigeants de la sécurité informatique – de réduire les dépenses. L’une des dernières en date est Patreon, une plate-forme pour les créateurs de contenu, qui a déclaré que cinq des 80 personnes licenciées ce mois-ci faisaient partie de son équipe de sécurité des applications.
La société maintient que la sécurité des applications ne sera pas compromise. Mais des exemples comme celui-ci soulèvent la question de savoir ce que les responsables de la sécurité de l’information (RSI) doivent faire lorsqu’on leur dit que leur budget doit être réduit.
Ils peuvent consolider le nombre d’outils avec lesquels ils traitent et rationaliser certains processus, explique Tony Buffomante, responsable mondial des services de cybersécurité et de gestion des risques chez Wipro, basé dans l’Illinois.
« Il n’est pas rare d’avoir jusqu’à 60, 70, 80 outils. Des choses comme des outils d’évaluation des vulnérabilités, des outils de conformité ou des outils de gestion des identités et des accès. »
Passer du meilleur de la catégorie à une suite qui offre un certain nombre d’outils peut non seulement économiser de l’argent, mais peut également aider à la création de rapports, car les données des journaux sont consolidées.
Mais, a-t-il ajouté, les services de sécurité informatique qui ne maîtrisent pas bien tous leurs outils et où résident leurs données « ont vraiment du mal en ce moment à prouver leur valeur ».
Pour être préparés aux hauts et aux bas des cycles économiques, les dirigeants de la sécurité informatique ont besoin d’un modèle opérationnel agile, a déclaré Buffomante.
« Il existe certains processus que les organisations doivent exécuter pour maintenir la conformité ou atténuer les risques. Nous constatons que les organisations qui ont un modèle opérationnel agile sont capables de faire pivoter ces ressources. Ils ont automatisé un certain nombre de processus, ont mis en œuvre des éléments tels que des technologies de conformité aux risques de gouvernance qui peuvent automatiser les évaluations de leur environnement et des tiers, et éliminer l’élément humain de 60 % de l’équation. Ils réorientent également certaines de leurs dépenses pour s’assurer qu’elles sont alignées sur les priorités commerciales les plus stratégiques – la mise en œuvre de l’infonuagique, par exemple – et réduisent certaines des activités à faible risque.
« Mais cela implique que l’organisation maîtrise vraiment quels sont les actifs les plus critiques, les joyaux de la couronne, les zones les plus à risque. Les organisations qui ont réussi à identifier cela et qui ont un modèle agile ont été en mesure d’augmenter et de réduire les dépenses », lorsque nécessaire.
Wipro est une société internationale de conseil et de services informatiques qui interroge ses clients deux fois par an sur leurs besoins. « Un sujet qui continue d’être abordé par nos clients malgré les vents contraires actuels… est de savoir comment ils devraient penser à leurs cyber-investissements ?
Forrester Research a récemment fait valoir que la réponse des leaders de la sécurité à une récession dépendra du type d’organisation pour laquelle ils travaillent : croissance élevée, croissance modérée, croissance nulle ou croissance négative (c’est-à-dire que les revenus de l’entreprise sont en baisse).
Les responsables de la sécurité dans les entreprises à forte croissance devraient aligner leurs programmes sur l’obsession du client, tandis que ceux qui rencontrent des turbulences devront mettre l’accent sur la valeur, suggère Forrester.
Quel que soit l’état de l’entreprise, les exigences et les politiques de sécurité devront être liées aux exigences des clients et à la réglementation. Il y aura des opportunités de consolider les applications de sécurité, y compris l’externalisation de certaines fonctions.
Cependant, certains membres du personnel de la sécurité informatique devront peut-être être supprimés. Dans ce cas, dit Buffomante, les responsables de la sécurité des TI doivent voir quels services s’alignent sur l’entreprise et ajoutent de la valeur et ne peuvent pas être éliminés. Il devrait y avoir une recommandation au conseil d’administration afin qu’il accepte que tout changement puisse se faire au prix d’un niveau de risque plus élevé.
Une partie de cela peut être atténuée en se tournant vers des fournisseurs de services gérés à moindre coût et en automatisant certaines tâches.
La façon dont les licenciements sont gérés peut provoquer « angoisse et mécontentement » parmi le personnel, a-t-il ajouté, augmentant la menace interne. Cela signifie que le personnel informatique doit renforcer la surveillance de ce type de menace, en particulier parmi le personnel qui a un accès élevé aux systèmes.
Adaptation et traduction française par Renaud Larue-Langlois.
