Par contre , la cible et la trajectoire des investissements peut être repensée : on peut mieux utiliser les budgets, pour faire plus efficace avec un bon pilotage, plus simple avec un renouvellement des techno et plus réaliste en prennant en compte le facteur humain.
Une fois les coûts connus, quels sont les leviers que le RSSI peut activer pour optimiser ces budgets ?
Il y a trois leviers qui peuvent être mis en œuvre :
- D'abord, rationnaliser le parc de technologies de sécurité. Beaucoup de solutions de sécurité datent du début des années 2000, et se sont accumulées, avec des questions de coûts de maintenance, de gestion et la multiplication des fournisseurs. Il y a des gains importants à rajeunir et rationnaliser le Sourcing de ces composants de base qui sont maintenant arrivé à maturité.
- Ensuite, profiter des nouvelles approches (Appliance tout en un, solution in the Cloud, sécurité dynamique) qui, sans prétendre tout régler, simplifier largement le parc de solution et offre un bien meilleur rapport cout / exploitation.
- Enfin adapter les architectures et les pratiques. Il y a peut être d'un coté un surinvestissement sur des solutions très (trop) pointues, je pense ici à la course à l'armement sur la défense péri métrique et de l'autre des « trous » beaucoup plus simple à combler et absolument indispensable à prendre en compte. Par exemple, il est frappant de constater que le chiffrement des disques durs, solution simple à mettre en œuvre, reste un parent pauvre de la sécurité.
Donc en résumer, en prennant le parallèle avec l'agriculture, il est urgent de faire de « la sécurité raisonnée ».
Ces choix technologiques ne sont pas simples, comment cibler les zones ou les équipements à rationnaliser ?
Sans outil décisionnel, il est effectivement extrêmes difficile d'orienter les choix de technologies ou d'architecture. Dans les derniers mois, quelles ont été les zones sous pression de mon informatique ? Y a-t-il un type des flux suspects ? Quelle fraction de mon parc de Laptop est à jour ? Combien faut-il de temps pour diffuser des correctifs ?
Autant de question qui restent sans réponse sans une solution de remontée des informations de sécurité et de reporting. C'est le point clés de l'adaptation des ressources sécurité à la réalité de l'entreprise.
Pour adapter le budget, et ensuite le justifier, un tableau de bord de la sécurité doit pouvoir aligner des indicateurs objectifs de l'état de la sécurité dans l'ensemble de l'architecture (poste de travail, réseaux, application).
Il faut ajouter que cela ne concerne pas que les équipements sécurité mais la compilation doit pouvoir rapprocher tous éléments qui permettent d'expliquer les dysfonctionnements.
Pour prendre un exemple, la surveillance du réseau, sa configuration et la sécurité peut produire des indicateurs communs afin d'expliquer pourquoi et comment la bande passante est bien, ou mal, consommée.
Si les RSSI réussissent à trouver de nouvelles marges de manœuvres, a quoi vont-elles servirent ?
C'est une des finalités de l'optimisation des coûts de la sécurité : se donner des marges de manœuvre pour redéployer la sécurité au fur et à mesure des evolutions de l'environnement.
Il y a effectivement des sujets qui sont urgents à reconsidérer car les utilisateurs évoluent très vite, leurs technologies aussi et l'entreprise elle-même modifie ses frontières au gré des modifications de la stratégie.
Pour les utilisateurs, il y a probablement urgence à repenser sa place dans la sécurité et à redéployer des efforts de sécurité. Si l'utilisateur, en tant que personne privé, passe 10% de son temps sur les réseaux sociaux, que doit faire la sécurité pour éviter que la mince cloison entre vie privée et vie professionnelle soit percée avec les conséquences que l'on imaginer quant à la divulgation d'informations sensibles. Pour illustrer mon propos, je vous recommande de vous connecter sur le blog d'orange business securité ( blogs.orange-business.com/securite/ ) , un de nos experts a produit une vidéo, très édifiante sur le piège que peut constituer la participation d'un utilisateur non averti dans un réseau social.
Le budget sécurité doit donc être rééquilibré vers le facteur humain plus que technique.
Le deuxième élément de réorientation vise à améliorer la flexibilité de la sécurité face aux modifications permanentes de l'entreprise. Les budgets doivent donc être eux aussi adaptables.
Concrètement cela veut dire variabiliser les couts en fonction des besoins en recourant à des solutions de type 0 investissement (par exemple pour les postes de travail ou pour certains points de la sécurité réseau) mais aussi en mutualisant des fonctions qui doivent implantée rapidement (par exemple en mutualisant sécurité et point d'accès au réseau pour l'ouverture d'une filiale distante).