Comment les responsables de la cybersécurité plaident en faveur de la poursuite des investissements technologiques dans une économie difficile
Jean Fedele | Getty Images
Les responsables de la cybersécurité ont bénéficié d’une belle série de ressources financières dont ils ont besoin pour protéger leurs organisations contre les attaques. Mais compte tenu de l’incertitude économique actuelle, beaucoup devront probablement repenser leur approche des investissements dans les outils et les services.
« La cybersécurité n’est pas à l’abri des pressions économiques et de l’incertitude », a déclaré Daniel Soo, responsable des risques et du conseil financier en cyber-risque et risque stratégique chez Deloitte. Les responsables de la cybersécurité subissent une pression accrue pour améliorer leur efficacité et sont souvent censés faire plus avec moins tout en suivant le rythme des cybermenaces et des surfaces d’attaque de plus en plus complexes, a-t-il déclaré.
« Les RSSI devraient être prêts à justifier les dépenses en conséquence », a déclaré Soo. « Un mécanisme efficace pour justifier les cyber-investissements consiste à prendre en compte l’impact négatif de la perturbation des activités causée par un cyber-incident sur les revenus, ce qui réduit également la confiance établie entre les organisations et leurs parties prenantes. »
Que le ralentissement économique soit une baisse temporaire d’un à deux trimestres ou une période d’austérité prolongée, les RSSI doivent démontrer qu’ils agissent comme un gestionnaire financier prudent du capital, a déclaré Merritt Maxim, vice-président et directeur de recherche chez Forrester Research.
« C’est également le moment pour les RSSI de renforcer leur influence, de générer de la bonne volonté et de dissiper la perception de la sécurité en tant que centre de coûts en allégeant les charges induites par la récession qui pèsent sur les clients, les partenaires, les pairs et les équipes concernées », a déclaré Maxim.
Lors de la hiérarchisation des investissements en matière de sécurité, les responsables de la sécurité doivent continuer à investir dans des contrôles et des solutions de sécurité qui protègent les charges de travail en contact avec les clients et génératrices de revenus de l’organisation, a déclaré Maxim. Ils devraient continuer à défendre tous les investissements qui soutiennent les efforts de modernisation de l’organisation avec le cloud et son évolution vers une sécurité zéro confiance, a-t-il déclaré.
Certaines des fonctions de cybersécurité qui méritent un financement accru ou soutenu dans cette économie comprennent les solutions de sécurité d’interface de programmation d’applications, les solutions de gestion de robots, la sécurité de la charge de travail dans le cloud, la sécurité des conteneurs, l’authentification multifacteur, l’analyse de la sécurité et l’accès au réseau zéro confiance, a déclaré Maxim.
En outre, les RSSI devraient continuer à envisager d’expérimenter de nouvelles technologies de sécurité telles que la gestion de la surface d’attaque, la sécurité de la chaîne d’approvisionnement logicielle et la détection et la réponse étendues, a déclaré Maxim.
S’il est important d’investir dans la cybersécurité, il est également important de déterminer quelles capacités de sécurité produiront un meilleur retour sur investissement pour maximiser la réduction des risques, a noté Soo.
« Les RSSI doivent investir dans leurs talents pour accroître leur capacité à mieux tirer parti de l’intelligence artificielle et de l’automatisation, qui sont toutes deux des leviers pour réorganiser la manière dont le travail peut être effectué tout en améliorant la productivité », a déclaré Soo.
Les programmes de cybersécurité peuvent également bénéficier de ce que l’industrie appelle une approche « shift-left » ou « secure-by-design », ce qui signifie qu’ils s’appuient sur les pratiques DevSecOps et intègrent les capacités de cybersécurité plus tôt dans les processus technologiques, a déclaré Soo. Cela aide à son tour à prévenir les violations.
« Les RSSI devraient également envisager de mener des efforts d’optimisation de la sécurité grâce à la rationalisation des outils et de la technologie, et de rechercher d’autres modèles de main-d’œuvre, de talents et d’exploitation pour obtenir des résultats par des moyens plus efficaces », a déclaré Soo.
Un rapport récent de Forrester sur la planification de la sécurité et des risques a déclaré que même si les chefs d’entreprise sont beaucoup moins susceptibles de cibler les investissements de sécurité pendant les ralentissements économiques, « il serait imprudent pour [security and risk] dirigeants de ne pas se joindre à leurs homologues informatiques pour évaluer leurs dépenses à tous les niveaux afin de garantir une valeur maximale. »
Les dépenses en technologie sur site restent importantes malgré le passage au cloud, selon le rapport Forrester. « Lorsque nous combinons les dépenses de maintenance et de licence, les mises à niveau et les nouveaux investissements, les dépenses en technologie sur site sont de loin les dépenses les plus importantes du budget de sécurité. , » Ça disait. « Étant donné que de nombreuses applications et charges de travail sont passées au cloud, cela suggère une mauvaise allocation potentielle des budgets de sécurité. Les RSSI doivent examiner de près les dépenses sur site pour déterminer si elles s’alignent sur le cloud et la stratégie de modernisation de l’organisation informatique globale. »
Les RSSI ont lutté pendant des années pour recruter et retenir des talents en sécurité pour diverses raisons, selon le rapport. « Il est tentant de réduire les dépenses dans ces domaines lorsque la situation économique s’assombrit, mais cela n’économisera pas beaucoup par rapport à d’autres dépenses, et cela exacerbera la pénurie de compétences et sacrifiera la capacité d’instaurer la confiance juste au moment où les organisations professionnelles en ont besoin sans frontières. le plus », a déclaré Forrester.
Lors de la hiérarchisation de leurs investissements en matière de sécurité, les responsables de la sécurité doivent continuer à investir dans des outils qui protègent les charges de travail de l’organisation en contact avec les clients et génératrices de revenus, indique le rapport.
Forrester voit une valeur croissante et prometteuse dans quatre catégories d’outils de sécurité. L’un est la sécurité de la chaîne d’approvisionnement logicielle, y compris une nomenclature logicielle qui fournit une liste de tous les composants d’un programme logiciel, y compris les bibliothèques open source et commerciales.
Une autre catégorie est la détection et la réponse étendues (XDR) et la détection et la réponse gérées (MDR). Les outils XDR offrent des détections comportementales à travers les outils de sécurité pour fournir des alertes, un contexte supplémentaire dans les alertes et la capacité de détecter, d’enquêter et de répondre à partir d’une plate-forme unique. Les services MDR offrent une détection et une réponse plus matures que les produits XDR, a déclaré Forrester.
Une troisième catégorie d’outils est la gestion de surface d’attaque (ASM) et la simulation de violation et d’attaque (BAS). Les outils ASM aident les équipes de sécurité à identifier, attribuer et évaluer les expositions des actifs nouvellement découverts et connus pour les risques tels que les vulnérabilités. BAS fournit une vue d’entreprise d’un attaquant avec des informations plus approfondies sur les vulnérabilités, les chemins d’attaque et les contrôles.
Enfin, il existe des technologies de préservation de la vie privée (PPT), qui incluent le cryptage homomorphe, le calcul multipartite, la confidentialité fédérée et d’autres fonctionnalités. Les PPT permettent aux organisations de protéger les données personnelles des clients et des employés lors de leur traitement, a déclaré Forrester.