La cybersécurité : optimiser ses profits
2017-02-28
HEC gestion
French
https://www.revuegestion.ca/la-cybersecurite-optimiser-ses-profits
2023-10-02
La cybersécurité : optimiser ses profits
Après l’ordinateur personnel et les médias sociaux, les produits informatiques mobiles et l’infonuagique transforment la façon dont les organisations utilisent, stockent et partagent l’information et se font compétition. L’intelligence artificielle et la robotisation ne feront qu’accélérer la donne.
Mais pour l’instant, la plupart des organisations tentent de profiter pleinement des possibilités qu’apportent ces niveaux inégalés d’accès et de connectivité tout en faisant face tant bien que mal aux menaces internes et externes qu’elles rencontrent. Cette chronique portera principalement sur le lien étroit entre sécurité informatique et profitabilité ainsi que sur l’importance de développer à la fois une expertise d’affaires, technologique et en sécurité.
Sécuriser ses profits
On se souviendra que la cybersécurité fait référence à trois critères soient : Disponibilité, Intégralité, Confidentialité (DIC) de l’information. Et ce, que le support soit électronique ou non. Il faut donc maintenant poser la question suivante : quel est le lien entre la sécurité informatique et la profitabilité?
L’exemple de la disponibilité
Nous sommes passés de modèles d’affaires où l’informatique servait à réduire les coûts à des modèles où le web et les technologies émergentes servent aussi à générer des revenus et à fidéliser la clientèle. Dans un tel cas, lorsque les systèmes informatiques sont en panne, l’impact est triple, car cela crée des répercussions à la fois sur les revenus, sur les coûts et l’image de l’entreprise. Cela fragilise encore davantage les marges bénéficiaires que par le passé.
LIRE AUSSI : « La cybersécurité, plus simple qu'il n'y paraît »
La combinaison gagnante
L’expertise interne
Chaque organisation possède sa propre culture, son propre modèle d’affaires généralement mieux maîtrisés par les parties prenantes internes. Voilà pourquoi les intervenants internes doivent tenir une place prépondérante et participer de façon active à l’équilibre entre occasions d’affaires, besoins technologiques et cybersécurité. Ce sont des collaborateurs essentiels pour assurer l’adéquation entre les investissements et les besoins réels de l’entreprise tout en tenant compte des enjeux affectant la profitabilité.
Spécialisation et expertise externe
Les changements technologiques et la complexité des domaines en cybersécurité font en sorte que les intervenants tendent à se spécialiser. Or, plusieurs organisations recherchent des intervenants internes ou externes qui possèdent un peu tous les chapeaux à la fois. C’est un peu comme si on demandait à un médecin d’être chirurgien, cardiologue et d’être directeur général de l’établissement où il travaille. Les organisations auraient peut-être intérêt à faire évaluer leurs besoins et cette évaluation serait la meilleure façon d’y répondre avant de dépenserparfois des sommes importantes.
Tenir compte de l’être humain
L’être humain demeure très souvent le maillon le plus faible dans toute la chaîne en cybersécurité. À titre d’exemple, un système d’alarme sophistiqué ne sera d’aucune utilité s’il n’est pas activé ou programmé au moment opportun. Les mots de passe favoris et facilement devinables demeurent dans le paysage année après année, et ce même chez certains spécialistes en informatique. Et ceux qui tentent de s’introduire dans les systèmes sans y être autorisés le savent. Sans tenir compte des vulnérabilités que représente le facteur humain et des forces que l’on peut en tirer, les profits à tirer de systèmes informatiques sécuritaires ne peuvent être optimaux. L’investissement dans la sensibilisation demeure un des plus rentables.
LIRE AUSSI : « Gestion des données : la gouvernance, une boussole »
Par où commencer?
Il est important de commencer par se poser certaines questions qui serviront à évaluer le niveau d’expertise interne en cybersécurité. Par la suite, cette évaluation pourra être utilisée pour définir les priorités en matière de sensibilisation, les besoins d’accompagnement et d’expertise externes. Il faut prévoir un accroissement graduel du niveau de maturité organisationnel des deux groupes suivants et de toute l’organisation.
Conseil d’administration et haute direction
Ces intervenants sont-ils en mesure de s’assurer de la disponibilité des ressources nécessaires pour sécuriser les systèmes d’information essentiels et que ces ressources sont utilisées correctement?
Gestionnaires, praticiens en cybersécurité, techniciens informatiques, auditeurs internes
Est-ce que les ressources internes sont en mesure :
- D’identifier les actifs informationnels essentiels au bon fonctionnement de l’organisation?
- De gérer les risques d’affaires à des niveaux acceptables?
- D’évaluer et de choisir les professionnels disponibles et les solutions technologiques offertes sur le marché?
- De faire évoluer le niveau de maturité de la cybersécurité de l’organisation et des employés?
En résumé
L’informatique et sa sécurité sont et seront encore davantage au cœur de la rentabilité des organisations. De plus, la cybersécurité est une profession multidisciplinaire qui requiert un mélange d’expertise interne, externe et de sensibilisation du personnel pour être optimale.
