Comment les RSSI de renommée mondiale gagnent la confiance des membres du conseil d'administration et des budgets en 2023

Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.



