4 conseils pratiques pour convaincre la direction d’investir en cybersécurité

4 conseils pratiques pour convaincre la direction d’investir en cybersécurité

Vous êtes responsable de la cybersécurité au sein de votre entreprise et votre budget est aussi épais q’une feuille A4 ? Difficile de réaliser avec un tel budget toutes les actions nécessaires pour renforcer la sécurité de l’information de votre entreprise. Mais pour obtenir un budget plus important, il va falloir convaincre ceux qui tiennent les cordons de la bourse; et ce n’est pas chose aisée.

Voici 4 conseils pratiques que vous pouvez mettre en oeuvre dès aujourd’hui pour convaincre lorsque vous demandez un budget sécurité.

1 – Adopter un langage intelligible

Bien que le vocabulaire employée en cybersécurité soit de plus en plus compris par tout un chacun, ce vocabulaire reste encore très obscure pour les personnes extérieures au monde de la cybersécurité.
Imaginez un expert en physique quantique qui vous explique son métier en utilisant son jargon.  Vous voyez le tableau ?

C’est ce que ressente la plupart de vos interlocuteurs quand vous parlez de spoofing, APT, Ddos, j’en passe et des meilleures.

Cela pourra peut-être vous faire passer pour un expert du sujet mais ça ne vous donnera pas l’accord et le budget dont vous avez besoin.
De la même façon que pour vous vendre un produit ou un service, une entreprise adopte un langage que vous comprenez, si vous voulez vendre votre projet à la direction, vous devez adopter un langage qu’ils comprennent

2 – Soyez positif

Bien souvent, pour expliquer l’importance de la cybersécurité, la technique employé est de susciter la peur. Si vous ne faîtes rien, l’entreprise va se faire hacker. L’entreprise va se faire sanctionner. On va se faire pirater.

C’est utile de rappeler les conséquences si rien n’est fait, mais trop utiliser la peur peut s’avérer inefficace sur le long terme.
N’oubliez pas que la peur est une des 6 émotions fondamentales dénombrées par la psychologie. Les 5 autres sont : La joie, la tristesse, la surprise, la colère, le dégoût.
Pourquoi ne pas exploiter ces autres émotions fondamentales ? en particulier la joie. De nombreuses études ont montré que la joie est l’émotion la plus efficace pour pousser quelqu’un à agir, beaucoup plus efficace que la peur.

3 – Montrez les bénéfices

Ce qui nous amène à ces bénéfices. Pourquoi la direction accorderait un budget conséquent aux activités liées à la cybersécurité plutôt qu’à une autre activité ? La réponse est peut-être évidente pour vous, mais ce n’est pas le cas de ceux qui décident.
Alors, clarifier les bénéfices que l’entreprise obtiendra en investissant dans des actions de renfort de sa cybersécurité; montrer le ROI.

Exemple

Plutôt que de toujours dire que c’est dangereux de ne pas faire d’audit de sécurité tous les ans, parce que les utilisateurs font n’importe quoi, parce que sinon vous ne savez pas quoi corriger.

Vous pouvez varier en expliquant que cela va réduire le nombre d’audits commandités par les clients de la société et donc faire gagner du temps aux collaborateurs. Il vaut mieux avoir un seul audit pour tous les clients , plutôt qu’un audit par client.

4 – Last but not least : clarifiez l’objectif, la cible

Cela paraît trivial dit comme cela, mais vous êtes vous demandé quel objectif l’entreprise doit atteindre ? A quelle échéance ? Comment cela s’aligne-til avec les objectifs business de votre entreprise ?
Trop souvent, les objectifs que nous présentons sont en fait ceux que nous avons déterminés de notre point de vue cybersécurité. Mais vous êtes nombreux dans l’entreprise à vouloir le maximum de budget. Il faut donc vous démarquer et penser à ce que veulent vos clients (oui, les autres services de l’entreprises sont vos clients internes).

Le framework du NIST est un outil très utile pour déterminer la cible cybersécurité d’une entreprise tout en intégrant les enjeux business de l’entreprise. Il permet également de déterminer comment atteindre cette cible.  En utilisant ce framework, vous présenterez une cible qui est aligner sur les objectifs de l’entreprise, une cible qui est compréhensible des décideurs.

Si vous voulez en savoir plus sur le framework NIST,  laissez-nous un mot.

Nous contacter
2019-09-13T13:18:08+02:00