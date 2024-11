Chaque semaine, la rédaction de ChannelBiz donne la parole à un(e) spécialiste de l’IT et Tech, qui apporte un éclairage plus personnel sur l’actualité et les tendances du Channel. Aujourd’hui, c’est Chloé Viletier, ancienne Chief Of Staff de la présidente de Microsoft France, et actuellement consultante en cybersécurité, qui se prète à l’exercice. Dans une tribune co-écrite avec Guilhem Thérond, rédacteur en chef de ChannelBiz.

Si la vente de solutions IT de cybersécurité est votre métier, ou une partie de votre activité, vous êtes surement confrontés à une objection récurrente de la part de vos clients : Le manque de budget. Pourtant, les cyberattaques n’ont jamais été aussi nombreuses et aussi coûteuses pour leurs victimes. Comment expliquer alors que les entreprises et des administrations tardent autant à investir, pour se protéger ? C’est un des paradoxes de la cybersécurité, qui renvoie comme souvent l’humain face à ses propres contradictions.

« Pourquoi je serai ciblé ? » : Les biais cognitifs face au risque technologique

Les dernières études Gartner* le confirment : au niveau mondial, la part du budget Cyber dans le budget IT des organisations stagne depuis 5 ans : 5% en 2019, contre 5,5% en 2023. Or, on estime généralement que pour être bien armé contre les différentes attaques, il faudrait consacrer en moyenne 10 à 15% de son budget informatique global à sa cybersécurité. À titre de comparaison, le coût des cyberattaques en France a lui été multiplié par 5 entre 2019 et 2023 pour atteindre près de 100 milliards de dollars, selon Statista**.

Des chiffres étonnants au vu des enjeux, qui trouvent peut-être leurs explications dans des mécanismes humains simples, reflets de nos propres biais cognitifs. « Pourquoi je serai attaqué ? », « Mon entreprise ne traite pas de données sensibles » : Il existe encore une idée diffuse dans beaucoup d’organisations, selon laquelle une petite entreprise ne serait pas une cible de choix, en raison de sa taille ou de sa faible renommée. C’est bien sûr faux. Autre appréciation trompeuse : La cybersécurité reste trop souvent perçue par le dirigeant comme un risque uniquement technologique.

Lorsqu’il occulte – par excès de confiance, ou par méconnaissance – la menace plus globale et le risque stratégique qui pèse sur son entreprise, le dirigeant néglige alors l’impact pourtant réel d’une cyberattaque dans son ensemble : sur ses capacités opérationnelles, sa réputation, la confiance de ses clients, sans oublier sa responsabilité pénale. Il en résulte une véritable difficulté pour le dirigeant, légitime, à s’approprier le risque Cyber, sa probabilité et son impact sur son entreprise. Et donc à prendre les décisions appropriées.

Implanter une culture du risque au sein des équipes dirigeantes

Le rôle du prestataires IT et Cybersécurité se révèle alors déterminant, et cela bien au-delà de la préconisation technique, et de la vente de solutions de protection : il est celui qui peut aider l‘équipe dirigeante de ses clients à développer une véritable culture du risque, et à la diffuser plus largement dans l’organisation. Des outils existent, efficaces. EBIOS Risk Manager en fait partie : C’est même la méthode d’appréciation et de traitement du risque numérique publiée et préconisée par l’ANSSI. Un outil qui permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser, dans une démarche d’amélioration continue.

« Le prestataire IT peut aider ses clients à développer une véritable culture du risque dans leur entreprise. »

En identifiant plus rationnellement ses actifs critiques, les menaces, et les vulnérabilités de l’entreprise, un dirigeant sera alors mieux armé pour prendre la mesure des investissements nécessaires pour arriver à un niveau de risque qu’il définira comme « acceptable ». En Cybersécurité, « avoir le gout du risque », pourra alors prendre un sens nouveau : Connaitre le risque, l’accepter et savoir y répondre. Une nouvelle opportunité pour le Channel de se détacher des contraintes budgétaires pour s’imposer, plus que jamais, comme un partenaire d’expertise et de confiance auprès de ses clients.

*Source : Gartner, IT Key Metrics Data 2024 : IT Security Measures – Analysis

**Source : Statista Technology Market Insight

