Relever les grands défis de sécurité : contraintes budgétaires et preuve de ROI

Nous présentons une nouvelle série d’articles qui visent à mettre en lumière les principaux défis de sécurité rencontrés par les organisations et à donner des pistes pour les relever. Chacun de ces cinq articles ciblera un défi spécifique et vous aidera à trouver la ou les méthodes qui fonctionnent le mieux pour vous et répondent aux besoins uniques de votre entreprise.

Nous le savons, les besoins, les exigences, les contraintes budgétaires et la région d’implantation varient d’une organisation à l’autre. Les conseils que nous donnerons ici ne seront pas autant une marche à suivre formelle qu’une liste des options disponibles, avec leurs forces et faiblesses. Les organisations et les équipes d’administration pourront s’en inspirer pour développer la stratégie de sécurité optimale, afin de faire face aux menaces et aux attaques modernes qui ont le plus d’impact sur les opérations commerciales, les processus, les utilisateurs et, bien sûr, les données.

Dans l’article précédent, nous avons évoqué les défis rencontrés par les organisations qui veulent se préparer à faire face aux menaces de cybersécurité provenant de l’extérieur de l’organisation.

Pour cette dernière édition, nous abordons l’impact des contraintes budgétaires sur les mesures de cybersécurité qui doivent protéger les données stratégiques des entreprises, ainsi que la difficulté pour l’informatique de déterminer correctement la rentabilité des dépenses de sécurité dans différentes catégories :

• Consolidation des fournisseurs
• Automatisation
• Promotion Forfait Business
• Cycle de vie des appareils et des applications

Avant d’entrer dans le vif du sujet, voyons d’abord quelles sont les contraintes budgétaires et comment on calcule traditionnellement le ROI. Il sera ainsi plus facile de comprendre pourquoi, lorsqu’ils sont appliqués aux dépenses de cybersécurité, ces paramètres traditionnels aboutissent souvent à des évaluations erronées.

Les bases de la budgétisation

La sécurité peut coûter cher. Et c’est peut-être l’un des plus grands euphémismes qui soient, tout secteur confondu. Pourquoi affirmons-nous cela ? C’est une combinaison de principes mathématiques simples et de prédictions difficiles à réaliser : le calcul s’appuie sur les coûts initiaux réels et tente de prévoir l’étendue des dommages subis par une organisation en cas d’attaque.

Autrement dit, un mélange de science et d’art divinatoire.

Un euro = un euro

Cette section concerne exclusivement la partie mathématique. Le calcul coût des contrôles de sécurité – licences MDM pour gérer les appareils, logiciels de sécurité des terminaux pour bloquer les logiciels malveillants, connexion sécurisée aux ressources de l’entreprise avec des identifiants cloud – est un processus simple.

Il suffit en effet d’additionner les coûts d’une licence de Jamf Pro, de Jamf Protect et Jamf Connect pour savoir combien coûte la sécurisation d’un appareil avec Trusted Access. Multipliez ensuite le coût de ces licences par le nombre d’appareils gérés par votre organisation pour obtenir le total. Vous voyez ? Nous n’avons pas menti : c’est très simple.

Un euro ≠ un euro

C’est là que le budget devient moins clair. En effet, l’évaluation des dépenses globales de sécurité d’une organisation est bien plus complexe, car d’autres types de contrôles peuvent s’avérer indispensables pour répondre à ses besoins. Rappelons que la meilleure façon de déterminer les niveaux de risque auxquels l’infrastructure de votre organisation est confrontée consiste à procéder à une évaluation des risques pour chaque de ses équipements, données et appareils stratégiques.

De cette façon, vous pourrez non seulement identifier les types de risques auxquels votre organisation est exposée, mais aussi en cerner le degré de gravité et déterminer l’importance stratégique de chaque ressource. Tous ces éléments produisent une image du risque tel qu’il affecte réellement l’organisation, qui peut alors déterminer quels contrôles renforceront au mieux sa posture de sécurité en fonction de sa tolérance au risque .

Les bases du calcul de ROI

La sécurité peut coûter cher. Nous insistons sur ce point, car pour déterminer le ROI avec précision, il ne suffit pas d’identifier le chiffre spécifique ou le pourcentage des dividendes, ni même de savoir comment l’acquisition d’un contrôle ou d’un service de sécurité spécifique est « amortie ».

Une organisation peut en effet atteindre ou de dépasser son objectif de ROI de plusieurs façons sans jamais vraiment appliquer les modèles traditionnels de ROI au budget des protections de sécurité. Et cela, pour dire les choses simplement, parce que la sécurité est rarement considérée sous cet angle jusqu’au premier incident. Ce n’est qu’à ce moment-là que certaines organisations réalisent la véritable valeur de leurs investissements dans la lutte contre les menaces de cybersécurité – en particulier celles qui conduisent à des failles de données.

Quel est le coût d’une faille de sécurité ?

Selon le rapport d’IBM sur le Coût des failles de données en 2022, le coût moyen d’une violation de données est de 4,35 millions de dollars à l’échelle mondiale. Pour les organisations basées aux États-Unis, ce chiffre est plus de deux fois supérieur et atteint 9,44 millions de dollars. Et si votre organisation appartient au secteur de la santé, ce chiffre passe à 10,10 millions de dollars.

Est-ce que d’autres facteurs peuvent augmenter ce coût ?

En un mot : oui.

Ces facteurs restent des exceptions : les organisations ont tout intérêt à les envisager comme des variables susceptibles de les affecter, sans que ce soit nécessairement le cas. Pour cette raison, ces potentialités ne sont pas prises en compte dans les coûts issus du rapport d’IBM. Pourtant, ces variables peuvent faire grimper en flèche le coût des attaques et des violations de données. Quelques exemples :

• Violations de conformité réglementaire : les organisations s’exposent à des amendes et à des poursuites civiles et/ou pénales, si elles manquent à leurs obligations de sécurisation des données protégées et enfreignent les réglementations de gouvernance.
• Fuite de données propriétaires et de secrets industriels : toute fuite de données peut créer des facteurs de risque supplémentaires pour une organisation. La fuite de données propriétaires et de secrets industriels peut aggraver les coûts en impactant les activités de l’entreprise, à commencer par ses flux de revenus.
• Perte de réputation : toute dégradation de la réputation d’une entreprise aux yeux du public peut avoir un impact négatif sur son chiffre d’affaires. On a vu des entreprises incapables de se relever de ces pertes combinées.

La rentabilité des investissements de sécurité

Les organisations ont tout intérêt à revoir leur façon de concevoir les budgets de sécurité et de calculer le rendement de leurs dépenses. Pour autant, certaines mesures permettent de s’assurer que chaque dollar dépensé est utilisé de manière efficace et optimale. Nous avons réuni ci-dessous les grands domaines dans lesquels l’uniformisation est synonyme d’efficacité et permet de renforcer la posture de sécurité.

Consolidation des fournisseurs

Certaines solutions se vantent bruyamment de proposer « une interface unique ». Certes, en théorie, quoi de mieux que de pouvoir accéder à tous ses outils au même endroit ? Pourtant, ces solutions s’accompagnent d’un écueil qui ne se révèle souvent qu’après la migration de votre organisation : elles ne prennent pas nécessairement en charge l’ensemble des fonctionnalités, des systèmes d’exploitation et des appareils.

La consolidation des fournisseurs et des solutions de sécurité occupe une place indéniable dans la réduction des budgets. Surtout, elle centralise les tâches de gestion et de sécurité pour les équipes informatiques. Mais si cette simplification de la gestion se fait aux dépens de la prise en charge de certaines protections de sécurité, le temps gagné dans la gestion des appareils se doublera d’une augmentation des risques de sécurité – un compromis coûteux à long terme.

En d’autres termes, il est préférable de considérer la gestion des appareils et la sécurité comme les deux faces d’un tout. Pour protéger les terminaux de manière globale, les workflows de gestion doivent permettre aux administrateurs de gérer efficacement leurs appareils. Ils doivent notamment prendre en charge la gestion des correctifs et les profils de configuration pour renforcer les surfaces d’exposition, deux processus critiques du cycle de vie des appareils.

De même, il est essentiel de gérer les appareils en respectant les bonnes pratiques du secteur. Mais sans visibilité sur l’état des appareils et la conformité des terminaux, les workflows conçus pour remédier aux incidents ne sauront pas comment rétablir la conformité et corriger la vulnérabilité introduite par le vecteur d’attaque.

Il faut impérativement comprendre qu’il n’existe pas de solution miracle, et que la réussite de votre stratégie de sécurité repose sur des partenariats solides. Mais si la multiplication des partenaires n’est pas viable financièrement, il ne faut pas tomber dans l’excès inverse, au risque de manquer de soutien.

La solution ? Choisissez les solutions les plus performantes pour la plateforme qui nécessite une prise en charge complète. Pour ce qui est des appareils Apple, Jamf est spécialement conçu pour offrir une prise en charge complète des appareils et fonctionnalités macOS, iOS, iPadOS et tvOS, dès le jour de leur lancement. Pour une entreprise, c’est l’assurance que les appareils sont complètement protégés, mais aussi la possibilité de contrôler le déploiement des fonctionnalités.

Automatisation

Le « graal » des administrateurs du monde entier ! L’automatisation est une parfaite illustration du mantra que j’applique depuis longtemps, à savoir « travailler mieux, pas plus ». Ce principe, lorsqu’il est mis en œuvre correctement, ne permet pas seulement aux administrateurs de faire plus avec moins, mais aussi, comme j’aime à le voir, de recevoir plus en dépensant moins. Et qui n’aime pas l’idée d’en avoir plus pour moins cher ?

Je m’explique. L’informatique et la sécurité opèrent généralement de façon indépendante et ont des responsabilités distinctes, mais elles collaborent pour protéger les ressources contre les menaces. Prenons l’exemple d’une organisation qui a adopté le modèle BYOD pour une douzaine d’employés qui utilisent leur appareil personnel au travail. Ces employés travaillent tous à distance. En tant que membre de l’équipe informatique ou de la sécurité, vous devez veiller à ce que chaque appareil soit à jour et à ce que les utilisateurs activent manuellement le VPN à chaque fois qu’ils se connectent via des réseaux sans fil non fiables.

Au premier abord, une douzaine d’appareils ne semble pas poser de difficulté majeure. Pourtant, la distance qui vous sépare de chacun des utilisateurs que vous assistez rendent la tâche extrêmement difficile à gérer manuellement. Le défi frise l’impossibilité, car il n’existe aucun moyen scientifique de contrôler chaque utilisateur individuellement et simultanément.

Dans un tel scénario, l’adoption de solutions MDM et de l’accès réseau zero-trust (ZTNA) permet d’effectuer l’essentiel du suivi de l’état des appareils en temps réel. L’intégration des deux solutions permet de mettre en place des workflows automatisés qui exécutent des règles pour résoudre les problèmes de conformité lorsqu’ils surviennent. Dans cet exemple, l’administrateur peut facilement déployer des mises à jour logicielles en masse sur tous les appareils. D’autre part, avec l’abandon du VPN traditionnel au profit de la technologie ZTNA, plus moderne, la gestion basée sur des règles peut imposer une connexion sécurisée chaque fois qu’un utilisateur demande à accéder à une ressource professionnelle. Celle-ci est automatiquement acheminée via un micro-tunnel chiffré, même si l’utilisateur oublie de le faire manuellement.

Le temps gagné par l’administrateur lui permet de se consacrer à des activités plus stratégiques qui méritent son attention directe. Autrement dit, il dépense moins (d’efforts) mais reçoit plus (de temps).

Cycle de vie des appareils et des applications

Autre aspect critique directement lié au budget de l’organisation : le cycle de vie des appareils et des applications. En particulier, la manière dont le déploiement des nouveaux appareils s’articule avec la gestion des terminaux et des applications professionnelles exerce un impact direct sur les appareils et la sécurité globale d’une organisation.

Dans l’exemple ci-dessus, l’administrateur isolé est chargé de maintenir les appareils à jour tout en veillant à la sécurité des connexions distantes aux ressources protégées de l’entreprise. Revenons un instant en arrière et imaginons que l’organisation a décidé de faire du Mac sa plateforme de choix. Elle a fait l’acquisition de MacBook Pro et les a fait livrer au domicile de chaque utilisateur. Auparavant, le service informatique aurait dû réceptionner les ordinateurs portables pour les configurer, puis les envoyer à chaque utilisateur. L’administrateur aurait également pu se rendre auprès de chaque employé concerné pour configurer manuellement chaque appareil.

Mais tout cela coûte une fortune. Autant en termes d’argent que de temps. La méthode d’approvisionnement des appareils la plus efficace et la plus sûre est le déploiement sans contact. Apple constitue une base solide : Apple Business Manager (ABM) – ou Apple School Manager (ASM) pour les établissements d’enseignement – permet aux organisations de définir les configurations initiales de chaque appareil, ce qui garantit un transfert sécurisé et vers la MDM au moment de l’inscription. La MDM se charge de la configuration du Mac. Elle installe les logiciels, configure les réglages de sécurité et assure l’approvisionnement des identifiants cloud afin que l’appareil soit prêt pour l’utilisateur final dans les minutes qui suivent sa mise sous tension.

Voici, en bref, le processus de déploiement sans contact des appareils :

1. Ouvrez la boîte
2. Allumez l’appareil
3. Il n’y a pas d’étape 3

Si l’approvisionnement des appareils est entièrement automatisé et que l’utilisateur final effectue le déploiement, les administrateurs de Mac ont tout leur temps pour gérer les applications et les mises à jour, n’est-ce pas ? Détrompez-vous ! Ces tâches peuvent et doivent aussi être automatisées pour garder les mains libres et faire le bonheur de vos utilisateurs.

L’association entre ABM/ASM et votre solution MDM simplifie considérablement l’acquisition et le déploiement des applications grâce à une connexion directe aux App Stores d’Apple. Les applications gérées et celles qui sont déployées par l’organisation se configurent et s’installent en toute simplicité sur les appareils inscrits dans votre MDM. Comme ces applications sont hébergées de manière centralisée par Apple, les mises à jour sont automatiquement mises en file d’attente pour être appliquées à votre flotte d’appareils, sans aucune autre intervention des administrateurs.

Les utilisateurs de Jamf ont un atout de plus dans leur manche : nos App Installers étendent les avantages propres aux applications natives à des applications tierces afin de rationaliser le déploiement des packages. Ceux-ci proviennent directement des fournisseurs et sont gérés par Jamf.

S’il est possible d’automatiser le déploiement et les mises à jour des applications natives et tierces, le catalogue Jamf Self Service apporte une flexibilité supplémentaire et donne davantage d’autonomie aux utilisateurs finaux dans la gestion de leurs appareils. Avec le Self Service, les administrateurs Jamf peuvent pré-autoriser des applications, des packages, des réglages et des configurations pour tous les types d’utilisateurs qui peuvent alors se procurer le logiciel dont ils ont besoin au moment qui les arrange. Oubliez les tickets d’assistance et les demandes d’autorisation : tout ce dont vous avez besoin peut être téléchargé à partir d’un référentiel sûr, sécurisé et personnalisé. La sécurité des fichiers et l’intégrité des paquets d’installation ne sont plus des sujets d’inquiétude.

Réduire les demandes d’assistance, rationaliser le déploiement du matériel et des logiciels, autonomiser les utilisateurs finaux et les employés en télétravail via n’importe quelle connexion : tous ces atouts font que les équipes informatiques et de sécurité sont libres de se consacrer à l’amélioration du service et de la sécurité, sans avoir à intervenir sur les appareils ni à être physiquement présents lors de l’exécution des tâches courantes.

« Si vis pacem, para bellum »

Cette citation latine, qui signifie « Si tu veux la paix, prépare la guerre, » a été maintes fois reprise tout au long de l’histoire. Elle remonte au quatrième ou cinquième siècle de notre ère et on la doit à Publius Flavius Vegetius Renatu, auteur du traité De re militari.

Elle porte l’idée que pour préserver la paix, il faut souvent réunir les conditions nécessaires à son maintien. Dans le contexte de la cybersécurité, cette condition est la capacité à défendre vos appareils, vos utilisateurs et vos données contre les acteurs malveillants.is

S’il est difficile de quantifier le ROI de la sécurité à l’aide de modèles traditionnels, il est sans doute préférable de la voir comme bien d’autres incontournables qui ont une fonction préventive, même si nous ne les utilisons que rarement, voire jamais.

Pensez tout simplement aux polices d’assurance. Il n’est pas seulement important de souscrire une assurance pour protéger sa maison, sa voiture et sa santé : dans la plupart des cas, c’est même une obligation légale. Nous payons des primes à une compagnie d’assurance pour qu’elle intervienne si quelque chose arrive à l’un des assurés désignés et couvre un pourcentage de la perte financière provoquée par le sinistre. Certaines personnes passent leur vie à payer une assurance automobile sans jamais déclarer le moindre incident. Si certains voient cela comme une dépense inutile, d’autres, surtout après avoir vécu le traumatisme d’un accident de voiture, sont reconnaissants de voir l’assurance qu’ils ont payée les soulager dans un moment aussi pénible.

Il en va de même pour les contrôles de sécurité mis en œuvre pour protéger les ressources. Ils ne sont pas budgétisés, achetés et configurés pour réaliser un gain financier ou atteindre un objectif de rentabilité : ils ont pour but d’atténuer le risque, ou du moins d’en minimiser les retombées. La cybersécurité ne fournit pas toujours ces données sous une forme véritablement intelligible par les décideurs métier. À première vue, les dépenses de sécurité représentent X dollars, le ROI s’élève à Y dollars, soit un impact négatif de X dollars sur les revenus.

Mais que deviennent ces calculs en cas d’incident de sécurité ?

Tout est remis à plat. Personne ne veut être victime d’une faille de sécurité ou même d’une tentative d’attaque, mais un incident permet de relativiser le budget de sécurité, comme dans l’analogie avec la prime d’assurance évoquée plus haut.

Si votre organisation dépense X pour ses contrôles de sécurité, avec un ROI de Y, les recettes sont réduites de X selon les modèles de calcul traditionnels. Pourtant, les équipes informatiques et de sécurité ont de la visibilité sur l’état des appareils, et des données télémétriques leur indiquent quels appareils sont protégés ou cessent de l’être, à quel moment des attaques ont lieu et ce à quoi elles ont tenté d’accéder, avec ou sans succès.

Toutes ces informations permettent aux organisations de déterminer combien d’attaques ont été tentées et effectivement arrêtées. Combinée à une évaluation des risques en cours, une vision claire du nombre d’attaques évitées permet de déduire quels revenus n’ont pas eu besoin d’être mobilisés pour :

• se rétablir d’une violation de données
• corriger les terminaux compromis
• faire appel à l’assistance d’une équipe informatique/de sécurité en urgence
• payer des amendes réglementaires
• couvrir les frais de justice liés des poursuites civiles ou pénales
• fournir des services aux personnes concernées par les fuites d’IPI
• mettre en place des contrôles de cybersécurité pour atténuer les attaques actuelles et futures

Le calcul du ROI devient alors beaucoup plus précis : les organisations sont en mesure de comptabiliser les risques existants et supplémentaires liés à leur posture de sécurité, mais aussi les coûts associés à chaque menace contre laquelle une protection a été mise en place. Si l’on reprend les chiffres du rapport d’IBM sur le coût d’une violation de données, le ROI paraît insignifiant face au coût moyen de 9,44 millions de dollars par violation. Et si l’on intègre tous les autres coûts liés à la responsabilité de l’organisation en cas de faille – perte de réputation incluse, les préoccupations liées aux budgets de sécurité sont fortement mises en perspective. Oserais-je dire qu’il est de donner à la cybersécurité la place qu’elle mérite à la table des négociations de l’entreprise ?