L’analyse CGI Global 1000 regroupe des conclusions et perspectives issues de conversations en personne avec 1 000 hauts dirigeants des fonctions d’affaires et informatiques. Dans ce billet de blogue, ainsi que dans les prochains, nous aborderons des enjeux précis de cybersécurité mis en lumière dans le cadre de ces conversations.
Parmi ces conclusions stratégiques, on note que les leaders interrogés ont indiqué un changement de paradigme en matière de cybersécurité : ce qui était autrefois un enjeu technique est devenu une priorité informatique et commerciale. Il s’agit également désormais d’une préoccupation touchant l’ensemble des organisations : les obstacles au progrès découlent aussi bien des personnes, des processus et des politiques que de la technologie.
Bien que la grande majorité des leaders interrogés affirme avoir des programmes de cybersécurité en place, ces derniers présentent différents stades de maturité selon les organisations. Au sein de certains secteurs, les coûts élevés de conformité limitent les investissements liés à la transformation numérique. Dans d’autres domaines, la cybersécurité devient un catalyseur pour de nouvelles occasions numériques qui intègrent la sécurité dès les premiers stades.
Afin d’accroître la maturité des systèmes, il est nécessaire d’éviter de considérer la sécurité uniquement comme une composante obligatoire dans l’exercice des activités, mais également comme un moteur clé de changement et de croissance. Seuls 14% des dirigeants interrogés ont indiqué se trouver à un stade où la cybersécurité fait partie de leur proposition de valeur. Mais la barre pour garder une solide posture de cybersécurité monte constamment et la majeure partie des organisations n’a pas les ressources ni les compétences internes requises pour la maintenir à niveau. Elles doivent donc externaliser certaines de leurs fonctions opérationnelles élémentaires de sécurité à des tiers de confiance.
Suivre l’exemple des TI et participer à la discussion
Les technologies de l’information sont à l’ordre du jour des réunions des conseils de direction depuis de nombreuses années et sont considérées comme essentielles au sein des organisations. En ce qui concerne la cybersécurité cependant, les discussions sur la façon d’assurer la transformation de l’entreprise sont plus ardues. Plus les pratiques de cybersécurité gagnent en maturité, plus elles doivent progresser dans la chaîne de valeur interne pour attirer l’attention des décideurs cadres et les sensibiliser à cette nouvelle réalité.
Au moment de mettre en œuvre un nouveau processus opérationnel ou de créer une nouvelle source de revenus, à partir de quelle étape l’équipe de direction fait-elle intervenir l’équipe de sécurité? Pour se protéger contre les menaces évoluées de demain, il est important de s’assurer que la sécurité fait partie intégrante des nouvelles applications et des nouveaux appareils. Ce qui signifie qu’il faut faire intervenir les équipes de sécurité dès le début de la discussion. Celles-ci doivent cependant comprendre les activités, assurer une communication accrue et mettre sur pied des programmes qui mènent à des solutions, et non mettre en œuvre des solutions de prévention de problèmes à une étape ultérieure.
La sécurité ne peut bénéficier d’un niveau d’attention approprié que si une organisation établit les objectifs commerciaux, la connaissance organisationnelle et la compréhension stratégique nécessaires au soutien de sa transformation. L’impartition des opérations de sécurité de base vers des partenaires fiables (comme les TI le font avec l’exploitation des serveurs depuis des années) peut libérer des ressources qui contribueront à accroître la maturité de l’équipe de sécurité (grâce à l’embauche et au développement des compétences et du savoir-faire) et lui permettre de prendre part à la discussion.
Exploration des possibilités
Dans le secteur des services financiers, la sécurité fait partie de l’ADN des banques depuis les premières activités de transfert d’argent. Depuis des années, les intervenants du secteur adoptent une approche misant à faire de la sécurité une partie intégrante des processus et des systèmes, et celle-ci a toujours eu une visibilité et un statut importants au sein des organisations.
Dans les secteurs manufacturier ou des soins de santé, il n’est pas rare qu’un produit soit prêt à être lancé, mais qu’un expert de sécurité s’aperçoive que les menaces posent un risque trop important et interrompe le projet.
Et si les équipes de sécurité étaient invitées à participer à la discussion dès le début de la conception d’une application? Celles-ci pourraient s’assurer que les renseignements personnels sont hautement sécurisés et que la mise à l’essai fait partie d’un cycle de vie sécurisé de développement de logiciels – le tout en une seule étape agile et automatisée. Jusqu’à quel point votre mise sur le marché s’en verrait-elle accélérée?
CGI aide ses clients à accélérer l’atteinte de la maturité de leurs fonctions de cybersécurité en partageant les meilleures pratiques d’embauche en fonction de son expérience approfondie en matière d’intégration et de formation de centaines d’ingénieurs et de professionnels des TI. Nous fournissons également des services de sécurité en gestion déléguée pour permettre aux experts de nos clients de progresser dans la chaîne de valeur interne.
Dans notre prochain billet de blogue au sujet du changement de paradigme en matière de cybersécurité – lequel vise à transformer les activités d’exploitation en occasions de changement et de croissance –, nous explorerons diverses façons d’externaliser les opérations de cybersécurité de base vers des partenaires d’impartition.