Quand le budget cybersécurité ne suffit plus pour les projets et opérations, il faut améliorer les processus. C’est possible de réduire ses coûts, sans augmenter ses risques. Gaspillez-vous une partie de votre budget ?
Pour la majorité des organisations, la sécurité de l’information est une priorité. Les opérations dépendant fortement de la technologie, toute interruption a des impacts majeurs sur l’exploitation. Mais avec l’incertitude économique de 2023 et 2024, les budgets ne suivent pas la hausse des coûts des fournisseurs et des solutions. C’est l’occasion de prendre du recul et d’optimiser vos opérations et projets, pour faire plus avec moins.
L’amélioration des processus en cybersécurité s’appuie sur la triade technologie, processus et équipe. Je vous explique comment identifier les gains que vous pouvez faire dans chaque domaine.
Revoir l’utilisation des technologies
Les logiciels et solutions, qu’elles soient déployées sur vos serveurs ou dans le Cloud, représentent de 25 à 30% du budget cybersécurité. La réduction de budget la plus simple et la moins risquée consiste à revoir vos outils.
Épluchez vos factures ! Que payez-vous ? Les solutions offrent souvent plusieurs niveaux, utilisez-vous toutes les fonctionnalités du niveau Or ou Platine que vous aviez choisi à l’époque ? Avec la liste des produits que vous payez, vous pouvez passer à une analyse plus détaillée.
Matériel ou logiciel installé mais fonctionnalités incluses non-activées
Je rencontre ce cas dans des petites organisations, qui manquent de compétences ou qui délèguent la gestion et l’installation à un prestataire externe. La personne fait la configuration de base, l’outil fonctionne, mais il pourrait apporter bien plus. Le cas que j’ai le plus souvent rencontré est celui du firewall de type UTM (Unified Threat Management) ou NG (Next Generation). L’inspection du traffic crypté (TLS) ou des flux n’est pas activée, vous perdez une partie des capacités de votre firewall, qui pourrait en faire bien plus.
Solutions :
- Posez des questions à vos fournisseurs ou prestataires informatiques,
- Vérifiez les qualifications des personnes qui s’occupent de vos matériels et logiciels réseaux,
- Lisez la documentation des outils que vous avez.
Matériel ou logiciel bien activés et configurés, mais non utilisé
L’organisation n’en tire pas la valeur, par manque de temps. Prenons le cas de la plupart des solutions EDR ou XDR (Endpoint Detection and Response ou eXtended endpoint Detection and Response). Ces solutions remplacent les antivirus. Installées sur les postes, elles les protègent en détectant d’éventuels malware. Aujourd’hui, elles incluent des modules de gestion de vulnérabilités sur les postes et les scannent à la recherche de failles. Si vous n’avez pas le temps de lire le rapport et de mettre en place les actions pour corriger les vulnérabilités, vous payez pour des fonctionnalités que vous n’exploitez pas.
Je rencontre aussi le cas d’organisations qui ont délégué la gestion de la sécurité et l’analyse des alertes à un prestataire de service. Il s’agit des SOC managés (Security Operation Center). C’est une excellente façon de s’assurer de suivre et agir sur les alertes. Mais le SOC managé ne gère pas tout : vous recevez tous les mois un tableau de bord avec un rapport. Vous pouvez avoir des actions à poser, car elles ne sont pas incluses dans votre contrat de service.
Solutions :
- Listez les rapports que vous recevez
- Vérifiez que vous posez les actions conseillées
- Prévoyez du temps pour lire et poser les actions correctives.
Matériels ou logiciels redondants ou inutiles
Dans mon premier point, vous aviez des solutions avec des fonctionnalités non déployées. Dans ce troisième volet, le risque est d’acheter des solutions pour vos besoins, alors que vous payez déjà pour ! Ainsi la licence Microsoft E3 ou E5, choisies par de nombreuses organisations car très complète, contient beaucoup d’outils, en particulier Microsoft Endpoint Detection (un EDR) et InTune (un MDM – Mobile Device Management). Si vous manquez de connaissances sur cette plateforme (ou sur les outils que vous avez déployés) vous pourriez payer en double pour le même service.
Il y a également le problème des solutions gratuites contre les solutions payantes. Certains pensent que comme c’est gratuit, ça n’est pas sécuritaire, ce n’est pas toujours le cas, tout est question de configuration. Prenons l’exemple des gestionnaires de mots de passe. Disponibles gratuitement dans votre navigateurs, il faut les paramétrer correctement (avec un mot de passe avant de remplir automatiquement vos identifiants sur les sites). Que la solution soient payante ou gratuite, c’est la configuration qui assure son niveau de sécurité. Vous le savez bien : la porte blindée la plus résistante s’ouvrira en quelques secondes si la clé est sous le paillasson.
Économiser avec les solutions Open Source
Au global, les solutions Open Source, gratuites, ne font pas nécessairement faire des économie. En effet, elle requierent des personnes pour les installer et les exploiter qui ont plus de compétences techniques. Dans les petites structures, le personnel est souvent plus polyvalent et a un bon sentiment d’appartenance. Si vous avez une personne motivée et intéressée, vous pourriez investir dans sa formation plutôt que dans des solutiosn onéreuses. Vous pourriez même embaucher une personne, qui pourrait prendre en charge l’exploitation d’outil Open Source, le coût de la formation et de l’embauche sera couvert par les économies sur les licences. Faites vos calculs !
Gardez en tête que les solutions OpenSources sont moins communes. Si votre spécialiste quitte l’organisation, elle quitte avec son savoir. Il ets plus facile de recruter des personnes qui ont une connaissance des solutions commerciales. Et ces solutions sont plus faciles à reprendre en main également. La documentation des processus critiques est indispensable pour capitaliser sur le temps et la formation de votre équipe.
Améliorer les processus
Nous venons de voir que vous manquez sans doute de temps pour bien exploiter vos outils. En effet, la cybersécurité est un domaine vaste. Cette fonction a de nombreux processus, autant internes que transversaux. C’est toujours plus facile d’améliorer des processus internes, puisqu’ils ne concernent que votre équipe. Toutefois, les processus transversaux sont ceux sur lesquels il y a le plus de gains à effectuer.
Pour obtenir le maximum de résultats, regardez les processus qui vous prennent le plus de temps. Que fait votre équipe de ses journées ? Quelles sont les activités qui reviennent le plus souvent ou qui sont les plus longues ?
Si vous ne savez pas, vous pouvez demander à votre équipe de suivre son temps pendant une semaine. Une feuille de temps papier ou un batonnage du nombre d’actions posées par catégorie, un simple fichier Excel ou un outil en ligne de suivi de temps (time tracking) vous diront à quoi votre équipe passe son temps.
Ensuite, il ne vous reste plus qu’à analyser les étapes du processus et identifier comment mieux faire les choses.
Vous pouvez aussi effectuer une analyse dans les boites de messageries partagées où arrivent les demandes. Est-ce que vous recevez plusieurs messages pour la même demande ? Dans ce cas, vous pouvez améliorer l’information des utilisateurs, revoir le processus de priorisation des demandes ou d’organisation du travail et de l’équipe.
Est-ce qu’il y a des demandes de reprendre ou corriger des actions complétées ? Si c’est votre cas, vous devrez analyser pourquoi il y a eu une erreur. La demande était incomplète ou erronée, pourquoi ? En creusant, vous réduirez votre taux d’erreur et gagnerez du temps en faisant bon du premier coup !
Tirer parti des forces de votre équipe
Enfin, vous prendrez le pouls de votre équipe. Est-elle motivée, est-elle utilisée au meilleur de ses compétences ? Comment pourriez-vous répartir les tâches différemment ? Comment feriez-vous si une personne devait s’absenter sur une longue période ? Avez-vous documenté vos processus critiques ?
Vous pouvez avoir les meilleurs processus et les meilleurs outils du marché, si votre équipe ne sait pas les utiliser, alors ils ne servent à rien. Je recommande toujours d’investir en premier dans les personnes. En moyenne, les salaires représentent 35 à 50% de votre budget, et leur formation 4 à 5%
Pour améliorer, l’essentiel est de commencer. Vous n’avez pas besoin d’avoir tous les chiffres pour améliorer, par contre, ce sera utile pour mesurer vos progrès et vous assurez que vous faites les bonnes choses.