Embed Size (px)
Citation preview
Dominic Trott
Mars 2020 IDC #EUR146102020
IDC TOPLINE
Démontrer l'impact de la sécurité sur les résultats métier par l'efficacité opérationnelle
Une étude commanditée par
Démontrer l'impact de la sécurité sur les résultats métier par l'efficacité opérationnelle Introduction
La pression exercée sur les équipes de sécurité pour qu'elles contribuent à la réalisation des objectifs de l'entreprise se fait de plus en plus forte. Les responsables de la sécurité des systèmes d'information (RSSI) ont de plus en plus tendance à redéfinir le rôle et la valeur ajoutée de leurs équipes. En effet, auparavant experts techniques, ces effectifs sont aujourd'hui amenés à assurer une véritable fonction de support commercial en cohérence avec les priorités de l'entreprise, comme la réduction des coûts, la gestion des risques et la confiance dans le numérique.
Bien qu'il soit essentiel de démontrer la valeur et l'importance stratégique au quotidien de l'équipe de sécurité, opérer cette transformation est plus facile à dire qu'à faire. D'où l'intérêt de déterminer les qualités que doivent réunir les RSSI pour y parvenir. Les entretiens menés avec le panel de RSSI européens d'IDC ont permis de dégager deux grandes tendances :
Les RSSI doivent déjà posséder deux attributs« non négociables » :1. Des compétences techniques2. Une approche de planification systématique,
axée sur les contrôles, de la gestion desopérations de sécurité
Ils doivent en outre posséder une maîtrise desaffaires, et ce, dans différents domaines,notamment la communication, le renforcementdes relations, la finance et la gestion des risques.
Comme indiqué dans l'InfoBrief d'IDC et de McAfee Security Integration and Automation: The Keys to Unlocking Security Value (Intégration et automatisation de la sécurité : Les clés pour exploiter tout le potentiel de vos solutions de sécurité) (IDC n° EUR145302619), la perception de la sécurité connaît un changement positif. En effet, d'après l'enquête réalisée en 2019 par IDC sur les politiques en matière de sécurité (n = 702), 49 % des entreprises considéraient la sécurité comme un obstacle en 2017. Mais en 2019, 63 % estimaient qu'elle contribuait à procurer des gains d'efficacité ou un avantage concurrentiel à l'entreprise.
STATISTIQUES CLÉS
» La sécurité a déjà fait des progrès : 63 %des entreprises la considèrent comme unmoteur de croissance.
» La gestion intégrée de la sécurité peutpermettre à une équipe de gagner enmoyenne 2,8 jours de travail par semaine.
» L'intégration de la sécurité se traduitessentiellement par 1) une réponse plusrapide, 2) une réponse plus pertinente et3) un meilleur partage de la cyberveille surles menaces.
» 62 % des entreprises prévoient d'accroîtreleur utilisation de l'automatisation de lasécurité.
» 88 % conviennent que l'intégrationaméliore l'impact des initiativesd'automatisation de la sécurité.
» Les principaux avantages del'automatisation de la sécurité sont 1) uneplus grande efficacité, 2) un gain de tempset 3) des économies de coûts.
» Les priorités en matière d'automatisationde la sécurité sont 1) les mises à jourlogicielles, 2) la détection de menacesconnues, 3) la détection des charges detravail non conformes et 4) la mise enplace de nouvelles stratégies concernantles équipements et les charges de travail.
EN UN COUP D'ŒIL
IDC n° EUR146102020 Page | 2
Démontrer l'impact de la sécurité sur les résultats métier par l'efficacité opérationnelle
Les recherches d'IDC montrent une évolution de la sécurité en ce qui concerne l'élimination des perceptions négatives à son égard au sein de l'entreprise et révèlent que les RSSI doivent développer une série d'attributs particuliers. Mais quelles mesures pratiques peuvent être prises pour démontrer l'accomplissement de tels progrès ? Ce rapport vise à définir trois niveaux de maturité au regard desquels les équipes de sécurité pourront s'auto-évaluer. Il s'appuie en outre sur des recherches d'IDC pour démontrer de façon probante les avantages que peut offrir la sécurité à l'entreprise.
Plan directeur d'IDC pour la transformation de la sécurité
La sécurité a évolué en tant que discipline technique. Elle s'oriente vers le déploiement et l'intégration de nouvelles technologies en réponse à la découverte continue de vecteurs de menace et de vulnérabilités. Par conséquent, les opérations de sécurité ont tendance à être « orientées vers elles-mêmes ». Les indicateurs clés de performance (KPI) observés par les équipes de sécurité en sont sans doute la meilleure preuve.
Selon une enquête menée par IDC auprès de plus de 750 responsables de la sécurité en Europe, sur les 10 principaux indicateurs clés de performance en matière de sécurité qui prévalaient en 2019, tous sauf trois étaient axés sur des mesures de sécurité « classiques », telles que le nombre d'événements, le nombre de vulnérabilités connues et le délai moyen de détection / résolution des incidents.
Bien qu'importantes pour les équipes responsables des opérations de sécurité, ces questions n'ont pas grand intérêt pour les départements métier de l'entreprise. En conséquence, l'accent mis sur ces mesures contribue à perpétuer le statu quo qui consiste à se concentrer sur des améliorations progressives pour démontrer l'efficacité de la sécurité, plutôt que d'aligner cette dernière sur les objectifs de l'entreprise. D'après divers témoignages, cette approche est de nature à instaurer une culture qui considère la sécurité comme une fonction dissociée de l'entreprise.
Cette vue tranche avec l'évolution des réalités économiques qui s'appliquent à la sécurité. C'est particulièrement vrai lorsque l'on considère l'opportunité qui est offerte aux responsables de la sécurité de rehausser leur rôle et leur influence en démontrant que leur contribution peut effectivement être essentielle à la réalisation des objectifs de l'entreprise et du conseil d'administration.
Pour aider les équipes de sécurité et les RSSI à tirer parti de cette opportunité, IDC a élaboré un plan en trois étapes (voir la figure 1). Celui-ci vise à fournir une feuille de route aux équipes de sécurité qui souhaitent développer une approche de la sécurité davantage axée sur les résultats métier. Ce plan pourra également leur servir de référence et d'outil de comparaison par rapport aux autres acteurs du marché. N'oubliez pas que, d'après l'enquête menée par IDC auprès de plus de 750 responsables de la sécurité en Europe, 40 % du marché est au stade 1, 38 % au stade 2 et 22 % au stade 3.
IDC n° EUR146102020 Page | 3
Démontrer l'impact de la sécurité sur les résultats métier par l'efficacité opérationnelle
FIGURE 1 Plan directeur en trois étapes pour la transformation de la sécurité
Source : Étude d'IDC, 2020
Excellence opérationnelle en sécurité
FIGURE 2 Principaux inhibiteurs de l'amélioration des capacités de sécurité
Q. Par quoi votre aptitude à améliorer vos capacités de sécurité informatique est-elle limitée ? Veuillez attribuer une note à chaque proposition en sachant que 1 = aucune limite et 5 = très limitée. Les 2 principales réponses uniquement (les pourcentages représentent la proportion de participants ayant répondu 4 ou 5 pour chaque thème). Source : Étude d'IDC et de McAfee, 2019
Intégration
Pour les deux principaux inhibiteurs mentionnés ci-dessus, un élément qui ressort souvent est l'utilisation permanente d'environnements d'outils de sécurité fragmentés, constitués de solutions isolées qui ne fonctionnent pas bien ensemble. Le personnel de la sécurité passe alors
IDC n° EUR146102020 Page | 4
Démontrer l'impact de la sécurité sur les résultats métier par l'efficacité opérationnelle
tout son temps à intégrer et à gérer des outils de sécurité, sans pouvoir se concentrer sur des tâches à plus forte valeur ajoutée.
Il n'est pas surprenant que l'enquête européenne sur la sécurité réalisée par IDC en 2019 ait montré que la « sécurité unifiée » (qui consiste à rationaliser les environnements de produits de sécurité et à intégrer des produits tiers) constitue le principal critère pris en compte lors de la sélection de fournisseurs de sécurité. Mais au-delà de cela, il existe des preuves plus grandes de l'intérêt porté à l'intégration des produits de sécurité. Comme le montre l'InfoBrief d'IDC et de McAfee, l'intégration procure plusieurs avantages :
L'utilisation d'un système intégré de gestion de la sécurité peut permettre à une équipe de sécurité de gagner en moyenne 2,8 jours de travail par semaine (5,6 ETP travaillant 37,5 heures par semaine).
Interrogés sur les principaux avantages opérationnels attendus d'un environnement de sécurité intégré, les répondants ont principalement cité dans l'ordre : une réponse plus rapide (36 %), une réponse plus efficace (35 %) et un meilleur partage de la cyberveille sur les menaces (29 %).
Une approche de bout en bout de la gestion de la sécurité est quatre fois plus susceptible que les approches ponctuelles en la matière de donner à l'entreprise le sentiment que sa sécurité informatique est en avance par rapport à celle de ses homologues.
Automatisation
FIGURE 3 Principaux résultats attendus de l'automatisation de la gestion de la sécurité
Q. Pourquoi avez-vous l'intention de maintenir / d'accroître votre niveau actuel d'utilisation de l'automatisation de la gestion de la sécurité ? Source : Étude d'IDC et de McAfee, 2019
Une plus grande intégration des environnements de sécurité offre aux entreprises l'occasion d'améliorer l'efficacité de l'automatisation de leurs tâches et processus de sécurité. Cependant, nos recherches indiquent qu'il est important de combiner ces deux concepts, l'automatisation contribuant à amplifier les avantages de l'intégration. Comme nous l'avons mentionné dans notre InfoBrief, 62 % des entreprises prévoient d'accroître leur utilisation de l'automatisation de la sécurité et elles sont 88 % à convenir que l'intégration améliorera l'impact des initiatives d'automatisation de la sécurité.
Comme dans le cas de l'intégration, nos recherches montrent que plusieurs avantages stratégiques peuvent être ciblés par l'automatisation de la sécurité. Il est intéressant de noter — même si ce n'est sans doute pas surprenant — que ceux-ci prennent le pas sur des attentes plus « traditionnelles » (qui concernent les aspects techniques ou les opérations de sécurité)
IDC n° EUR146102020 Page | 5
Démontrer l'impact de la sécurité sur les résultats métier par l'efficacité opérationnelle
lorsque l'on s'intéresse aux facteurs qui poussent les entreprises à accroître leur utilisation de l'automatisation de la sécurité. Les quatre priorités en matière d'automatisation sont illustrées à la figure 3.
FIGURE 4 Tâches visées en priorité en matière d'automatisation de la gestion de la sécurité
Q. Quels sont vos axes prioritaires en matière d'automatisation des tâches de gestion de la sécurité ? Source : Étude d'IDC et de McAfee, 2019
Si ce sont là les principaux arguments en faveur de l'automatisation, il faut maintenant s'intéresser aux domaines auxquels les appliquer. Les quatre thèmes prioritaires qui ressortent de notre étude sont présentés à la figure 4.
Externalisation
Comme indiqué dans l'InfoBrief d'IDC et de McAfee, il existe différents stades de maturité en matière de déploiement d'outils d'automatisation des solutions de sécurité. Cette échelle de maturité va de l'utilisation d'approches ponctuelles à la mise en place de suites de bout en bout. Si chaque entreprise y trouvera sa place, il est généralement possible de faire appel à des spécialistes tiers pour profiter des avantages de l'intégration et de l'automatisation. Les entreprises doivent toutefois être conscientes qu'il y a des défis à prendre en compte lors du lancement de telles initiatives.
Les équipes de sécurité et les responsables des achats doivent veiller à éviter, ou tout au moins à atténuer, le risque de dépendance vis-à-vis des fournisseurs par le biais de projets d'intégration et d'automatisation. Les principes tels que la « sécurité unifiée » visant l'adoption de technologies qui fonctionnent de concert et la rationalisation des environnements de produits de sécurité par l'intégration tierce sont essentiels aux propositions de valeur de la plupart des fournisseurs de solutions de sécurité. Cependant, les responsables des achats doivent interroger les fournisseurs potentiels sur la manière dont ces concepts profitent à l'utilisateur, plutôt que de gonfler leurs ventes croisées.
IDC recommande aux équipes de sécurité et aux responsables des achats d'évaluer les partenaires potentiels sur la base de trois critères clés :
Premièrement, les fournisseurs de sécurité doivent indiquer dans quelle mesure les produits de leur gamme fonctionnent harmonieusement les uns avec les autres.
Deuxièmement, ils doivent au minimum montrer comment leurs propres solutions s'intègrent pour fonctionner en synergie comme un tout.
IDC n° EUR146102020 Page | 6
Démontrer l'impact de la sécurité sur les résultats métier par l'efficacité opérationnelle
Troisièmement, bien que cela semble aller de soi, la consolidation du marché consécutive aux fusions et acquisitions implique qu'une expérience d'intégration « native » n'est pas toujours disponible.
La réalité du marché des produits de sécurité fait qu'aucun fournisseur ne peut à lui seul répondre à tous les besoins de ses clients. En d'autres termes, les environnements de produits de sécurité sont par nature multifournisseur. Par conséquent, les responsables des achats doivent demander aux fournisseurs des explications concernant l'approche qu'ils utilisent pour gérer l'intégration avec des produits tiers. Au strict minimum, les fournisseurs doivent démontrer comment ils ont ouvert leurs produits à l'intégration par le biais d'API et proposer une interface permettant aux responsables des achats (ou à leurs partenaires intégrateurs système) de se faire une idée du fonctionnement conjoint de leurs outils.
Dans un monde idéal, les fournisseurs seraient en mesure d'aller plus loin et de faire la démonstration d'« intégrations natives », au moins avec leur partenaire le plus stratégique dans des segments de marché connexes ou contigus. Cependant, compte tenu de la complexité et de la diversité du paysage des fournisseurs de produits de sécurité, il est plus réaliste de demander à évaluer leur engagement envers des normes ouvertes. En raison de la diversité du marché — et même de la gamme d'un même fournisseur —, les normes ouvertes et les communautés d'intégration comptent parmi les options les plus efficaces pour permettre une expérience d'intégration « unifiée et centralisée », tout en limitant le risque de dépendance vis-à-vis d'un fournisseur.
Conclusion
Il apparaît clairement que les équipes de sécurité, et en particulier les responsables de la sécurité, doivent comprendre et démontrer leur impact sur les résultats métier afin de renforcer leur influence dans l'ensemble de l'entreprise. Bien que le plan directeur d'IDC pour la transformation de la sécurité montre que la réalisation de cet objectif passe par diverses méthodes et différents niveaux de maturité, pour la plupart des entreprises, viser l'excellence opérationnelle dans leur environnement de sécurité constitue le meilleur choix.
Les trois piliers essentiels à la réussite d'un programme de transformation de la sécurité au service de l'excellence opérationnelle sont l'intégration, l'automatisation et l'externalisation. Des données probantes montrent que celles-ci offrent de belles perspectives de résultats en matière de réduction des coûts, d'amélioration de l'efficacité opérationnelle, de gain de temps et de rétention / productivité du personnel.
Pour plus d'informations sur la manière d'obtenir ces avantages, consultez l'InfoBrief d'IDC et de McAfee Security Integration and Automation: The Keys to Unlocking Security Value (Intégration et automatisation de la sécurité : Les clés pour exploiter tout le potentiel de vos solutions de sécurité) (IDC n° EUR145302619).
À propos de l'analyste
MESSAGE DU COMMANDITAIRE DE L'ÉTUDE
Il ne fait aucun doute que la transformation de la sécurité est un sujet brûlant et que renforcer l'intégration et
l'automatisation peut contribuer à améliorer l'excellence opérationnelle dans la plupart des environnements.
Cependant, tirer parti des avantages de l'intégration et ou de l'automatisation est plus compliqué qu'il n'y paraît.
Les entreprises doivent collaborer avec des fournisseurs qui adoptent des normes ouvertes et s'attachent
activement à proposer une approche fondée sur une plate‐forme pour les solutions de sécurité, tout en veillant à
ce que cette plate‐forme n'entraîne pas un enfermement propriétaire ou une dépendance vis‐à‐vis de lui qui
obligent à lui acheter sans cesse d'autres solutions, et rien d'autre. Aucun fournisseur n'est à même d'offrir la
solution idéale pour tous les marchés contigus. C'est donc à vous qu'il revient de déterminer comment obtenir la
meilleure solution en évaluant les différents fournisseurs et en vous assurant qu'elle s'intègre au reste de votre
environnement de sécurité. L'idéal serait d'acquérir une console de gestion unique offrant une parfaite visibilité
sur l'ensemble de vos solutions tout en centralisant leur configuration.
Pour en savoir plus, nous vous invitons à lire le rapport complet d'IDC et de McAfee, à l'adresse
http://www.mcafee.com/epo‐idc‐research.
Dominic Trott, directeur de recherche, Sécurité et confidentialité en Europe
Dominic Trott est directeur de la recherche dans le domaine de la sécurité et de la confidentialité pour l'Europe chez IDC. Outre la gestion de cette équipe d'analystes, il dirige le programme européen IDC de communication destiné aux RSSI, préside le Comité consultatif européen des RSSI d'IDC et le panel européen de la plate-forme de communauté des RSSI. Dominic Trott se concentre sur les principaux enjeux auxquels sont confrontés les professionnels européens de la sécurité, notamment l'évolution du rôle du RSSI, la sécurité à l'appui des résultats métier, une sécurité plus efficace par l'intégration, l'automatisation et l'orchestration, ou encore l'avenir de la confiance.
À propos d'IDC
International Data Corporation (IDC) est le leader mondial des études de marché, des services de conseil et de l'organisation d'événements pour les marchés des technologies de l'information, des télécommunications et des technologies grand public. IDC aide les professionnels de l'informatique, les cadres et les investisseurs à prendre des décisions étayées par des données factuelles en matière d'achats technologiques et de stratégie d'entreprise. Répartis dans plus de 110 pays, 1 100 analystes mobilisent leur expertise au niveau mondial, régional et local pour étudier les tendances et les opportunités sectorielles et technologiques à travers le monde. Depuis 50 ans, IDC apporte à ses clients un éclairage stratégique afin de leur permettre d'atteindre leurs objectifs. IDC est une filiale d'IDG, leader mondial des médias, de la recherche et de l'événementiel dans le domaine des technologies.
IDC Royaume-Uni 5th Floor, Ealing Cross, 85 Uxbridge Road Londres W5 5TH, Royaume-Uni + 44 208 987 7100 Twitter : @IDC idc-community.com www.idc.com
Siège mondial 5 Speen Street, Framingham, MA 01701 États-Unis P.508.872.8200 F.508.935.4015 www.idc.com
Restrictions en matière de droits d'auteur
Toutes informations ou références relatives à IDC et utilisées dans des messages publicitaires, des communiqués de presse ou des supports promotionnels nécessitent l'autorisation écrite d'IDC. Pour introduire une demande d'autorisation, contactez le service des solutions personnalisées au +1 508-988-7610 ou le service des autorisations à l'adresse [email protected]. La traduction et/ou la localisation de ce document exige l'octroi de droits de licence par IDC. Pour en savoir plus sur IDC, rendez-vous sur www.idc.com. Pour plus d'informations sur le service des solutions personnalisées d'IDC, consultez la page http://www.idc.com/prodserv/custom_solutions/index.jsp.
Copyright 2020 IDC. Tous droits réservés. Toute reproduction est interdite sauf autorisation.
