Nous aimons recevoir les commentaires des lecteurs. L’un de nos lecteurs a récemment laissé ce qui suit dans un article sur la mise en place d’un plan de cybersécurité :

« Quelle est selon vous une bonne formule pour déterminer le budget de la cybersécurité? Est-ce uniquement basé sur le coût du piratage? Je travaille dans une entreprise d’environ 50 employés – je ne pense pas vraiment que je puisse dépenser 100 000 dollars par an pour un administrateur informatique + des outils de cybersécurité (nous ne sommes pas une entreprise informatique).

– Brian

Nous avons pensé que c’était une question intéressante que beaucoup d’autres entreprises pourraient se poser. Plutôt que de le laisser dans la section des commentaires, nous avons décidé d’en faire un article. Alors, qu’est-ce qui est approprié pour les dépenses en cybersécurité et la budgétisation d’une petite entreprise? Ou toute autre entreprise d’ailleurs?

400 000 000 $ par année…?

Que diriez-vous de 400 millions de dollars? Ce serait un bon chiffre… Si vous étiez Bank of America. Dans une récente entrevue, le PDG Brian Moynihan a déclaré que son entreprise dépenserait ce montant en cybersécurité. Cela peut sembler beaucoup, mais ce n’est vraiment pas si élevé. Que vous regardiez leurs chiffres de 2016, qu’il s’agisse d’actifs (2 billions de dollars, ce qui signifierait 400 millions de dollars de dépenses, soit l’équivalent de 0,02%), d’actions (266 milliards de dollars ou 0,15%) ou même de revenus (89 milliards de dollars ou 0,45%), c’est un pourcentage assez faible pour protéger le deuxième plus grand prêteur des États-Unis.

Bien qu’il n’y ait pas de « règle empirique » conventionnellement acceptée sur le pourcentage des revenus ou du budget informatique à consacrer à la sécurité. Cela dit, bon nombre des plus grandes entreprises qui annoncent leurs budgets de cybersécurité comme un point de fierté (comme Bank of America ou JP Morgan Chase) ne dépensent encore qu’environ 0,5 à 1% de leurs revenus pour leurs coûts associés. Il s’agit d’une petite partie des 4 à 6% des revenus que la plupart des petites et moyennes entreprises consacrent aux TI, la fourchette généralement recommandée par le magazine CIO et d’autres. Si cela était vrai pour des entreprises comme Bank of America et JP Morgan Chase, les coûts de cybersécurité équivaudraient généralement à

Au niveau de l’entreprise, cependant, ces dépenses globales en TI peuvent varier considérablement d’un secteur à l’autre, en fonction de la sophistication des systèmes informatiques d’une entreprise et de la composition de ses revenus. Selon Gartner, les logiciels, l’édition et les services Internet peuvent consacrer jusqu’à 7,6% de leurs revenus en TI, avec des chiffres similaires s’appliquant aux services bancaires et financiers, tandis que les entreprises de fabrication industrielle, de vente au détail et de gros, de produits chimiques, d’énergie et de construction (avec des revenus bruts généralement plus élevés et des marges bénéficiaires plus faibles, mais stables) dépensent 1 à 2% en TI dans l’ensemble.

Les économies d’échelle profitent grandement à ces entreprises, alors lorsque vous envisagez la cybersécurité, pensez également à la valeur globale de vos données et de vos communications. Si vous orchestrez de gros virements bancaires et envoyez des informations aux clients par courriel, par exemple, vous voudrez peut-être une protection avancée contre les menaces avec cryptage et archivage – des systèmes plus coûteux mais finalement avantageux – tandis que si vous êtes une grande organisation avec de nombreuses boîtes de réception mais plus axées sur le travail manuel ou les actifs tangibles, le filtrage des pourriels et un antivirus pour terminaux peuvent suffire.

Tout dépend de « ça »

Ne connaissant pas les revenus ou le secteur d’activité d’une entreprise, il est difficile de dire si le chiffre de 100 000 personnes cité est raisonnable, mais à titre d’exemple, la protection de base des courriels contre l’hameçonnage ciblé et d’autres menaces de sécurité courantes pour une entreprise de moins de 50 utilisateurs ne devrait pas coûter plus de quelques milliers de dollars par an. Cela les protégerait des principales menaces de sécurité et de courriel auxquelles votre entreprise est confrontée. Si vous n’avez pas les ressources nécessaires pour un administrateur informatique interne, un fournisseur de services gérés (MSP) peut vous soutenir et vous aider à gérer vos systèmes sans encourir les coûts qu’un employé à temps plein pourrait assumer.

Ils doivent également être en mesure d’effectuer des mises à jour logicielles régulières et d’autres activités qui aident à renforcer la sécurité dans votre travail quotidien, à prévenir l’exploitation des menaces nouvellement découvertes et à servir de point de référence pour vos employés lorsque quelque chose de « phishing » survient. Bien que la plupart des entreprises obtiennent toujours plus de valeur et d’engagement de la part des spécialistes informatiques internes, avec un MSP, vous pouvez payer une majoration par rapport à un salaire horaire, mais vous ne payez également que pour les services que vous obtenez (et rien de plus).

[cta id= »18654″]

Les questions importantes à poser

En fin de compte, lorsque vous établissez votre budget, au-delà d’une simple équation de ce que vous devriez dépenser, il y a des questions plus importantes à se poser.

Quel est le risque de baisse?

Si vous travaillez dans un secteur fortement réglementé comme la banque ou les soins de santé, vous devez déterminer combien vous devez dépenser pour vous assurer d’avoir une sécurité suffisamment impénétrable et conforme. C’est toujours choquant chaque fois que nous entendons parler d’une violation d’Equifax ou d’un autre fournisseur de soins de santé, et nous sommes souvent biaisés en faveur de la confiance et de la protection de la vie privée lorsque la probabilité que ces valeurs soient correctement protégées change rapidement.

Votre première étape serait probablement d’embaucher un consultant et de déterminer le strict minimum que vous devez dépenser pour vous assurer d’avoir un plan solide. Même obtenir un deuxième ou un troisième avis pourrait être utile, car les fournisseurs concurrents peuvent vous permettre de voir ce qui est vraiment nécessaire – et qui peut essayer de facturer plus que nécessaire. Si vous obtenez des réponses similaires de chacun des fournisseurs à qui vous parlez, vous êtes probablement sur la bonne voie.

Quels sont vos incontournables?

La sécurité des courriels, les pare-feu, les antivirus, les assurances, le chiffrement (selon la réglementation et les informations partagées), les sauvegardes, les archives et plus encore peuvent tous être « configurés et oubliés »). Vous devrez embaucher un MS(S)P ou un autre consultant pour gérer le tout. À un moment donné, il sera peut-être judicieux d’embaucher quelqu’un à temps plein et d’aider à former et à sensibiliser votre équipe. Dressez un inventaire ou une liste de contrôle de vos besoins et essayez de réfléchir à ceux que vous devriez traiter le plus rapidement et ceux qui peuvent attendre d’avoir suffisamment de ressources. Si vous ne pouvez pas le faire vous-même, demandez à quelqu’un de votre équipe de prendre le temps de rechercher différentes options, de trouver des outils qui répondent à vos besoins – n’essayez pas de changer votre modus operandi pour l’adapter aux produits. Ensuite, parlez à votre MSP ou à votre consultant en TI pour qu’il vous installe et gère vos nouvelles solutions.

Un budget de cybersécurité et de sécurité des courriels qui vous convient.

Chez Vircom, nous ne sommes pas une entreprise énorme. Nous sommes confrontés aux mêmes défis que nos clients. Comme toujours, les décisions que nous prenons visent à réduire les risques suffisamment efficacement pour créer une réelle tranquillité d’esprit – et nous savons où émergent bon nombre des dernières menaces. Un plan de cybersécurité doit couvrir tous vos besoins de base, s’adapter à votre façon de travailler et à celle de votre équipe et vous permettre de dormir la nuit. Il n’est pas nécessaire de se ruiner.