Ha la question à 1M$ ...
Si vous lisez cet article c'est probablement que vous sentez peser sur vos épaules le poids de la lourde tâche qui vous a été confiée à savoir : Veiller à la sécurité de l'information de votre boite, et idéalement le prouver avec l'obtention d'une certification de sécurité - ha et puis aussi parceque votre plus grand client du CAC40 vous a annnoncé que "sans cette certif' ils risquaient de devoir revoir les termes de la collaboration"
-Et bah Mazette !
Alors en bon gestionnaire, vous vous interrogez sur le coût que tout ceci va représenter et nous ne pouvons que vous en féliciter.
Alors point d’attente inutile : Une certification de sécurité (peu importe laquelle) coûtera aussi cher que le budget que vous y consacrerez 🤷 (et à l’€ près en plus)
Une fois rappelé ce constat de base, essayons de voir ensemble ce qui se cache derrière un coût de certification.
Le coût interne
Gardez en tête qu’une certification n’est pas un projet avec un début et une fin : c’est une activité à part entière que vous allez créer dans votre organisation. Au même titre que vous possédez un service technique, un service RH, une équipe communication etc, nous possédez dorénavant une activité de sécurité (voire de conformité).
Alors bien entendu, il est d’usage que dans un premier temps, cette activité soit portée par un initiateur du projet (souvent le CTO, parfois le CEO) mais cette configuration parait peu tenable à long terme.
L’agenda d’un CTO dans une jeune pousse de la tech ressemble à s’y méprendre avec un agenda de ministre alors imaginez celui du CEO.
Difficile alors de lui demander de procéder à l’ensemble des contrôles ou implémentations requises par n’importe quel référentiel de sécurité. En outre, le pilotage d’une gouvernance de la sécurité requiert un profil pluridisciplinaire capable d’interpréter un contrat avec un juriste d’un oeil et valider une approche d’analyse des menaces cyber avec l’architecte technique de l'autre.
Il y'a fort à parier que vous ayez rapidement besoin de staffer ces compétences soit auprès de vos ressources actuelles ou en embauchant. Ce coût n’est pas neutre et il doit être considéré dès le début du projet pour en garantir la pérennité à long terme.
👉 Si on devait parler chiffre, je dirai que le management correct un système de management/gouvernance de la sécurité de l’information et de protection de la donnée personnelle requiert a minima 3 jours par semaine uniquement pour la phase d'implémentation mais peut également tout à fait être piloté à plein temps (ce n'est pas le travail qui manque en la matière).
L’outillage
Si vous avez lu les autres articles du blog vous aurez compris que la sécurité de l’information se joue à tous les niveau de votre entreprise. Aucune équipe ne saurait être tenue à l’écart d’un tel enjeu. Le volume de data échangées est considérable! Il devient très difficile pour ne pas dire impossible de veiller correctement au grain et assurer le même niveau de sécurité partout en toutes circonstances.
Un exemple très concret : Contexte — > Les startups que nous accompagnons utilisent en moyenne entre 5et 6 applications SAAS pour leurs activités (RH, Sales, Product, U/X et j’en passe). Pour les grands comptes c’est entre 10 et 30. Exigence —> Peu importe le référentiel que vous choisirez, on vous demandera d’avoir le contrôle complet sur les journaux d’évènements, des les protéger, de les analyser et d’alerter les bonnes personnes en cas de problème. Problématique —> Pensez vous qu’on puisse demander à votre CTO ou CEO de procéder à l’ensemble des revues manuellement en se connectant sur chaque application à intervalle (très) régulier ? Vous avez 2 h.
Et cerise sur le gâteau : cette exigence n’en est qu’une parmi des centaines d’autres…
Comme dirait Bernard “Te casse pas on a compris” (si t’a pas la ref tant pis pour toi 👉)
Aucun être humain n’est capable de gérer un tel volume d’informations correctement, vous n’aurez pas le choix il faudra vous outiller pour vous protéger.
La technologie doit (re)devenir l’alliée des entreprises , non plus sa Némésis.
L’innovation en la matière est partout et tout le temps, restez attentifs aux tendances - mais ne tombez pas trop vite dans certains pièges marketing (comme celui-ci).
Dotez votre entreprise de la meilleure technologie possible au service de votre sécurité car elle vous aidera de manière extrêmement concrète. (Ca ne vous viendrait pas à l'idée de freiner avec les pieds dans votre voiture 🤷)
Imaginez vous une seconde que vous ayez le choix entre :
Un avion flambant neuf, confortable, économe
Un vieux zinc rouillé, sale, sans siège et qui consomme le PIB du Niger en kérosène.
Dans lequel des deux vous sentiriez-vous le plus en sécurité ?
Le deal est simple : Dessinez votre propre avion !
L’accompagnement
Il est souvent le poste de dépense qui fait le plus peur aux organisations car il est réputé souvent dispendieux. Et que le monde ténébreux des cabinets de conseils et autres ESN aiguiserait les plus vils appétits et instincts : Spoiler alert👇
Tout ceci est absolument vrai !
L’idée ici n’est pas de stigmatiser une profession, mais s’agissant d’un marché aussi dynamique que la cybersécurité, l’accompagnement s’est fortement développé et la demande est immense. Donc certains petits malins ont saisi le filon et aucun marché au monde n’est à l’abri d’escrocs ou simplement d’incompétents ou parfois les 2 à la fois.
Heureusement il existe un écosystèmes de professionnels qualifiés, qui vous apporteront une véritable aide pour gagner du temps.
Votre choix sera déterminant et le critère principal de sélection (avant même le budget) devra être avant tout la confiance que vous porterez à cette structure dans sa capacité à vous faire atteindre vos objectifs de sécurité, peu importe leur nature. La certification deviendra alors une conséquence positive d'une démarche au service de votre organisation.
Alors vous vous demandez peut être : “Ok mais concrètement j’ai besoin de combien de jours d’accompagnement pour ma certif?” - Sur une première année comptez une petite quarantaine de jours d’accompagnement pour la mise en oeuvre initiale/implémentation d’un système de management qui couvre à la fois la sécurité de l’information (type ISO27001, SOC 2 CC ) et la protection de la vie privée (RGPD, ISO27701, SOC 2 Privacy).
Le coût interne (encore??)
Hé oui navré, encore…
Comme indiqué un peu plus haut, la sécurité de l’information se joue à tous les niveaux de l’entreprise. L’information est partout tout le temps. On la crée, on la partage, on la modifie, on la détruit, on la valorise, on l’analyse bref on est plongé dedans et entouré au quotidien.
Tout est information.
Mettre en oeuvre un système capable de les protéger, en tenant compte du caractère protéiforme de leur nature, va nécessiter d’en comprendre les principaux flux et d’adapter les solutions en conséquence. Il faudra être vigilant et être attentif au quotidien.
Pour cela il n’ya pas le choix : il faudra nécessairement impliquer les gens aux manettes de ces flux et processus pour participer à l’élaboration de la posture de sécurité et SURTOUT pour l’appliquer.
Là encore ce coût direct & indirect devra être intégré a l’élaboration budgétaire du projet.
En chiffre, Comptez environ 2 jours par mois à consacrer à ce sujet autant sur la phase d’implémentation que sur la phase d'exploitation pour chacun de vos managers opérationnels.
En conclusion
L’enjeu de ce type de projet consiste à créer un réflexe de vigilance au sein de votre entreprise, à tous les échelons et sur tous vos métiers.
Penser que l’on peut se certifier sur de tels référentiels sans que cela se voit est une erreur d’appréciation gravissime, mais surtout un non sens. C'est tout le contraire qui est visé !
Alors certes, des âmes chagrines pourraient prétendre faire illusion face à un auditeur ou un client mais guère plus.