Bien qu’il y ait une plus grande sensibilisation aux menaces de cybersécurité que jamais auparavant, il devient de plus en plus difficile pour les services informatiques de faire approuver leurs budgets de sécurité. Les budgets de sécurité semblent diminuer chaque année et les professionnels de l’informatique sont constamment invités à faire plus avec moins. Même ainsi, la situation n’est peut-être pas désespérée. Il y a certaines choses que les professionnels de l’informatique peuvent faire pour améliorer les chances d’obtenir l’approbation de leurs budgets de sécurité.

Présenter le problème de manière convaincante

Si vous souhaitez faire approuver votre budget de sécurité proposé, vous devrez présenter les problèmes de sécurité de manière convaincante. Alors que ceux qui sont en charge des finances de l’organisation sont probablement conscients de la nécessité d’une bonne sécurité, ils ont probablement aussi vu suffisamment d’exemples de « solution de sécurité à la recherche d’un problème » pour les rendre sceptiques quant aux demandes de dépenses de sécurité. Si vous voulez persuader ceux qui contrôlent l’argent, vous devrez les convaincre de trois choses :

1. Vous essayez de vous protéger contre un problème réel qui présente une menace crédible pour le bien-être de l’organisation.
2. Votre solution proposée sera efficace et qu’il ne s’agit pas simplement d’un « nouveau jouet avec lequel le service informatique peut jouer »
3. Votre demande de budget est à la fois réaliste et justifiée.

Utilisez les données à votre avantage

L’un des meilleurs moyens de convaincre les responsables qu’il existe une cybermenace crédible contre l’organisation est de leur fournir des mesures quantifiables. N’ayez pas recours à la collecte de statistiques sur Internet. Le personnel financier de votre organisation est probablement assez intelligent pour savoir que la plupart de ces statistiques sont fabriquées par des sociétés de sécurité qui essaient de vendre un produit ou un service. Au lieu de cela, rassemblez vos propres métriques à l’intérieur de votre organisation en utilisant des outils téléchargeables gratuitement.

Specops, par exemple, propose un vérificateur de mots de passe gratuit qui peut générer des rapports démontrant l’efficacité de la politique de mot de passe de votre organisation et les vulnérabilités de sécurité des mots de passe existantes. Cet outil gratuit peut également vous aider à identifier d’autres vulnérabilités, telles que les comptes qui utilisent des mots de passe connus pour avoir été divulgués ou des mots de passe qui ne respectent pas les normes de conformité ou les meilleures pratiques de l’industrie.

Exemple de résultats Specops Password Auditor dans un environnement Active Directory

Bien sûr, ce n’est qu’un des nombreux outils de sécurité gratuits disponibles en téléchargement. Dans tous les cas, il est important d’utiliser des métriques au sein de votre propre organisation pour démontrer le fait que le problème de sécurité que vous essayez de résoudre est réel.

Mettre en évidence ce qu’une solution ferait

Une fois que vous avez démontré le problème aux responsables des finances de l’organisation, ne commettez pas l’erreur de les laisser deviner comment vous comptez résoudre le problème. Soyez prêt à expliquer clairement quels outils vous prévoyez d’utiliser et comment ces outils résoudront le problème que vous avez démontré.

C’est une bonne idée d’utiliser des visuels pour démontrer le caractère pratique de la solution que vous proposez. Assurez-vous d’expliquer comment le problème est résolu dans un langage non technique et étoffez votre argumentation avec des exemples spécifiques à votre organisation.

Temps estimé de mise en œuvre et résultats visibles

Nous avons probablement tous entendu des histoires d’horreur sur des projets informatiques qui ont déraillé. Les organisations dépensent parfois des millions de dollars et investissent des années de planification dans des projets informatiques qui ne se matérialisent jamais. Cela étant, il est important de rassurer tout le monde en leur montrant exactement combien de temps il faudra pour que votre solution proposée soit opérationnelle, puis combien de temps supplémentaire sera nécessaire pour atteindre le résultat souhaité.

Lorsque vous faites ces projections, veillez à être réaliste et à ne pas faire de promesses basées sur un calendrier de mise en œuvre trop ambitieux. Vous devez également être prêt à expliquer comment vous êtes arrivé à votre projection. Gardez à l’esprit les projets à venir, les objectifs à l’échelle de l’entreprise et les idéaux de l’année fiscale lors de la prise en compte du calendrier.

Démontrer les économies estimées

Bien que la sécurité soit bien sûr une préoccupation pour la plupart des organisations, ceux qui sont en charge des finances d’une organisation veulent généralement voir une sorte de retour sur investissement. En tant que tel, il est important de considérer comment la solution que vous proposez pourrait faire économiser de l’argent à l’entreprise. Voici quelques idées :

• Gain de temps au service informatique, réduisant ainsi le nombre d’heures supplémentaires travaillées
• Éviter une pénalité réglementaire qui pourrait coûter très cher à l’organisation
• Faire baisser les primes d’assurance parce que les données sont mieux protégées

Bien sûr, ce ne sont que des idées. Chaque situation est différente et vous devrez réfléchir à la façon dont votre projet de sécurité peut produire un retour sur investissement compte tenu de votre situation particulière. Il est important d’inclure un élément de réduction des coûts pour des raisons de clarté, même s’il est citant le coût moyen d’une violation de données dans votre industrie.

Montrez que vous avez fait vos devoirs avec une comparaison de prix

Lorsque vous présentez la solution que vous proposez, les parties prenantes sont presque certaines de vous demander s’il existe un produit moins coûteux qui permettrait d’atteindre vos objectifs. En tant que tel, il est important de passer du temps à rechercher les solutions proposées par les fournisseurs concurrents. Voici quelques éléments que vous devriez être prêt à démontrer :

• Le coût total de mise en œuvre de chaque solution potentielle (cela peut inclure les frais de licence, de main-d’œuvre, d’assistance et de matériel)
• Pourquoi vous proposez une solution particulière même si ce n’est pas la moins chère
• Si votre solution est la moins chère, soyez prêt à expliquer ce que vous pourriez abandonner en utilisant le fournisseur le moins cher.
• Ce que chaque fournisseur propose par rapport aux autres

Quelques conseils rapides

Lorsque vous faites votre argumentaire budgétaire, gardez à l’esprit que ceux à qui vous présentez ont probablement une compréhension limitée des concepts informatiques. Évitez d’utiliser un jargon technique inutile et soyez prêt à expliquer clairement les concepts clés, mais sans paraître condescendant dans le processus.

Il est également judicieux d’anticiper toutes les questions qui pourraient vous être posées et d’avoir des réponses à ces questions prêtes à l’emploi. Cela est particulièrement vrai s’il y a une question particulière qui vous met un peu mal à l’aise.

Présentez vos informations clairement, en toute confiance et de manière concise (c’est-à-dire, soyez rapide !) afin de pouvoir défendre votre cause sans perdre de temps.