La salle de conseil d’administration : une machine qui pilote la stratégie d’entreprise et façonne l’avenir de l’entreprise. Une telle force nécessite cohésion et alignement, mais les silos existent encore aujourd’hui. L’une des plus grandes divisions se situe entre le directeur financier et le directeur de l’information.
Les directeurs financiers, gardiens des résultats financiers, sont motivés par la rentabilité, tandis que les directeurs informatiques sont chargés d’atteindre les objectifs technologiques visant à améliorer l’efficacité opérationnelle, ainsi que de traduire le langage complexe de la sécurité numérique au conseil d’administration. Pendant des années, ces deux cadres supérieurs se sont côtoyés avec un engagement relativement limité.
Mais désormais, le paysage exige une collaboration. Les menaces qui pèsent sur les actifs des entreprises augmentent et les méthodes d’attaque sont de plus en plus sophistiquées. Les DSI ont besoin d’outils et de technologies pour suivre le rythme, mais cela nécessite une adhésion totale de l’entreprise. Le problème est que si le directeur financier et les autres dirigeants du conseil d’administration ne sont pas conscients du niveau de risque, des frictions peuvent survenir.
Centre de coûts ou catalyseur – définition de la cybersécurité
Historiquement, le CFO considérait le CIO comme un centre de coûts. Ils ne sont pas considérés comme des générateurs de revenus et ils disposent de gros budgets technologiques qui ponctionnent des ressources qui pourraient être mieux investies ailleurs. Un directeur financier roulait souvent des yeux lorsque le directeur informatique lui demandait un autre morceau de technologie.
La racine du problème réside dans le manque de communication entre les deux parties. Trop souvent, les DSI ont du mal à présenter des arguments commerciaux en faveur d’un investissement dans l’infrastructure de sécurité informatique dans des termes qui trouvent un écho auprès de leurs homologues financiers.
D’un autre côté, les directeurs financiers considèrent traditionnellement la cybersécurité comme une préoccupation opérationnelle plutôt que comme un impératif stratégique. Ils ne comprennent peut-être pas pleinement comment les vulnérabilités des actifs numériques de l’entreprise pourraient entraîner des pertes financières, un vol de propriété intellectuelle ou une érosion de la confiance des clients – il existe souvent l’hypothèse sous-jacente selon laquelle « cela ne nous arrivera pas tant qu’une violation ne se produira pas ».
Mais cette perception est en train de changer. Il est de plus en plus largement admis que la sécurité numérique est un catalyseur, un investissement, quelque chose qui apporte une véritable valeur commerciale, même si vous n’en êtes pas témoin tous les jours.
À la suite d’une attaque, l’investissement dans une technologie de récupération entraîne non seulement un coût important, mais il faut également prendre en compte l’impact potentiel sur la marque, qui affecte en fin de compte le contrôle financier global de votre organisation.
Pour atténuer ces risques, le DSI doit être chargé d’élaborer et d’exécuter une stratégie informatique globale couvrant à la fois les mesures défensives, telles que la cybersécurité, et les domaines générateurs de revenus, notamment le site Web et les plateformes de commerce électronique de l’entreprise. Bien que le RSSI puisse avoir une ligne directe avec le conseil d’administration, il rendra généralement compte quotidiennement au CIO pour assurer une coordination et une mise en œuvre transparentes des initiatives technologiques de l’organisation.
Plus l’entreprise investit dès le départ dans le CIO, moins l’impact financier se fera sentir par la suite. L’automatisation est un énorme moteur d’amélioration de l’efficacité ; la suppression des processus manuels contribue à accroître l’engagement des équipes utilisant des plateformes numériques partagées plutôt que des feuilles de calcul et des données manuelles. Plus le DSI pourra appliquer l’automatisation, plus il sera efficace et, du point de vue du CFO, plus l’entreprise pourra tirer le meilleur parti de chaque individu.
Investir dans le CIO permet d’économiser de l’argent à long terme – oui, il y a un coût initial, mais celui-ci est largement compensé par les économies à long terme.
La même équipe, des joueurs différents
Pour optimiser les objectifs stratégiques globaux d’une entreprise, les DSI et les CFO ne doivent plus travailler en silos mais plutôt comprendre les objectifs distincts de chacun afin de maximiser l’atteinte de ces objectifs stratégiques.
Il existe une réelle opportunité pour les DSI et les DAF de collaborer étroitement, en alignant les investissements technologiques sur les objectifs financiers, en atténuant les risques, en améliorant la prise de décision et en améliorant l’efficacité opérationnelle globale. Tous deux jouent pour la même équipe, mais à des postes très différents.
La puissance de l’analyse des données en temps réel
Afin d’obtenir l’adhésion totale de l’entreprise, le DSI doit être en mesure de rendre compte de la santé numérique de l’entreprise au conseil d’administration d’une manière qu’il peut comprendre. Cependant, avant de pouvoir y parvenir, les DSI ont besoin d’une visibilité complète sur l’ensemble de l’infrastructure numérique.
Le problème est que les entreprises regorgent d’outils disparates, de kits existants et d’un mélange de systèmes cloud et sur site qui ont longtemps compliqué l’obtention d’une vision claire de la résilience opérationnelle d’une organisation.
La manière dont les piles technologiques des entreprises étaient gérées dans le passé est archaïque. Une entreprise peut acheter 20 produits, mais ils sont tous cloisonnés, fonctionnant de manière indépendante et ne se « parlant » pas de manière significative. Si vous ne savez pas comment vos pare-feu interagissent avec vos systèmes réseau, pourquoi pas ? Ce niveau de renseignement obtenu grâce à une surveillance continue est essentiel à une stratégie de sécurité globale.
De nombreux cadres de conformité réglementaire intègrent la nécessité d’une surveillance continue afin de fournir aux entreprises des données en temps réel sur leur sécurité. Mais les entreprises doivent élever leur stratégie de sécurité au-dessus des cases réglementaires ; si vous investissez dans la technologie, cela vaut la peine de découvrir comment en tirer le meilleur parti.
La surveillance continue des contrôles (CCM) est une solution puissante qui répond à ce besoin. En s’intégrant à divers systèmes et outils de l’écosystème informatique, CCM fournit une vue unifiée de la santé numérique d’une organisation. Il brise les silos et permet des analyses en temps réel qui permettent au DSI et au DAF de prendre des décisions éclairées.
Les analyses en temps réel fournies par ces outils signifient que vous disposez d’informations immédiates qui ne sont jamais obsolètes. Grâce à l’analyse en temps réel – alimentée par l’automatisation – les intérêts du directeur financier et du directeur informatique s’alignent.
Combler le fossé
Les objectifs sont clairs : le CFO souhaite une plus grande rentabilité et le CIO doit dresser un tableau de la sécurité dans le langage du conseil d’administration, ce qu’il ne peut faire qu’avec une visibilité complète sur l’écosystème numérique. Parfois, faire appel à un tiers peut contribuer à faciliter cet alignement en agissant en tant que traducteurs, en déchiffrant le jargon technique pour le DSI tout en aidant les DAF à comprendre les implications financières des investissements en cybersécurité.
Les DSI ont dû réaligner leur façon de communiquer avec les C-Suite, comme le CFO. Ils doivent dresser un tableau des cybermenaces et de la manière dont la technologie peut contribuer à réduire ce risque d’une manière que les autres parties prenantes peuvent comprendre. En appliquant le contexte commercial à la fois à la finance et à la technologie, ces rôles auparavant isolés peuvent fonctionner ensemble, démontrant qu’ils constituent véritablement deux parties d’un même tout.
Par Martin Greenfield, PDG de Quod Orbis