La cybersécurité a dépassé ses racines en tant que fonction informatique isolée. Il est désormais au cœur de la stratégie d’affaires — façonner la transformation numérique, guider les décisions de gestion des risques et influencer la confiance des clients. Les enjeux n’ont jamais été aussi élevés : les violations de sécurité peuvent mettre en péril non seulement les systèmes, mais aussi la réputation, la confiance des actionnaires et les résultats financiers.
En fait, selon le rapport 2025 sur le coût d’une violation de données d’IBM, le coût moyen mondial d’une violation de données s’élève maintenant à 4,44 millions USD, soulignant l’impact financier bien réel que les incidents de sécurité peuvent avoir sur les organisations à travers le monde.
L’évolution de la sécurité exige une transformation parallèle dans la façon dont les organisations mesurent et communiquent sa valeur. Les métriques traditionnelles — par exemple, les temps de réponse aux incidents, la cadence des correctifs, la disponibilité du système — bien qu’elles restent importantes, ne racontent plus toute l’histoire. La direction exécutive et les membres du conseil veulent plus que des indicateurs techniques; Ils veulent clarifier comment les initiatives de sécurité contribuent à la résilience organisationnelle, à la conformité réglementaire et, ultimement, à la rentabilité.
Ce changement exige un nouvel état d’esprit — qui redéfinit la sécurité comme un facilitateur d’affaires plutôt que comme un centre de coûts. Mais comment les équipes traduisent-elles les victoires techniques en valeur d’affaires? Quelles métriques s’appliquent aux programmes de sécurité actuels? Et comment les leaders en sécurité peuvent-ils démontrer un retour sur investissement (ROI) dans un langage qui résonne de la salle serveur à la haute direction?
Pour explorer ces questions cruciales, nous nous sommes assis Jason Smith, directeur mondial des opérations de sécurité chez Syntax. Lisez la suite pour découvrir des informations exploitables qui vous aideront à redéfinir le succès, à aligner les indicateurs de sécurité avec les objectifs d’affaires principaux et à bâtir l’argument pour un investissement continu dans votre programme de sécurité.
Q : Quels facteurs ont influencé l’évolution de la sécurité, passant d’une fonction technique à un facilitateur d’affaires?
Trois facteurs majeurs ont propulsé la sécurité au cœur des conversations d’affaires ces dernières années. Premièrement, le grand public est devenu beaucoup plus informé sur les impacts des attaques et la responsabilité inhérente des organisations à les prévenir, et le public est aussi beaucoup plus enclin à tenir les organisations responsables des pertes de données et de vie privée. Deuxièmement, les exigences réglementaires imposant le respect du cadre de cybersécurité sous sanction financière peuvent nuire considérablement à la capacité d’exploitation d’une entreprise si elle est jugée non conforme. Enfin, les outils et services de sécurité sont beaucoup plus modulaires qu’auparavant, offrant la possibilité d’être achetés en parallèle avec d’autres solutions TI avec une formation supplémentaire.
Tous ces facteurs ancrent une organisation à une conclusion évidente : si elle ne fait pas ce qui est nécessaire pour se protéger elle-même et protéger les données des clients, les implications financières et juridiques qui en découlent nuiraient sérieusement à leur capacité de continuer à fonctionner.
Q : Compte tenu de ce changement, comment l’approche pour mesurer son efficacité a-t-elle évolué? Quels étaient certains indicateurs couramment utilisés dans le passé, et quels domaines clés les équipes de sécurité devraient-ils prioriser aujourd’hui pour s’aligner sur les objectifs d’affaires plus larges?
L’approche pour mesurer l’efficacité des opérations de sécurité est passée de l’accent sur les mesures tactiques des opérations quotidiennes à une mesure de la préparation de l’organisation à répondre aux incidents de sécurité dans son ensemble. Cette mesure peut être appelée le niveau de maturité d’une opération de sécurité. Bien que cela puisse inclure des activités que l’équipe de sécurité effectue quotidiennement, les véritables mesures proviennent des résultats obtenus, comme la capacité à réussir un audit ou à atténuer une faille au sein du réseau. Une équipe ne peut atteindre ce type de mesure qu’en s’intégrant à d’autres unités d’affaires au sein de l’organisation, mettant l’accent sur le changement dans l’importance accrue de la sécurité.
Q : Les équipes de sécurité devraient-elles adapter les indicateurs clés de performance (ICP) pour s’aligner sur les priorités uniques des différents rôles et fonctions au sein d’une organisation?
Oui, dans une certaine mesure. Définir les rôles et responsabilités des membres de l’équipe de sécurité de façon à ce qu’ils soient naturellement soutenus — et soutenus par les différentes équipes qui orientent les résultats d’affaires à travers l’organisation — est primordial. Par la suite, la mesure des ICP évoluera naturellement avec les priorités de l’organisation, tant que ces relations sont gérées correctement au niveau des parties prenantes.
Par exemple, lorsqu’une mesure du temps moyen de résolution (MTTR) peut couvrir le temps allant du moment où un incident de sécurité potentiel est transmis à l’équipe de sécurité jusqu’au moment où l’incident de sécurité est résolu, le MTTR peut évoluer pour inclure les activités des autres équipes, comme l’informatique interne, le service juridique et les ressources humaines. Cela permet à chaque équipe de démontrer et d’être tenue responsable de sa contribution à la résolution réussie des incidents de sécurité potentiels.
Q : Les équipes de sécurité ont souvent du mal à quantifier la performance et l’impact de leurs programmes. Quels sont les principaux défis auxquels ils font face?
La difficulté à quantifier la performance et l’impact des programmes de sécurité est triple. Premièrement, le manque de données sur ce que les équipes font au quotidien, soit perdu dans des systèmes de gestion des services TI (ITSM) mal adaptés, soit dans des discussions d’équipe plus accessibles, empêche une équipe de mesurer efficacement comment elle remplit ses responsabilités envers l’organisation. Deuxièmement, il y a toujours des efforts intangibles qui se perdent dans le mélange. Une conversation dans un corridor, une question rapide dans un clavardage d’équipe ou une urgence nécessitant une intervention immédiate sont rarement documentées efficacement — ce qui nuit à la capacité de l’équipe à parler du bon travail qu’elle fait. Troisièmement, les dirigeants ont du mal à mesurer le succès de l’équipe sans chiffres quantitatifs. Les approches qualitatives sont souvent négligées comme option, même si elles peuvent être très efficaces et mener à des indicateurs plus quantitatifs.
Q : Comment les organisations peuvent-elles surmonter ces obstacles afin d’assurer une mesure et des rapports significatifs?
Étant donné la nature du travail accompli par les équipes de sécurité, il est souvent extrêmement difficile d’introduire de nouveaux systèmes de documentation ou même de nouvelles procédures pour utiliser la documentation existante. Des relations solides entre la direction de la sécurité, les parties prenantes internes et les contrôleurs de données pour les sources de données qui suivent l’activité de l’équipe de sécurité sont extrêmement importantes, permettant de modifier les systèmes captant l’activité de l’équipe de sécurité avec un minimum de friction.
Concevoir des systèmes de documentation efficaces pour capter l’impact et la priorité des activités de sécurité non traditionnelles peut atténuer les problèmes causés par les demandes ponctuelles.
Enfin, concevoir des métriques combinant des approches qualitatives et quantitatives peut être extrêmement efficace pour approximer le travail effectué par l’équipe pendant que des systèmes de mesures plus robustes sont construits.
Q : Les indicateurs de sécurité traditionnels ne résonnent souvent pas auprès des dirigeants d’entreprise. Quelles sont les façons les plus efficaces de communiquer la valeur des programmes de sécurité et de démontrer le retour sur investissement aux dirigeants et au conseil d’administration? Comment les équipes peuvent-elles traduire les résultats techniques en langage d’affaires?
L’approche dépend normalement du leadership d’entreprise — certains ont été formés aux sujets de cybersécurité et veulent comprendre le retour sur investissement (ROI) sur le plan technique et monétaire, tandis que d’autres souhaitent un document d’une page précisant si l’entreprise est à l’abri des menaces. En tenant compte du public, toutes les activités de l’équipe de sécurité doivent finalement se résumer à l’impact monétaire qu’elles ont sur l’organisation. Cela peut être le retour sur investissement de la mise en œuvre de contrôles de sécurité qui atténuent les menaces potentielles, les économies réalisées en mettant en place différents types d’efficacités au sein de l’organisation, ou la maintenance/réduction des coûts de sécurité au fil du temps.
Les indicateurs varient aussi selon le type d’organisation de sécurité. Par exemple, un fournisseur de services gérés (MSSP) aura des indicateurs très différents à rapporter qu’une équipe de sécurité travaillant au sein d’une grande organisation.
Q : Quelles sont vos trois principales pratiques concrètes pour mesurer l’efficacité des programmes de sécurité?
Premièrement, les systèmes qu’un groupe des opérations de sécurité construit pour fonctionner efficacement dans l’environnement d’une organisation devraient refléter la réalité de ce que l’équipe cherche à accomplir.
Deuxièmement, s’assurer que les données recueillies pour les activités de sécurité sont complètes et précises, tôt et souvent, évite d’avoir à refactoriser et reconstruire des systèmes de métriques au fur et à mesure de leur construction.
Troisièmement, la communication avec les parties prenantes et les dirigeants d’entreprise est essentielle. C’est la façon la plus simple de découvrir la valeur qu’ils perçoivent actuellement dans l’équipe de sécurité et s’ils veulent voir quelque chose de plus.
Q : Y a-t-il autre chose que vous aimeriez ajouter sur ce sujet?
Les indicateurs de sécurité ne sont pas faciles à compiler, même dans les organisations les plus matures. La nature volatile du paysage de la cybersécurité exige une adaptation constante, et il n’est pas toujours clair comment démontrer la valeur.
Ce qui aide à garder les indicateurs et l’organisation de sécurité pertinents, ce sont les communications et les relations que le groupe forme en dehors de l’espace de sécurité.
Les relations avec les parties prenantes et les pairs apportent souvent plus de valeur à l’entreprise et aident à mieux intégrer la sécurité dans les opérations quotidiennes. À mesure que ces relations s’établissent, les métriques et mesures se suivent plus facilement.
Dans le paysage actuel des menaces, mesurer la véritable valeur de la sécurité signifie regarder au-delà de la performance technique et se concentrer sur son impact sur l’entreprise.
À Syntax, nous combinons des décennies d’expérience, une expertise mondiale et des capacités avancées pour aider les organisations non seulement à protéger leurs actifs, mais aussi à démontrer la valeur commerciale de leurs investissements en sécurité.