Le spectre des menaces de cybersécurité ne se simplifie pas. De la cybercriminalité basée sur l’IA aux attaques de phishing, en passant par la prévalence des appareils personnels sur le lieu de travail, les professionnels de la cybersécurité ont une liste de plus en plus longue de menaces à gérer.
La protection des données d’entreprise est rendue plus difficile par le manque de financement. Oui, 91 % des entreprises ont augmenté leurs budgets de cybersécurité en 2021, selon une étude d’IDG. Mais IDG a également constaté que les nouvelles embauches en matière de cybersécurité sont stagnantes et que de nombreux projets de sécurité à long terme ont été mis sur la touche l’année dernière. Les professionnels de la sécurité doivent faire plus avec moins.
À moins que les professionnels de la sécurité ne convainquent les dirigeants d’investir davantage dans la cybersécurité.
Les organisations prennent conscience de l’importance d’une cybersécurité adéquate, mais il est toujours difficile d’obtenir des fonds supplémentaires pour de nouvelles initiatives de sécurité. Les dépenses défensives pour l’avantage intangible d’une sécurité renforcée sont toujours difficiles à vendre, même à l’ère de la transformation numérique.
Mais les chances de succès sont meilleures avec un bon argumentaire. Dans cette optique, voici comment élaborer une proposition de cybersécurité qui a le plus de chances d’obtenir un financement supplémentaire de la part des entreprises.
Étape 1 : Étudiez votre clientèle et l’état de l’entreprise
Les propositions en matière de cybersécurité sont fondamentalement une affaire de vente ; pour obtenir des fonds supplémentaires pour la sécurité, il faut vendre une vision aux cadres supérieurs. Ainsi, à l’instar de l’équipe de vente, la première étape pour obtenir des fonds supplémentaires pour la cybersécurité consiste à se renseigner sur les intérêts et les priorités du décideur, en l’occurrence la direction générale. Tout bon argumentaire de vente est adapté à un public spécifique.
Cela signifie qu’il faut non seulement bien comprendre ce que veut la direction générale, mais aussi ce dont l’entreprise a besoin. Quels sont les points sensibles actuels de l’entreprise dans son ensemble, quels sont les nouveaux produits, marchés ou projets spéciaux en cours ? Dans quels domaines un investissement supplémentaire dans la cybersécurité pourrait-il faire progresser les priorités de l’entreprise et contribuer à la réalisation de ses objectifs ?
Connaissez votre cible.
Étape 2 : Faites correspondre les risques de sécurité aux indicateurs clés de performance et aux objectifs de l’entreprise.
La plupart des entreprises disposent d’un large éventail d’indicateurs clés de risques et d’autres mesures de sécurité. Ces indicateurs sont utiles pour l’équipe de sécurité, mais ils ont moins de valeur directe pour les dirigeants qui approuveront un financement supplémentaire de la cybersécurité. Par conséquent, faites correspondre les mesures de sécurité aux indicateurs clés de performance et aux objectifs de l’entreprise afin que le lien entre la sécurité et les objectifs de l’entreprise soit clair pour votre public non technique.
Cherchez à faire correspondre tous les résultats de la sécurité aux résultats généraux de l’entreprise afin de renforcer l’argumentaire commercial en faveur d’un investissement supplémentaire dans la sécurité. Accordez une attention particulière au lien entre les mesures de sécurité et les nouvelles initiatives de l’entreprise, ainsi qu’aux domaines qui ont été identifiés comme particulièrement importants pour les membres de la direction.
Étape 3 : Effectuez une évaluation de la sécurité et préparez votre plan
Le plan lui-même est bien sûr le fondement de votre proposition. Une fois que vous avez une bonne compréhension des besoins de votre public et de la façon dont les mesures de sécurité se traduisent en résultats commerciaux, évaluez les cyberrisques spécifiques et les solutions possibles et recommandées pour faire face à ces risques. Incluez des technologies et des budgets spécifiques, mais toujours en relation avec l’impact de ceux-ci sur les objectifs commerciaux globaux.
Voici quelques éléments susceptibles d’intéresser spécifiquement les cadres :
- La gestion des risques. Comment le financement supplémentaire réduira spécifiquement le risque de l’entreprise, et de combien.
- La gestion de la conformité. Comment la proposition renforcera les mandats de conformité et minimisera les risques de violation de la réglementation en matière de confidentialité et de sécurité des données.
- Responsabilité par rôle. Qui est responsable de chaque partie de la proposition de sécurité en termes de mise en œuvre et de soutien continu.
- Coûts. Les coûts spécifiques de chaque partie du plan, la raison de leur nécessité et leur impact sur les résultats commerciaux escomptés.
Étape 4 : Développer un « Elevator Pitch » et une narration globale
Il est presque aussi important que les détails du plan de communiquer la vision globale de la proposition de cybersécurité par un texte facile à comprendre. Ce texte doit être simple, facile à comprendre, relativement peu technique et conforme aux objectifs généraux de l’entreprise. Le plan contient les détails, mais l’exposé est l’idée simple que les dirigeants retiendront et utiliseront en grande partie pour juger de la pertinence de la proposition.
Une partie de la construction de ce récit consiste à élaborer un « elevator pitch », un résumé simple du plan en quelques phrases courtes. Ce discours d’ascenseur sert de version abrégée du plan global, d’agent de clarification pour garder la proposition ciblée, et de discours concis qui peut être donné oralement pour préparer les cadres à la proposition écrite si la bonne opportunité se présente.
Étape 5 : Rassembler des statistiques et créer des visuels
L’explication de la nécessité d’investir davantage dans la cybersécurité doit être simple, facile à comprendre et fondée sur des faits. Les statistiques et les mesures qui racontent l’histoire et montrent à la fois le problème et la solution sont essentielles pour obtenir des investissements supplémentaires, alors recherchez des données qui étayent chaque partie du plan.
Transformez les données particulièrement importantes en graphiques simples et en représentations visuelles qui soulignent l’évidence de l’investissement proposé en matière de sécurité. En préparant ces éléments visuels, mettez-vous au défi de voir si les graphiques et les éléments visuels peuvent communiquer l’essence de la proposition même sans la partie écrite.
Étape 6 : Préparez une liste d’objections à surmonter
Il est fort probable que la proposition suscite des objections, même si celles-ci ne visent qu’à vérifier la solidité du plan. Aucun bon vendeur ne se lance dans une présentation sans avoir une idée claire des objections qui pourraient être soulevées et de la manière dont elles seront traitées. Une fois la proposition terminée, relisez-la plusieurs fois en tenant compte des problèmes et des questions qui pourraient surgir pendant la présentation.
Consacrez beaucoup de temps à cette partie de la préparation, car elle pourrait faire la différence entre le succès et l’échec. Demandez à plusieurs collègues de relire la proposition avant la présentation en tenant compte des objections possibles, qu’il s’agisse de lecteurs connaissant bien la cybersécurité ou de personnes ayant une compréhension plus générale.
Voici quelques objections courantes :
- Nous n’avons pas le budget pour cela.
- N’avons-nous pas déjà investi dans ce domaine ?
- Notre technologie actuelle n’est-elle pas adéquate ?
- Ce n’est pas un besoin urgent et il y a une meilleure utilisation des ressources.
- Nous sommes concentrés sur la croissance en ce moment, alors quel est le retour sur investissement ?
- Existe-t-il des solutions moins coûteuses ou « suffisamment bonnes » pour résoudre ce problème ?
- Je ne comprends pas la nécessité de ce projet.
- Cela ne semble pas fonctionner.
Aucune proposition d’investissement en cybersécurité n’est vraiment infaillible, tout comme aucune solution de sécurité n’est efficace à 100 %. Cela dit, ces six étapes pour rédiger une proposition d’investissement en cybersécurité augmenteront certainement vos chances de réussite.
Pour en savoir plus sur la manière de convaincre la direction de l’entreprise d’accroître la cybersécurité, lisez notre article intitulé Six objections à investir davantage dans la cybersécurité – et comment les surmonter.
