Pourquoi tant de projets de transformation de la sécurité échouent

Comment une bonne gestion de projet peut vous aider à passer à un environnement sécurisé – et comment appliquer ces processus à la cybersécurité.

Fabian Faistauer
Director, Head Cybersecurity Technology & Transformation, PwC Suisse

Oliver Schönenberger
Senior Manager, Cybersécurité et protection des données, PwC Suisse

La cybersécurité est une tâche complexe réalisée dans un environnement complexe et en rapide évolution. Le problème est que les projets de cybersécurité sont souvent considérés comme un simple exercice technique et que les aspects humains et organisationnels ne sont pas gérés correctement. Dans cet article, nous examinons comment une bonne approche de la gestion de la transformation de la sécurité peut garantir la réussite des projets de cybersécurité.

Les entreprises sont de plus en plus dépendantes de l’infrastructure informatique pour mener à bien l’ensemble de leurs opérations. Le contexte actuel des cybermenaces ayant incité de nombreuses organisations à investir des ressources importantes dans la transformation de la sécurité et l’amélioration de leur cybersécurité, les projets technologiques de sécurité informatique se sont multipliés de manière exponentielle.

La cybersécurité n’est plus considérée comme une affaire réservée aux seuls RSSI. Selon l’étude Digital Trust Insights de PwC, plus de la moitié des PDG exigent désormais une meilleure gestion de la transformation de la cybersécurité. Les membres des conseils d’administration sont eux-mêmes prêts à se renseigner sur la cybersécurité pour comprendre les menaces et adapter leur gestion aux objectifs de sécurité.

Pour atteindre ces objectifs, il faut non seulement disposer des compétences et des techniques pertinentes en matière de transformation de la sécurité, mais aussi s’assurer qu’il existe au sein de l’entreprise des personnes formées à la gestion des transformations de la sécurité.

Cybersecurity and Privacy

Cybersécurité et protection des données

Les cyberattaques représentent une menace permanente pour les entreprises issues de tous secteurs d'activité. Nous vous aiderons à identifier les risques et à les combattre.

En savoir plus


Qu’est-ce que la gestion de la transformation de la sécurité ?

Pour réussir dans un environnement qui évolue rapidement, il faut faire preuve d’agilité et être capable de s’adapter rapidement au changement. Pour pouvoir réagir efficacement, il faut mettre en place des processus optimaux, définir clairement les responsabilités et être capable de maîtriser de multiples facteurs tout au long du processus. En matière de cybersécurité, cependant, l’environnement évolue si rapidement que tous les facteurs pertinents n’apparaissent pas au premier coup d’œil. Il peut être difficile d’identifier clairement les principaux éléments du changement.

Le problème est aggravé par le fait que les projets de cybersécurité sont souvent considérés comme des transformations mineures impliquant principalement de nouvelles technologies. Il n’est pas tenu compte de l’impact global sur l’organisation et son personnel. Il en résulte que les transformations liées à la cybersécurité sont souvent mal gérées et n’atteignent pas les objectifs souhaités.

C’est là que la gestion de la transformation de la sécurité entre en jeu. Le but est de comprendre l’approche adoptée par l’entreprise en matière de cybersécurité et d’évaluer les éléments qui doivent être traités en priorité. Il s’agit d’un processus d’initiation, de planification, d’exécution et de clôture qui garantit la réalisation des objectifs du projet sans négliger le personnel de l’organisation.

Pourquoi la gestion de la transformation de la sécurité est-elle essentielle ?

Le rôle des organisations de sécurité devrait être d’appliquer des technologies innovantes pour protéger l’entreprise dans un environnement en constante évolution. Dans le passé, cependant, les sociétés de services informatiques se sont souvent concentrées sur la réduction des coûts plutôt que d’investir dans l’innovation. Le résultat ? Les entreprises ont souvent consacré trop peu de ressources aux solutions de sécurité. Les conséquences en cas de cyber-attaque peuvent être catastrophiques. Dans de telles situations, de nombreuses entreprises tentent d’implémenter de nouvelles solutions aussi rapidement que possible, sans plan ni stratégie. En conséquence, de nombreux projets de sécurité échouent avant même de débuter. Les raisons de ces échecs sont nombreuses :

Leadership non-aligné

Un leadership non aligné engendre des préjugés à l’égard du projet, ce qui se traduit par un manque d’appui et de soutien directement ressenti par le personnel participant au changement.

Mauvaise planification, objectifs et stratégie non définis

L’étendue du calendrier et du budget n’est pas définie de manière appropriée, et les objectifs du projet ne sont pas alignés sur la stratégie globale de l’entreprise.

Défaut de méthodologies et de processus

Aucune méthodologie de projet appropriée n’est utilisée et aucun processus n’est prévu pour mettre en œuvre et conduire correctement la transformation de la sécurité.

Personnel non préparé

Le personnel n’a pas mis à niveau ou rafraîchi ses connaissances avant la transformation et est maintenant dépassé. Il est déconnecté de la transformation, car il ne perçoit pas les avantages apportés à ses activités quotidiennes.

C’est là que la gestion de la transformation de la sécurité entre en jeu. Elle soutient l’organisation informatique et/ou de sécurité en transformant de manière professionnelle son activité pour la faire passer au niveau supérieur. Elle veille à ce que les principales parties prenantes soient impliquées dès le début, tout en introduisant des compétences, des techniques et des méthodes de gestion de projet dans le domaine de la cybersécurité. La gestion de la transformation de la sécurité est l’une des clés de la promotion des technologies innovantes dans les organisations de sécurité.

Comment aborder la transformation de la sécurité ?

Pour assurer la réussite de la transformation de la sécurité, il faut résoudre les problèmes qui peuvent entraîner un échec en s’assurant qu’un certain nombre d’éléments de soutien sont en place. Les principaux éléments à surveiller varient d’une transformation à l’autre. Les principaux à surveiller sont les suivants :

Une transformation efficace de la sécurité garantit le suivi des bons éléments tout au long de la transformation. Pour ce faire, elle adopte et met en œuvre différentes phases à partir de cadres et de modèles inspirés des méthodologies de gestion de projet :

Il y a d’abord une phase d’initiation pour définir les besoins et la portée de la transformation.

Ensuite, la phase de planification permet de déterminer le calendrier adéquat de chaque étape du projet.

La phase d’exécution / de mise en œuvre est celle où le travail est activement accompli par l’équipe.

Dans la phase de clôture finale du projet, les résultats sont comparés aux objectifs fixés pendant la phase d’initiation.

Il est également essentiel de surveiller constamment les livrables tout au long de la phase d’exécution. Cela n’est possible qu’avec une bonne gestion de projet.

Les personnes sont un élément crucial de la transformation

Lorsqu’on mène un projet de transformation, on oublie souvent le facteur humain. Étant donné l’importance capitale des personnes dans la cybersécurité, l’un des objectifs de la transformation de la sécurité est de les impliquer dans la transition. Un problème possible serait que les personnes concernées par la transformation ne réagissent pas positivement ou ne disposent pas de la formation nécessaire pour faire face au changement. Il est donc essentiel que les responsables de la sécurité et leurs clients soient à l’aise avec les nouvelles technologies de sécurité et leur utilité pour l’ensemble de l’organisation.

Un autre aspect important est la collaboration entre les différentes fonctions au sein de l’organisation. L’architecture de sécurité, l’ingénierie et le centre d’opérations, par exemple, doivent collaborer étroitement et promouvoir activement de nouvelles solutions de sécurité innovantes au profit de l’ensemble de l’organisation.


Comment mesurez-vous le succès de votre transformation de la sécurité ?

La réussite de votre transformation de la sécurité ne peut être confirmée que si le projet lui-même est un succès. Cela signifie que les facteurs de réussite de la transformation (décrits ci-dessus) doivent être définis et contrôlés tout au long du projet.

Le succès n’est également possible que si la communication entre le responsable du projet et l’équipe est efficace et que toutes les parties prenantes sont tenues informées de l’avancement du projet. Plus important encore, une transformation de la sécurité ne peut réussir que si la direction apporte son soutien au changement. Cela est particulièrement vrai dans le domaine de la cybersécurité, car une grande partie du personnel redoute l’idée de devoir sortir de sa zone de confort et d’avoir à se mettre à niveau en matière de technologie.

Les résultats d’une transformation solide de la sécurité peuvent être classés comme suit :

Alignement stratégique

Une transformation de la sécurité assure l’alignement stratégique par rapport aux besoins de l’entreprise (p. ex. elle soutient les initiatives stratégiques telles que le passage au cloud).

Réduction des risques

La transformation de la sécurité réduit la surface d’attaque de l’entreprise (p. ex. par une meilleure identification des vulnérabilités).

Gestion des ressources

Les ressources humaines et technologiques sont utilisées de manière optimale.

Création de valeur

Le projet apporte une valeur ajoutée à l’entreprise.

ICP mesurables

Des indicateurs sont développés pour déterminer les performances et les améliorer.

Tout cela signifie que la transformation de la sécurité doit commencer avant même le début de l’exécution du projet. Elle se poursuit au-delà de la clôture du projet afin de s’assurer que la direction et le personnel se sentent prêts à la maintenir dans le temps.


#social#

Nous contacter

N’hésitez pas à nous contacter si vous souhaitez en savoir plus sur nos solutions en matière de transformation de la sécurité. Nous mettons en pratique ce que nous préconisons au sein de notre propre organisation, et notre équipe se fera un plaisir de vous accompagner dans votre propre transformation de la sécurité.

https://pages.pwc.ch/core-contact-page?form_id=7014L000000DXy6QAG&embed=true&lang=fr

La confiance, facteur clé de réussite

Faites confiance à une équipe qui, lors de la transformation de votre entreprise, réfléchit avec vous à des solutions de cybersécurité appropriées, les implémente et les suit avec vigilance. Travaillons ensemble pour créer durablement de la valeur et inspirer la confiance.

Explorez notre offre

Contact us

Fabian Faistauer

Fabian Faistauer

Director, Cybersecurity Technology & Transformation, PwC Switzerland

Tel: +41 58 792 13 33

Oliver Schönenberger

Oliver Schönenberger

Senior Manager, Cybersecurity and Privacy, PwC Switzerland

Tel: +41 58 792 40 17