Ne nous mentons pas : on a parfois l’impression que la cyber vit dans une bulle. Les RSSI sont abreuvés de benchmarks (10% du budget de la DSI, 1 ETP pour 400 employés…) qui les amènent à multiplier les grands programmes d’investissement, parfois à coûts de centaines de millions de dollars. Il n’est plus rare aujourd’hui de croiser des filières sécurité atteignant plusieurs centaines, voire milliers d’employés…
Mais depuis quelques temps, certains comités exécutifs ne sont plus aussi généreux et exigent davantage d’efforts de la part de la filière SSI. On le sait : prouver l’efficacité des moyens engagés n’est pas aisé, et certains RSSI se retrouvent à batailler pour ne serait-ce que maintenir leur budget annuel. La situation post-COVID risque de ne rien arranger, et mon petit doigt me dit qu’il n’y a aucune raison pour que la cyber échappe aux impératifs d’économies à venir.
Sur le terrain, les trois leviers suivants peuvent présenter des opportunités pour optimiser les coûts d’une filière SSI : 1. La revue de l’Operating Model, 2. la massification des contrats, 3. l’automatisation et le recours à l’offshore.
1/ La revue de l’Operating Model
Pour optimiser un Operating Model SSI, il faut rapidement se poser la question des redondances. Le constat est souvent le même d’une entreprise à l’autre : la filière SSI a grandi très rapidement, et différentes équipes ont des missions très proches voire redondantes. Beaucoup de prestataires peuvent en témoigner : il est assez classique d’être sollicité plusieurs fois pour la même étude au sein d’un Grand Compte, dans plusieurs entités différentes. Même si quelques entreprises envisagent de traiter ce sujet par une centralisation complète de l’équipe sécurité (quelques exemples récents dans l’industrie), la clé est plutôt de regrouper a minima l’expertise cyber en central et de structurer des offres de service consommables par tous : pentests, SOC, redteam, rédaction de politiques, awareness…
Attention, cela peut représenter un changement de posture fort pour de nombreuses équipes RSSI, qui passent ainsi d’un rôle de prescripteur à un rôle d’offreur de service avec toutes ses facettes (SLA, mesure de la qualité, voire pénalités). Mais c’est une excellente manière de supprimer les redondances, optimiser les coûts et clarifier au passage les responsabilités !
2/ La massification des contrats
Les contrats d’achat représentent souvent plus de la moitié des dépenses de la filière SSI et peuvent évidemment présenter d’excellentes pistes d’optimisation. De nombreuses entreprises ont multiplié le déploiement tactique de solutions de sécurité et il n’est pas rare de se retrouver en production avec 4 types d’IPS, 3 EDR et 3 SIEM… Une solution simple pour reprendre le contrôle et optimiser les coûts est de revenir au bon vieux catalogue de solutions avec prix négociés en central : maximum 2 produits référencés par techno et obligation pour toutes les entités de taper dans le catalogue ! Les résultats peuvent être spectaculaires en jouant sur les effets de volume.
Même approche pour les prestations : il s’agit d’éviter l’éparpillement des contrats et de faire jouer la concurrence. Sur le terrain, on constate typiquement une tendance à la massification des contrats ne nécessitant pas d’expertise cyber pointue : gestion de projets, PMO, conduite du changement… D’expérience il est assez simple d’aller chercher 10%-15% sur les taux journaliers, le panel des sociétés étant beaucoup plus important pour ce type de tâche ! Mais attention à ne pas perdre en valeur : il ne s’agit pas de baisser la garde sur l’expertise ou la stratégie cyber.
3/ L’automatisation et le recours à l’offshore
L’automatisation peut également être une piste d’optimisation à explorer à moyen terme. D’autant plus que le mouvement est déjà en marche : solutions SOAR pour le traitement des incidents, apprentissage automatique pour la détection d’anomalies, déploiement de mesures dans le Cloud… de nombreuses activités de la cybersécurité cherchent actuellement à gagner en rapidité en tirant partie de l’automatisation des tâches répétitives. Les résultats ne sont évidemment pas immédiats, mais la conjoncture actuelle risque clairement de booster les projets de ce type !
Une stratégie d’offshore peut en revanche présenter des résultats beaucoup plus immédiats, mais attention aux projets menés dans la précipitation. L’offshore d’activités sécurité est tout sauf tactique et nécessite un gros travail de cadrage pour comprendre les spécificités de chaque pays, établir une proximité avec le management local, et surtout intégrer sans couture l’offshore dans l’operating model SSI… Les opérations d’offshore réussies embarquent jusqu’à 20% des effectifs de la filière en offshore. La clé pour atteindre de tels volumes est de privilégier la fourniture de services standardisés en offshore (opérations, scans de vulnérabilités, traduction…), et de limiter les équipes étendues qui peuvent s’avérer séduisantes sur le papier mais souvent contre-productives car complexes à piloter.
