Depuis quelques années, les entreprises voient leur budget de cybersécurité exploser : il a augmenté de 51% depuis 2018, selon les rapports Gartner[1]. Il est maintenant demandé aux RSSI de maîtriser les coûts de cybersécurité et d’en rendre compte à la direction voire au régulateur.  

Or, cette hausse du budget consacré par les grandes entreprises à la sécurité des systèmes d’information ne s’est pas toujours accompagnée d’un pilotage budgétaire. Ainsi, certaines entreprises lancent des projets de suivi et de collecte des coûts cybersécurité, dans l’espoir de mieux comprendre leur évolution et de prendre les bonnes décisions stratégiques pour augmenter le niveau de sécurité tout en optimisant le budget. Mais la mise en place d’un pilotage budgétaire est un processus complexe qui doit répondre à des objectifs précis.  

Dans quelle mesure l’installation d’un pilotage budgétaire de la cybersécurité est un enjeu clé pour les RSSI des grandes entreprises ?  

Nos expériences auprès de nos clients révèlent qu’une collecte des budgets de cybersécurité et l’instanciation de leur pilotage sont souvent des exercices à la finalité utile ; un rapport issu d’un tel exercice est un outil de gouvernance précieux. Nous allons examiner dans ce premier volet les bénéfices qu’amène une collecte des coûts régulière et industrialisée et son utilité véritable.  

Prendre des décisions d’investissement pour piloter efficacement la cybersécurité  

Le rapport budgétaire final est un véritable outil de gouvernance menant vers l’excellence opérationnelle. En effet, il permet de répondre à la question suivante : le budget cybersécurité de l’entreprise est-il utilisé efficacement ?  

Le pilotage budgétaire permet donc de vérifier que les investissements sont alignés avec les risques principaux auxquels l’entreprise fait face. À titre d’exemple, une société pourrait se rendre compte que ses investissements dans une thématique du référentiel NIST sont particulièrement faibles. Si, de surcroît, des audits montrent que le niveau de sécurité est insuffisant sur cette thématique, alors le constat est clair : il est nécessaire de consacrer plus de budget à ce sujet. Dès lors, le rapport budgétaire est un des éléments qui permettent de prendre une décision d’investissement chiffrée sur cette thématique. 

Exemple d’un visuel d’un rapport budgétaire présentant les budgets par activités NIST. Dans cet exemple, le rapport budgétaire souligne de faibles investissements dans la thématique « Gestion des identités et des accès ». Si des indicateurs opérationnels montrent que le niveau de maturité du Groupe est faible sur ce thème NIST, alors il sera évident que l’entreprise a tout intérêt à faire des investissements plus importants sur ce sujet.  

De plus, le détail des chiffres du budget à l’échelle des entités du Groupe est précieux pour ces dernières lorsqu’il leur est partagé de manière transversale. En effet, il leur offre un véritable outil de benchmark interne qui leur permettra de se positionner par rapport à leurs semblables. Les RSSI des différentes entités concernées pourront échanger directement entre eux afin de partager des bonnes pratiques de cybersécurité et identifier les meilleurs exemples opérationnels implémentés par leurs pairs. 

Prendre des décisions d’optimisation pour atteindre l’excellence  

Le pilotage budgétaire permet d’identifier des opportunités d’optimisation au niveau des entités ou du Groupe, afin d’améliorer l’efficacité de la cybersécurité.  

Le rapport budgétaire est un atout pour mieux piloter les ressources humaines dédiées à la cybersécurité. Par exemple, il permet d’estimer les parts d’employés internes et des ressources externes et de procéder aux ajustements nécessaires. A la lecture du rapport budgétaire, la Direction pourrait lancer un programme d’internalisation si elle se rend compte que la part d’externes est trop importante. Elle peut aussi changer la répartition géographique des ressources humaines afin de mieux répondre aux exigences de sécurité des entités dans différents pays et de jauger la répartition onshore /offshore.  

Exemple d’un visuel d’un rapport budgétaire présentant le nombre d’employés en cybersécurité. Dans cet exemple, le graphique révèle un risque que la part d’internes soit trop faible pour maintenir l’expertise en interne. Il pourrait donc être intéressant de lancer un plan d’internalisation.  

La consolidation du budget de cybersécurité donne l’occasion de réaliser des économies et d’automatiser ou de mutualiser des activités. Le pilotage budgétaire peut alors se traduire par des décisions de massification de contrats, de rationalisation ou d’automatisation afin de garder la maîtrise des coûts de cybersécurité.  

Connaître son budget de cybersécurité pour répondre aux autorités et communiquer en externe  

Lorsque le budget cyber de l’entreprise fait l’objet de contrôle par des autorités régulatrices, il sera nécessaire de disposer d’un processus de collecte dédié afin d’être en mesure de fournir une décomposition fiable des coûts de sécurité informatique. Une collecte budgétaire bien menée permettra la création de données analytiques, puis de livrables qui serviront de base à des réponses précises et avisées. Par exemple, la Banque Centrale Européenne a notamment demandé à certaines organisations bancaires de présenter le détail des ressources humaines consacrées à la sécurité des systèmes d’information pour contrôler la préparation des banques européennes aux risques liés à la cybersécurité [2]. 

Aussi, une vision synthétique permettra de communiquer avec certitude sur l’état des budgets et des dépenses consacrées à la sécurité et ce auprès de tout tiers intéressé. A titre d’exemple, la banque américaine JP Morgan Chase a expliqué dans sa lettre aux actionnaires d’avril 2019 que la cybersécurité était une de ses préoccupations majeures. Elle a indiqué consacrer plus de 600 millions de dollars par an à la sécurité informatique et employer 3000 personnes qui travaillent sur le sujet [3].  

Enfin, la connaissance de son budget est également importante dans le cadre de la souscription d’une cyber assurance, pour prouver les moyens mis dans la cybersécurité. Par ailleurs, lors d’une fusion-acquisition, les ressources investies en cybersécurité sont souvent prises en compte dans la valorisation d’une entité. 

Ainsi, il apparaît particulièrement utile pour les grandes entreprises d’avoir un processus de collecte des coûts de cybersécurité. En effet, il permet aux décideurs de prendre connaissance des montants consacrés par le groupe à la sécurité des systèmes d’information et de piloter la stratégie. Cependant, la construction d’un rapport budgétaire pertinent repose sur la mise en place préalable d’un processus de collecte de données exhaustif, méthodique et standardisé. Le prochain volet de cette série détaillera le cadrage et la mise en place en place d’un processus de pilotage budgétaire.  

Références

[1] « Gartner Forecasts Worldwide Information Security Spending to Exceed $124 Billion in 2019 », août 2018, https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019

[1] « Cybersecurity spending trends for 2022: Investing in the future », décembre 2021, https://www.csoonline.com/article/3645091/cybersecurity-spending-trends-for-2022-investing-in-the-future.html

[2] « Cybersecurity for the financial sector », https://www.ecb.europa.eu/paym/pol/shared/pdf/qa_cybersecurity.pdf

[2] « Face au risque de cyberattaque, la BCE demande aux banques d’être prêtes», février 2022, https://www.latribune.fr/entreprises-finance/banques-finance/banque/face-au-risque-de-cyberattaque-la-bce-demande-aux-banques-d-etre-pretes-903841.html

[3] « CEO Letter to shareholders », août 2019, https://www.jpmorganchase.com/content/dam/jpmc/jpmorgan-chase-and-co/investor-relations/documents/ceo-letter-to-shareholders-2018.pdf

Cet article Excellence opérationnelle : l’enjeu d’organiser un pilotage budgétaire de la cybersécurité dans l’entreprise est apparu en premier sur RiskInsight.

Une pression et des attentes accrues sur le SI de la relation client

Depuis longtemps, le SI s’est imposé comme un outil incontournable pour la performance des réseaux de vente et la qualité de la relation client. Initié avec l’équipement informatique des forces de vente, le mouvement s’est prolongé avec la montée en puissance des centres de relation client.

À partir des années 2000, le canal internet a connu un succès rapide, portant une pression et des attentes fortes sur le SI de la relation client (SIRC). Opéré à marche forcée, le développement de ce canal a profondément bouleversé le SIRC et son organisation. L’ouverture de nouveaux canaux (smartphones, tablettes, et demain IPTV) n’a ensuite qu’accéléré ce mouvement, conduisant les entreprises à de vastes chantiers de refonte.

Ces chantiers ont visé la mise en place d’infrastructures de médiation, sous forme d’ESB, pour faciliter l’intégration des canaux au SI et les interactions muticanal de type web-call back, click-to- chat.

Parce que situées au cœur du SIRC, ces infrastructures ont aussi pour rôle d’orchestrer et de superviser les processus métiers (réalisation de devis, souscription d’une offre, commande d’un article).

Une transformation du SI en profondeur pour fidéliser et conquérir de nouveaux clients

L’augmentation du nombre de canaux et la pervasivité des nouveaux usages mobiles conduit à une dissémination des données. Véritable opportunité pour améliorer la conquête et la fidélisation des clients, la capture et la mise à disposition des données constituent des défis techniques majeurs du SI.

Mais aujourd’hui, si les entreprises continuent de mobiliser fortement leurs ressources SI au service des vitrines et des parcours dématérialisés de relation client, elles ont aussi à cœur de doter leur personnel en contact (vendeurs, téléconseillers, boutiques) d’équipements, d’écrans d’applications et d’informations au plus proches de ce qui est mis à disposition des clients. Un passage obligé pour assurer la valeur ajoutée de ses collaborateurs et répondre ainsi à l’attente des clients : nombreuses sont les études qui montrent que l’interaction humaine avec un vendeur en boutique ou un conseiller par téléphone est le déterminant principal du niveau de satisfaction client.

Les 6 clés de réussite de la relation client digitale

Pour accompagner les ambitions de son entreprise en matière de relation client multicanal la DSI doit relever six défis :

1- S’ouvrir aux nouveaux canaux (télévision connectée, applications mobiles, réseaux sociaux…) et aux nouveaux services (m-paiement…) mais en conserver la maîtrise.

2- Favoriser les interactions multicanal sur le plan des infrastructures pour mettre fin à un cloisonnement en silos (internet, agence…) qui nuit à l’efficience de la relation avec le client.

3- Équiper le collaborateur, véritable parent pauvre de la  relation client digitale. Alors que le client dispose d’outils self-service supra ergonomiques, le collaborateur avec qui il interagit est équipé d’un poste de travail obsolète qui ne lui permet pas d’être à la hauteur des attentes clients. Tout l’enjeu sera donc de construire le poste de travail de demain permettant d’apporter plus de valeur au client.

4- Face au phénomène de channel blur (explosion et dissémination des données clients) que connaissent les équipes marketing, la DSI doit aider à optimiser les campagnes tout en enrichissant la connaissance client.

5- Mettre en place une organisation efficiente de la DSI face / avec les métiers, permettant d’anticiper les besoins métiers, notamment ceux liés à l’usage de nouveaux canaux. L’objectif étant d’éviter que les projets digitaux ne soient gérés au coup par coup, sans vision d’une cible et d’une trajectoire conjointes entre métiers et SI.

6- Financer le projet relation client digitale. Face à des coûts d’investissement toujours conséquents et qui dépassent souvent la capacité d’un donneur d’ordre métier unique, la DSI doit être capable de se doter d’une véritable stratégie d’investissement.

Autant de défis que la DSI sera capable de relever si elle investit en budgets et en compétences sur les domaines du digital (reprise en main des développements, renouvellement du patrimoine applicatif, intégration de nouveaux canaux). Ainsi pourra-t-elle prétendre au triple A de la relation client digitale !

Pour lire en détail les solutions apportées à chacun de ces défis, lire la synthèse : « DSI : comment obtenir le triple A de la relation client digitale ? »

Cet article La DSI à l’épreuve de la relation client digitale est apparu en premier sur RiskInsight.

 Mesurer les résultats des projets de transformation du système d’information est exercice complexe car la diversité des objectifs et des composantes des programmes entraîne une diversité dans les résultats attendus.

Si certains résultats seront nettement quantitatifs – réduction des coûts, amélioration du time-to-market, d’autres mélangeront résultats quantitatifs et qualitatifs – alignement avec la stratégie, amélioration des performances et de la qualité de service – enfin d’autres seront 100% qualitatifs – meilleure gouvernance, améliorations des relations MOA/MOE, satisfaction des utilisateurs.

Tous les acteurs des projets de transformation sont convaincus que le choix d’indicateurs représentatifs et d’objectifs à atteindre est essentiel pour communiquer vers la direction générale et les équipes, tout autant que pour le pilotage.  Pourtant, l’exercice reste en moyenne mal adressé par les DSI et ils se montrent insatisfaits à l’égard de leurs processus de suivi et de mesure des résultats, même si un petit nombre de ceux que nous avons rencontrés semble avoir réellement développé de très bonnes pratiques en la matière, mettant en place des tableaux de bord de très grande qualité.

 Quels sont les indicateurs les plus utilisés dans les grands projets de transformation à l’heure actuelle ?

Sans surprise, ce sont les indicateurs de réduction des coûts du SI qui sont les plus fréquemment utilisés (48% de notre échantillon).

Loin derrière, à 24%  viennent la satisfaction des utilisateurs – à travers des enquêtes systématiques (dans 15% des cas) mais pas forcément réalisées de manière rigoureuse et régulière- , et le critère « projets on time/on budget », un critère traditionnel dans le secteur informatique où les dérapages sont nombreux mais néanmoins très important car permettant de mesurer l’engagement pris par la DSI vis-à-vis de ses clients.

On trouve aussi des indicateurs de performance business, à l’instar de la mesure de la génération de revenus supplémentaires dans le cadre d’un déploiement multi-canal, d’économies de frais généraux…ou de productivité commerciale et opérationnelle.

Enfin, des indicateurs de qualité de service. Ceux-ci font appel à des éléments plus techniques, liés à la disponibilité et à la performance des infrastructures et/ou des applications.

La réduction des coûts est le 1er objectif des transformations. Comment en réussir la mesure ?

 Le suivi des économies réalisées dans les projets de transformation implique quelques pré-requis parfois oubliés.

Premièrement, définir des règle de comptabilisation très claires, partagées avec les opérationnels et la direction financière.

Deuxièmement établir le lien entre actions opérationnelles et gains escomptés, pour objectiver les chefs de projets sur l’atteinte des gains.

Enfin, anticiper les changements de périmètre sur lesquels les économies sont évaluées.

 Télécharger l’enquête complète au format PDF.

Pour en savoir plus, participer au webminar organisé le 18 octobre par PAC et Solucom.

Cet article Grands projets de transformation : un manque criant de KPI ! est apparu en premier sur RiskInsight.

Ces dernières décennies ont connu de profonds bouleversements d’origines économique, sociale, géopolitique et technologique : mondialisation et compétition internationale, ouverture à la concurrence des marchés régulés, crises financières successives. Dans ce contexte les entreprises ont dû apprendre à évoluer plus rapidement et quelques buzz words sont apparus dans leurs priorités stratégiques : flexibilité, agilité, time-to-market. C’est un contexte qui a contraint les grandes entreprises à évoluer et à multiplier les chantiers de transformation. On estime ainsi que leur nombre aurait triplé entre les années 1990 et 2000 !

Ainsi, parmi les quatre facteurs déclencheurs de transformation soulignés par les DSI que nous avons interrogés – menaces concurrentielles, globalisation/internationalisation, environnement économique et financier, règlementation/dérèglementation – le premier ressort  comme majeur (46%). Cela s’explique notamment par la montée en puissance des pays émergents mais aussi par l’explosion des usages de l’internet qui a introduit une véritable rupture dans le monde B2C.

Quelles formes revêtent ces transformations ?

Les transformations stratégiques comme les fusions et concentrations (par exemple Gaz de France / SUEZ), les restructurations et les changements de business models (comme la création d’une activité bancaire à La Poste) sont présents dans 70% des cas rencontrés dans le cadre de notre enquête. Les transformations directes de processus métiers – back-office des banques, dossier « patient » dans la santé…-  sont présents de leur côté dans 20% DES CAS et concernent essentiellement les métiers tertiaires. Enfin, les refontes et les modernisations du système d’information, sous l’influence de nouvelles technologies (ERP, cloud…), sont présentes dans  40% des cas étudiés.

Quel est l’impact de ces transformations sur le système d’information ?

L’impact est systématique ! Le système d’information est devenu la colonne vertébrale des entreprises depuis qu’il a envahi tous les processus de l’entreprise, y compris jusque dans leurs métiers. Quelle entreprise grande entreprise peut aujourd’hui survivre et évoluer sans un système d’information performant ?

A titre d’illustration, 80 milliards d’euros sont dépensés chaque année par la entreprises françaises pour la fonction SI …dont 50 milliards par les grandes entreprises (CAC 40, SBF 120). Dans cette dépense, le poids des SI « cœur de métier » ( production industrielle, bureaux d’études, plate-formes de relation client…) s’accroît au détriment des SI « support » (finance, RH…)

L’enquête Solucom/PAC confirme bien le lien de plus en plus direct entre les facteurs déclencheurs de transformation évoqués ci-dessus et les transformations menées par les entreprises et administrations qui se répercutent systématiquement sur les systèmes d’information.

Interview réalisée dans le cadre de la parution de l’enquête Solucom/PAC  « Réussir les grands projets de transformation : enquête auprès de 30 grandes entreprises et administrations françaises. »

Jean-François Perret est Vice-président du conseil de surveillance de Pierre Audoin Consultants, société internationale de conseil et d’études marketing  et stratégiques.

Cet article Le SI au cœur des transformations stratégiques des entreprises est apparu en premier sur RiskInsight.