Cybersécurité : comment passer de la protection de la valeur à la création de valeur?

Bien que la plupart des fonctions cybersécurité aient participé à au moins une initiative d’affaires à valeur ajoutée, comme l’adoption de technologies à l’échelle de l’entreprise, des efforts d’innovation dans l’entreprise ou l’expansion de l’entreprise sur de nouveaux marchés, 58 % des chefs de la sécurité de l’information et des dirigeants de la fonction cybersécurité affirment qu’il est difficile de justifier leur valeur au‑delà de l’atténuation des risques, selon notre étude.

Pour ce faire, EY a élaboré un cadre permettant de quantifier la valeur ajoutée de la cybersécurité pour les entreprises et d’expliquer comment celle-ci contribue aux revenus et aux économies de coûts relativement aux priorités stratégiques des entreprises. Pour calculer cette contribution à la création de valeur pour l’entreprise, nous avons retenu six initiatives clés, toutes fondées sur l’expérience des équipes d’EY acquise auprès des clients, dans le cadre desquelles la cybersécurité devrait occuper une place importante :

1. Adopter et intégrer des technologies
2. Soigner l’image de marque et la réputation
3. Améliorer l’expérience client
4. Transformer et innover dans l’ensemble de l’entreprise
5. Percer de nouveaux marchés
6. Mettre au point de nouveaux produits et services

Dans notre étude, les leaders ont communiqué les revenus et les économies de coûts annuelles moyennes découlant de ces initiatives, ainsi que la proportion des résultats attribués à la fonction cybersécurité. Ensemble, ces chiffres nous ont permis de calculer la valeur créée par la fonction cybersécurité dans chaque projet ou initiative auquel elle participe de façon concrète.

Il est intéressant de constater une attribution homogène des résultats à la cybersécurité de la part des autres hauts dirigeants, ce qui indique que les chefs de la sécurité de l’information ne surestiment pas leur propre contribution.

Au total, pour chaque initiative faisant appel à la fonction cybersécurité, le montant médian de la valeur créée s’élève à 36 millions de dollars américains. Ce chiffre varie considérablement selon la taille de l’organisation : le montant médian s’élève à 11 millions de dollars américains par projet pour les organisations dont les revenus sont compris entre 1 et 4,9 milliards de dollars américains, et peut atteindre 154 millions de dollars américains pour les entreprises dont les revenus annuels atteignent ou dépassent 20 milliards de dollars américains.

Ce graphique est présenté dans sa langue originale de production.

Concrètement, comment se traduit la participation de la cybersécurité à la création de valeur pour l’entreprise lors de différentes initiatives? 

Ce graphique est présenté dans sa langue originale de production.

Comment les entreprises novatrices sécurisées ajoutent de la valeur aux initiatives stratégiques clés

L’étude a révélé qu’un groupe de répondants appelés « entreprises novatrices sécurisées » – mentionnées pour la première fois dans l’étude Global Cybersecurity Leadership Insights de 2023 d’EY à titre d’organisations dotées de fonctions cybersécurité plus avancées que leurs pairs – ont participé plus tôt et plus intensément que leurs pairs aux initiatives clés de leur entreprise.

Les entreprises novatrices sécurisées étaient plus susceptibles d’aider d’autres fonctions de l’entreprise à implanter l’IA que les « entreprises vulnérables » (48 % contre 31 %).Outre les avantages immédiats d’une adoption de la technologie plus sécuritaire, une collaboration plus fréquente et plus étroite dans des initiatives technologiques à forte croissance aide les chefs de la sécurité de l’information à nouer des liens plus forts avec les leaders des services à la clientèle. En effet, les leaders des services à la clientèle qui travaillent avec des entreprises novatrices sécurisées verront progressivement le chef de la sécurité de l’information comme le véritable moteur de la transformation technologique, et non plus uniquement comme le responsable du service qui dit « non » à tout.

Les entreprises novatrices sécurisées étaient également plus susceptibles d’améliorer la perception de leur marque auprès des parties prenantes externes (72 % contre 56 % pour les entreprises vulnérables). Le lien évident entre la cybersécurité et la confiance à l’égard de la marque repose sur la prévention des actes de piratage et des vols de données, qui portent atteinte à la réputation, et sur l’atténuation des préjudices et des répercussions en cas d’incident de cybersécurité. Toutefois, pour les entreprises novatrices sécurisées, ce lien est encore plus étroit et rapproche la cybersécurité des points de contact avec la clientèle qui déterminent la fiabilité de la marque. Les répondants ont notamment cité en exemples le fait d’avoir prévenu des pertes et une atteinte potentielles à leur réputation lors d’une attaque par rançongiciel et le transfert de données de façon sécuritaire, ce qui a permis de renforcer la confiance des clients actuels et d’en attirer de nouveaux qui sont attachés à la protection des données.

De même, par rapport à leurs pairs, les entreprises novatrices sécurisées ont participé davantage aux efforts visant à améliorer l’expérience client (53 % contre 42 %). L’adoption et l’utilisation d’un service dépendent en partie de la confiance des clients, surtout lorsque ce service repose sur l’IA. En effet, selon l’étude d’EY intitulée AI Sentiment Index Study, 64 % des consommateurs sont inquiets de la façon dont leurs données à caractère personnel seront utilisées dans les systèmes d’IA sans leur consentement ou leur autorisation. Parmi les exemples de la façon dont les entreprises novatrices sécurisées de l’étude améliorent la confiance et l’expérience des clients, mentionnons le renforcement de la sécurité des communications internes pour améliorer le service à la clientèle et l’accélération du traitement des plaintes, ainsi que la création de portails clients afin de simplifier l’accès aux services.

Les entreprises novatrices sécurisées sont plus susceptibles d’affirmer que leur stratégie a une incidence positive sur le rythme des transformations et de l’innovation. « Nous mettions au point un produit d’IA de pointe, mais les données sensibles destinées à entraîner l’IA étaient menacées. La cybersécurité a mis en place des contrôles de cryptage des données et d’accès aux données pour protéger l’environnement d’entraînement de l’IA, explique une entreprise novatrice sécurisée. Le produit d’IA a été lancé à temps, et sa réussite nous a procuré un avantage concurrentiel sur le marché. »

Les dirigeants accordent une place de plus en plus importante au rôle de la fonction cybersécurité lorsqu’ils pénètrent de nouveaux marchés. Selon une étude récente de l’entreprise Gartner, 85 % des chefs de la direction considèrent que la cybersécurité est essentielle à la croissance de leur entreprise. Les chefs de la sécurité de l’information, ainsi que les cadres de la gestion des risques, alimentent la réflexion de leur entreprise à l’égard des innombrables conséquences qui peuvent découler d’une transition vers de nouveaux marchés, de l’augmentation du degré d’exposition au risque à la visibilité sur les actifs. Lorsqu’elle intervient dans les premières étapes de l’exploration des marchés, la fonction cybersécurité peut à la fois protéger l’initiative et y ajouter de la valeur.

De même, dans l’élaboration de nouveaux produits et services, la fonction cybersécurité ajoute une valeur qui n’est pas toujours pleinement reconnue. « La cybersécurité ne se limite pas à protéger la valeur des nouveaux produits et services; elle en crée également. Lorsque les équipes de cybersécurité participent aux toutes premières étapes de l’élaboration des produits, elles contribuent à renforcer la confiance envers les services de base. Cette confiance devient un facteur permettant de se démarquer sur le marché, et un catalyseur de croissance », explique Jeremy Pizzala, leader, Consultation en cybersécurité, zone Asie‑Pacifique d’EY.

Les entreprises novatrices sécurisées devraient garder une longueur d’avance sur leurs pairs

Soixante‑treize pour cent des entreprises novatrices sécurisées estiment que leur capacité à générer de la valeur continuera d’augmenter. En prenant part aux initiatives clés dès les premières étapes, les chefs de la sécurité de l’information auront une meilleure visibilité auprès du conseil d’administration et jouiront d’une plus grande influence au sein de la haute direction. En outre, leur rôle traditionnel de professionnel technique pourra évoluer vers un rôle de cadre stratégique. Dans l’ensemble, on comprend bien pourquoi les chefs de la sécurité de l’information pensent que la création de valeur de leur entreprise est susceptible d’augmenter.

« Lorsque les chefs de la sécurité de l’information prennent part aux initiatives stratégiques dès les premières étapes, ils intègrent non seulement la sécurité à la planification des activités de l’entreprise, mais ils créent aussi de la valeur en accélérant l’adoption et en renforçant la confiance auprès des consommateurs », explique Rudrani Djwalapersad, leader mondial, Cyberrisque et cyberrésilience, EY.

Notre analyse montre que les entreprises novatrices sécurisées ont axé leur stratégie sur certains des facteurs les plus efficaces permettant à la cybersécurité de créer plus de valeur :

• Efficacité de la stratégie en matière de cybersécurité : mettre l’accent sur la création de valeur, plutôt que se limiter à protéger la valeur, par exemple en comptant parmi les premiers à adopter des technologies émergentes.
• Engagement stratégique : s’intégrer aux priorités et aux stratégies d’affaires fondamentales.
• Collaboration : jouer les intermédiaires et entretenir des lignes de communication et des liens solides avec la haute direction.

L’édition 2024 de cette étude traitait des façons dont l’intelligence artificielle transforme la cybersécurité. L’IA, ou plus précisément l’apprentissage machine, automatise des tâches comme la détection des menaces et des anomalies, la reconnaissance des modèles et l’identification des activités suspectes. Depuis cette étude, l’IA agentique a commencé à s’améliorer progressivement. Par exemple, Charlotte AI de CrowdStrike, propulsée par les microservices de NVIDIA NIM, est capable de gérer l’ensemble du flux de travail, en commençant par la détection des menaces jusqu’à leur résolution, sans intervention humaine, ce qui réduit considérablement le temps de résolution des menaces de cybersécurité.

Cette année, notre étude s’est penchée sur un autre aspect lié à l’IA : les économies de coûts et de temps. L’étude a révélé que la simplification et l’automatisation de la cybersécurité ont entraîné des économies de coûts directes d’un montant annuel médian de 1,7 million de dollars américains.

Comme la plupart des fonctions cybersécurité en sont encore aux premiers stades d’une intégration de l’IA digne de ce nom (selon une étude de CrowdStrike de 2024, seuls 6 % des fonctions cybersécurité ont activement recours aux outils d’IA générative), les leaders s’attendent à ce que les chiffres des économies annuelles augmentent rapidement au cours des prochaines années à mesure que les programmes d’IA évoluent.

Simplification et optimisation

Tandis qu’ils poursuivent le déploiement de l’IA dans l’ensemble de la fonction cybersécurité, les chefs de la sécurité de l’information devraient réfléchir à la façon de simplifier leur approche. Un rapport récent de ServiceNow montre que les entreprises les plus prêtes à utiliser l’IA adoptent une approche fondée sur des plateformes qui tire parti d’un seul code de base, ce qui simplifie la gestion à l’échelle de l’entreprise. Cette approche leur permet d’utiliser plus rapidement de nouveaux outils d’IA à grande échelle, comme l’IA agentique, car ils n’ont pas à réinventer la roue chaque fois qu’une nouvelle technologie ou application est mise sur le marché, comme l’indique le rapport.

« La plupart des organisations bien placées pour surpasser leurs concurrents en matière de déploiement de l’IA, d’innovation technologique et de prise de décisions à grande échelle adoptent une approche axée sur des plateformes technologiques unifiées », explique Dan Mellen, chef de la sécurité de l’information, EY États‑Unis, et chef mondial de la sécurité de l’information, EY.

L’optimisation des outils technologiques anciens et la simplification des outils de cybersécurité peuvent aider à éliminer les chevauchements et à réduire les coûts, tout en améliorant la visibilité et en réduisant le nombre de surfaces d’attaque. Aujourd’hui, le nombre médian d’outils de cybersécurité employés par les entreprises s’élève à 35. Par ailleurs, 37 % des entreprises utilisent plus de 50 outils de cybersécurité. De nombreux chefs de la sécurité de l’information cherchent à simplifier leur environnement technologique et à réduire les dépenses consacrées à ces ressources : 23 % des répondants de l’étude ont réalisé un effort de rationalisation de la technologie au cours des deux dernières années, et 41 % sont en train de l’entreprendre. De même, 18 % d’entre eux ont simplifié leur plateforme technologique, et 41 % sont en voie de le faire.

Ce graphique est présenté dans sa langue originale de production.

De tels efforts peuvent aider à économiser de l’argent et à alléger les contraintes budgétaires. En effet, les fonctions cybersécurité des entreprises novatrices sécurisées sont, certes, plus avancées, mais leurs besoins budgétaires sont plus modestes (10 % de moins en moyenne). De plus, elles ont moins tendance à considérer les questions budgétaires comme une difficulté clé.

Intelligence artificielle et automatisation

Les outils d’IA et d’apprentissage machine facilitent l’automatisation des processus dans la fonction cybersécurité. 

Ce graphique est présenté dans sa langue originale de production.

Le déploiement de l’IA en fonction des priorités en matière de cybersécurité donne de meilleurs résultats. Plus particulièrement, les chefs de la sécurité de l’information affirment que ces efforts d’automatisation ont réduit en moyenne de 28 % le délai moyen de détection et le délai moyen d’intervention. De plus, six répondants sur dix font état d’une visibilité accrue sur les surfaces d’attaque. 

Ce graphique est présenté dans sa langue originale de production.

Générer plus de valeur grâce aux économies de coûts et de temps

En plus d’améliorer directement l’efficacité de la cybersécurité et de réduire les coûts, l’optimisation et l’automatisation permettent aux entreprises de consacrer plus d’argent et de temps à la création de valeur, ce qui leur permet de garder une longueur d’avance sur les menaces émergentes et d’améliorer leur situation globale en matière de sécurité.

Dès lors, il n’est peut‑être pas étonnant que les économies combinées découlant de l’automatisation, de la simplification et de l’impartition aient servi à renforcer davantage les capacités de cybersécurité des entreprises. En effet, 74 % d’entre elles ont déclaré avoir investi pour corriger la faiblesse de leurs contrôles, tandis que 46 % ont utilisé ces économies pour renforcer la surveillance des surfaces d’attaque, ce qui a permis en fin de compte d’obtenir une défense plus résiliente contre les attaques potentielles.

Plus particulièrement, les deux tiers (68 %) ont utilisé les économies de coûts générées par l’optimisation de l’innovation et d’autres initiatives d’IA. Il y a donc fort à parier que les chefs de la sécurité de l’information qui ont une longueur d’avance en matière d’IA conserveront leur avance.

Transformer cet argent « gagné » en initiatives de création de valeur comme l’IA est avantageux pour l’ensemble de l’organisation et démontre que les fonctions cybersécurité avancées s’apparentent davantage à des unités stratégiques de l’entreprise qu’à des centres de coûts.

Une étude récente d’Ernst & Young LLP (EY.com US) s’est intéressée au paradoxe entre l’importance de la cybersécurité et le manque relatif d’influence des chefs de la sécurité de l’information au sein de la haute direction. En effet, 59 % des répondants affirment que la fonction cybersécurité n’est pas consultée lorsque des décisions stratégiques sont prises.

Ce graphique est présenté dans sa langue originale de production.

Cette étude américaine a également révélé une corrélation directe entre les atteintes à la cybersécurité et la baisse du cours de l’action d’une entreprise. En effet, dans les jours qui suivent un incident de cybersécurité, le cours des actions baisse – et peut continuer de baisser pendant 90 jours après l’incident – par rapport à celui des sociétés qui n’ont pas connu d’incident de cybersécurité.

La cybersécurité gagne également en importance dans les activités de fusion et acquisition. Le sondage de référence sur la création de valeur des sociétés de capital-investissement d’EY a révélé que les sociétés de capital‑investissement sont 2,3 fois plus susceptibles de se concentrer sur la cybersécurité dans le cadre de leur processus de contrôle préalable par rapport à il y a deux ans. Les chefs de la sécurité de l’information devraient donc participer plus tôt et de façon plus stratégique pour améliorer le processus transactionnel.

Alors que les entreprises font évoluer leurs stratégies et leurs activités en matière d’IA, les chefs de la sécurité de l’information se voient offrir une occasion en or d’être des catalyseurs de confiance, de rapidité et de valeur essentiels, et de positionner la fonction cybersécurité comme un service de croissance stratégique. Ce faisant, les chefs de la sécurité de l’information sont plus susceptibles d’être intégrés plus tôt et de façon plus marquée dans les autres initiatives clés de leur entreprise.

Voici trois mesures que les chefs de la sécurité de l’information peuvent prendre pour s’assurer que la fonction cybersécurité joue un rôle de partenaire clé à l’échelle de l’entreprise :

1. Redéfinir le rôle du chef de la sécurité de l’information

Pour que le mandat de la fonction cybersécurité soit vu sous un jour nouveau, il est nécessaire de redéfinir le rôle du chef de la sécurité de l’information.

Les chefs de la sécurité de l’information ne doivent plus se contenter du rôle de professionnel technique au sein de leur fonction, mais bien transformer la cybersécurité en catalyseur stratégique (autrement dit, en entreprise novatrice sécurisée) à l’échelle de l’entreprise. Ce virage exige un sens aigu des affaires et une expertise approfondie pour aligner la fonction cybersécurité sur les objectifs de l’entreprise. Cette transition exige également des chefs de la sécurité de l’information qu’ils accordent la priorité au financement permettant à la cybersécurité de créer de la valeur grâce à des initiatives comme l’adoption de l’IA à l’échelle de l’entreprise, la transformation du service à la clientèle, les acquisitions et les désinvestissements.

Il s’agit d’un véritable changement de paradigme dans la façon dont la fonction cybersécurité est perçue et intégrée dans l’entreprise, ce qui nécessitera probablement des changements plus vastes à l’échelle de l’entreprise. Le fait d’amener le chef de la sécurité de l’information à un rôle stratégique peut amener à repenser la façon dont les leaders de la cybersécurité sont choisis et formés, dont les équipes sont composées, et où placer certaines capacités axées sur l’entreprise. Certaines capacités, comme la mesure de la valeur ou la planification de la transformation, peuvent être intégrées à la cybersécurité; d’autres peuvent être développées plus efficacement grâce à une intégration plus étroite avec les équipes des finances, de la stratégie ou de la transformation, ou grâce à des services gérés. Dans ce contexte, un cadre de quantification de la valeur n’est pas seulement un outil de planification, il peut servir de modèle pour guider des changements plus fondamentaux dans la façon dont la fonction cybersécurité est structurée, dotée en ressources et connectée au reste de l’entreprise. Selon l’entreprise, ce type d’évolution peut être dirigé par le chef de la sécurité de l’information ou par la haute direction.

2. Réévaluer vos besoins financiers en matière de cybersécurité et le budget qui y est affecté

Dans le contexte actuel de contraintes budgétaires, les leaders des différentes fonctions doivent plaider leur cause pour obtenir des investissements. La cybersécurité ne fait pas exception. Notre étude plaide en leur faveur : plutôt que de la considérer comme un centre de coûts ou une fonction dédiée à la réduction des risques, la cybersécurité devrait s’imposer comme un multiplicateur de valeur. En associant la cybersécurité aux initiatives globales de croissance et de transformation à l’échelle de l’entreprise, et en quantifiant sa contribution, l’étude privilégie une approche stratégique plutôt que défensive, ce qui permettrait à la cybersécurité de représenter une part plus importante et plus attrayante du programme de création de valeur de l’organisation.

Les chefs de la sécurité de l’information doivent également déterminer la répartition de leur budget. En général, ils peuvent choisir d’investir directement dans la sécurité ou dans des initiatives de création de valeur dans l’ensemble de l’entreprise. Selon l’American Productivity & Quality Centre (APQC), le rendement des investissements dans la sécurité s’élève en moyenne à 19 %¹. En revanche, les dépenses consacrées à la création de valeur ont un rendement environ 6,6 fois plus élevé. Ce nouvel accent mis sur la création de valeur peut aider les chefs de la sécurité de l’information à justifier leur budget et à accroître leur influence par des initiatives clés.

Les chefs de la sécurité de l’information peuvent simultanément rationaliser et optimiser leurs outils de sécurité et réduire les coûts liés à la technologie. Une approche « tout‑en‑un » ou une approche axée sur les plateformes aidera les chefs de la sécurité de l’information à rationaliser leurs outils de sécurité existants et à les faire migrer vers une plateforme existante de fournisseurs de technologies stratégiques, tout en consacrant les économies prévues sur les coûts de licence à l’amélioration des contrôles de sécurité des projets en cours et planifiés. 

3. Faciliter l’adoption de l’IA pour renforcer la confiance de la haute direction et du conseil d’administration

Selon notre étude, seulement 43 % des fonctions cybersécurité participent activement à l’adoption de l’IA au sein d’autres fonctions.

Il s’agit là, une fois de plus, d’une occasion en or pour les chefs de la sécurité de l’information : en se positionnant comme partenaires stratégiques dans le déploiement de l’IA, ils peuvent gagner une plus grande confiance et participer à des initiatives de transformation plus vastes. La même logique s’applique aux six autres initiatives clés dans le cadre desquelles la cybersécurité crée une valeur ajoutée importante :

• Adopter et intégrer des technologies
• Soigner l’image de marque et la réputation
• Améliorer l’expérience client
• Transformer et innover dans l’ensemble de l’entreprise
• Percer de nouveaux marchés
• Mettre au point de nouveaux produits et services

Pour les chefs de la direction, les chefs des finances et les membres du conseil d’administration, la participation du chef de la sécurité de l’information n’est pas un simple exercice d’atténuation des risques; c’est l’occasion de dégager plus de valeur dans chacune des initiatives stratégiques de votre organisation qui génèrent des revenus. Une intégration plus précoce et plus significative de la fonction cybersécurité peut contribuer à accélérer les déploiements, à renforcer la confiance dans le marché et à créer des produits, des services et des expériences qui soutiennent la valeur de l’entreprise.

Une vision étroite, qui envisagerait la cybersécurité comme une dépense nécessaire visant uniquement à atténuer les risques, amène les entreprises à sous‑investir dans une capacité qui pourrait pourtant générer une plus grande valeur pour l’entreprise. Cette façon de voir les choses doit changer. Les mesures à prendre sont évidentes : les décisions budgétaires doivent être fondées sur la valeur et plus sur les coûts, et la cybersécurité ne doit plus être vue comme un élément budgétaire dédié à la défense, mais comme un catalyseur de croissance, d’innovation et de performance soutenue.

AnnMarie Pino, codirectrice, Ernst & Young LLP; Ed Wong, codirecteur, Ernst & Young Group Limited; Joe Morecroft, codirecteur, Services mondiaux d’EY s.r.l.; et William Reid, conseiller superviseur, Ernst & Young LLP ont contribué à cet article.