Comment la cybersécurité peut-elle aller au-delà de la protection de la valeur pour créer de la valeur ?

Alors que la plupart des fonctions de cybersécurité ont été impliquées dans au moins une initiative à valeur ajoutée, telle que l'adoption d'une technologie à l'échelle de l'entreprise, l'innovation commerciale ou l'expansion d'un nouveau marché, 58% des RSSI et des responsables de la cybersécurité déclarent qu'il est difficile d'articuler leur valeur au-delà de l'atténuation des risques, d'après notre étude.

Pour y parvenir, EY a créé un cadre permettant de quantifier la valeur ajoutée de la cybersécurité pour l'entreprise grâce à sa contribution au chiffre d'affaires et aux économies réalisées sur les priorités stratégiques de l'entreprise. Pour calculer la contribution à la création de valeur de l'entreprise, nous avons identifié six initiatives clés - basées sur l'expérience des équipes d'EY avec les clients - dans lesquelles la cybersécurité devrait avoir un rôle important :

1. Adopter et développer la technologie
2. Renforcer la confiance et la réputation de la marque
3. Améliorer l'expérience des clients
4. Transformer et innover dans toute l'entreprise
5. S'étendre à de nouveaux marchés
6. Développer de nouveaux produits et services

Dans notre étude, les dirigeants ont indiqué le chiffre d'affaires généré et les économies annuelles moyennes réalisées grâce à ces initiatives, ainsi que la part du résultat attribuée à la fonction de cybersécurité. Ensemble, ces éléments nous ont permis de calculer la création de valeur de la cybersécurité pour chaque projet ou initiative dans lequel la fonction de cybersécurité est impliquée de manière significative.

Notamment, nous avons constaté une attribution cohérente des résultats à la cybersécurité dans d'autres fonctions de haut niveau, ce qui indique que les RSSI n'attribuent pas leur contribution de manière excessive.

Au total, pour chaque initiative impliquant la cybersécurité, le chiffre médian de création de valeur est de 36 millions de dollars. Ce montant varie considérablement en fonction de la taille de l'organisation, allant d'une médiane de 11 millions de dollars par projet pour les organisations dont le chiffre d'affaires est compris entre 1 et 4,9 milliards de dollars, jusqu'à 154 millions de dollars pour les entreprises dont le chiffre d'affaires annuel est supérieur ou égal à 20 milliards de dollars. 

Mais à quoi ressemble réellement la participation de la cybersécurité à la création de valeur de l'entreprise dans le cadre de différentes initiatives ? 

Comment les Secure Creators ajoutent de la valeur aux initiatives stratégiques clés

L'étude a révélé l'existence d'un groupe de répondants appelés "Secure Creators" - identifiés pour la première fois dans l'étude 2023 EY Global Cybersecurity Leadership Insights Study comme des organisations dotées de fonctions de cybersécurité plus avancées que leurs pairs - qui ont été impliqués plus tôt et plus profondément que leurs pairs dans les initiatives clés de leur entreprise.

Les Secure Creators sont plus susceptibles d'aider d'autres fonctions de l'entreprise à mettre en œuvre l'IA que les "Prone Enterprises" (48% contre 31%). Au-delà des avantages immédiats d'une adoption plus sûre des technologies, une collaboration plus fréquente et plus étroite avec les initiatives technologiques à forte croissance permet d'établir une meilleure relation entre les RSSI et les dirigeants des entreprises du front-office. Les dirigeants du front-office qui travaillent avec les Secure Creators considéreront de plus en plus le CISO comme le véritable catalyseur de la transformation technologique, plutôt que comme le département auquel on fait appel uniquement pour dire "non".

Les Créateurs Sécurisés sont également plus susceptibles d'avoir eu un impact positif sur la façon dont les parties prenantes externes perçoivent leur marque (72% contre 56% pour les Entreprises Prudentes). La relation évidente entre la cybersécurité et la confiance dans les marques réside dans la prévention des piratages et des violations de données qui nuisent à la réputation, et dans la minimisation des pertes ou de l'impact en cas d'incident de cybersécurité. Mais pour Secure Creators, cette relation est encore plus profonde et rapproche la cybersécurité des points de contact avec les clients qui déterminent la fiabilité de la marque. Parmi les exemples cités par les répondants à l'enquête, citons le fait d'éviter les pertes potentielles et de préserver la réputation lors d'une attaque par ransomware et de garantir des transferts de données sécurisés, ce qui permet d'accroître la confiance des clients actuels et d'attirer de nouveaux clients qui attachent de l'importance à la protection des données.

De même, les Créateurs Sécurisés sont plus impliqués dans les efforts d'amélioration de l'expérience client que leurs pairs (53% contre 42%). L'adoption et l'utilisation d'un service dépendent en partie de la confiance des clients - en particulier lorsque ce service utilise l'IA, 64% des consommateurs s'inquiétant de la manière dont leurs données personnelles seront utilisées dans les systèmes d'IA sans leur consentement ou leur permission, selon l'étude EY AI Sentiment Index Study. Parmi les exemples de la manière dont les Secure Creators de l'étude améliorent la confiance et l'expérience des clients, on peut citer le renforcement de la sécurité de la communication interne pour un meilleur service à la clientèle et une résolution plus rapide des plaintes, ainsi que la création de portails pour les clients qui simplifient l'accès aux services.

Les Secure Creators sont plus enclins à dire que leur approche a un impact positif sur le rythme de la transformation et de l'innovation. "Nous développions un produit d'IA de pointe, mais les données de formation sensibles étaient en danger. La cybersécurité a mis en œuvre le cryptage des données et des contrôles d'accès pour protéger l'environnement de formation à l'IA", a déclaré un Secure Creator. "Le produit d'IA a été lancé à temps et son succès nous a donné un avantage concurrentiel sur le marché.

Les dirigeants reconnaissent de plus en plus le rôle de la fonction de cybersécurité lors de l'expansion sur de nouveaux marchés. Selon une étude récente de Gartner, 85% des chefs d'entreprise considèrent que la cybersécurité est essentielle à la croissance de l'entreprise. Les RSSI, ainsi que les responsables de la gestion des risques, aident leurs organisations à prendre en compte les multiples implications de l'entrée sur de nouveaux marchés, de l'exposition accrue aux risques à la visibilité des actifs. Lorsqu'elle est impliquée dès le début de la prospection du marché, la fonction de cybersécurité peut à la fois protéger et ajouter de la valeur aux nouvelles entreprises du marché.

De même, dans le cadre du développement de nouveaux produits et services, la fonction de cybersécurité apporte une valeur ajoutée qui n'est pas toujours reconnue. "La cybersécurité ne consiste pas seulement à protéger la valeur des nouveaux produits et services, mais aussi à la créer. Lorsque les équipes de cybersécurité sont intégrées dès le début du développement des produits, elles contribuent à renforcer la confiance dans les offres de base. Cette confiance devient un facteur de différenciation sur le marché et un catalyseur de croissance," a déclaré Jeremy Pizzala, responsable du conseil en cybersécurité pour l'Asie-Pacifique chez EY.

Les Secure Creators devraient continuer à surpasser leurs pairs

Soixante-treize pour cent de la cohorte de Créateurs Sécurisés de notre étude pensent que leur capacité à apporter de la valeur ajoutée augmentera à l'avenir. Une participation précoce et réussie à des initiatives clés permettra aux RSSI d'être mieux connus du conseil d'administration et d'avoir plus de pouvoir dans la suite. Il aidera également les RSSI à devenir des cadres stratégiques, ce qui représente une évolution par rapport à leur rôle traditionnel de praticien technique. Dans l'ensemble, on voit clairement pourquoi les RSSI pensent que la création de valeur de leur entreprise est susceptible d'augmenter.

"Lorsque les RSSI ont un siège à la table des négociations dès le début des initiatives stratégiques, non seulement ils intègrent la sécurité dans la planification de l'entreprise dès le départ, mais ils ajoutent de la valeur en accélérant l'adoption et en instaurant la confiance avec les consommateurs", a déclaré Rudrani Djwalapersad, responsable mondial des cyber-risques et de la cyber-résilience au sein d'EY.

Notre analyse montre que certains des facteurs les plus importants de l'impact de la cybersécurité sur la création de valeur sont au cœur de l'approche de Secure Creators en matière de cybersécurité :

• Une cyberapproche efficace : plutôt que de se contenter de protéger la valeur, il faut se concentrer sur la création de valeur, par exemple en adoptant rapidement les technologies émergentes.
• Implication stratégique : s'intégrer dans les priorités et les stratégies de l'entreprise.
• Collaboration : établir et utiliser des lignes de communication solides et des liens avec la direction.

L'édition 2024 de cette étude énumère les façons dont l'IA transforme la cybersécurité. L'IA - ou, plus précisément, l'apprentissage automatique - automatise des tâches telles que la détection des menaces et des anomalies, la reconnaissance des formes et l'identification des activités suspectes. Depuis cette étude, l'IA agentique a commencé à offrir une amélioration considérable. Par exemple Charlotte AI de Crowdstrike, alimentée par les microservices NVIDIA NIM est capable de gérer l'ensemble du flux de travail, depuis la détection de la menace jusqu'à sa résolution, sans intervention humaine, ce qui réduit considérablement le temps de résolution des menaces de cybersécurité.

L'étude de cette année a examiné un aspect différent de l'IA : les économies de temps et d'argent. L'étude révèle que la simplification et l'automatisation de la cybersécurité ont permis de réaliser des économies directes, avec une moyenne de 1,7 million de dollars par an.

La plupart des fonctions de cybersécurité n'en sont encore qu'aux premiers stades d'une intégration significative de l'IA - une étude de CrowdStrike de 2024 a été réalisée à ce sujet. 2024 CrowdStrike a révélé que seulement 6% des fonctions de cybersécurité utilisent activement des outils d'IA générative (GenAI) - les dirigeants s'attendent à ce que le chiffre des économies annuelles augmente rapidement dans les années à venir, au fur et à mesure que les programmes d'IA mûrissent.

Simplification et optimisation

Alors que les RSSI poursuivent le déploiement de l'IA dans la fonction de cybersécurité, ils doivent réfléchir à la manière de simplifier leur approche. Un récent rapport de ServiceNow montre que les entreprises les plus prêtes pour l'IA adoptent une approche de plateforme qui exploite une base de code unique, simplifiant ainsi la gestion dans l'ensemble de l'entreprise. Cette approche leur permet d'utiliser plus rapidement de nouveaux outils d'IA - comme l'IA agentique - à grande échelle, car ils "n'ont pas à réinventer la roue chaque fois qu'une nouvelle technologie ou application arrive sur le marché", selon le rapport.

" La plupart des clients qui sont positionnés pour devancer leurs concurrents en matière de déploiement de l'IA, d'innovation technologique et de prise de décision à l'échelle adoptent une approche de plateforme technologique unifiée ", a déclaré Dan Mellen, EY Global and US Cyber Chief Technology Officer.

L'optimisation des outils technologiques existants et la simplification des outils de cybersécurité permettent de supprimer les doublons et de réduire les coûts, tout en améliorant la visibilité et en réduisant le nombre de surfaces d'attaque. Aujourd'hui, les organisations utilisent en moyenne 35 outils cybernétiques différents, et 37% utilisent plus de 50 outils de cybersécurité. De nombreux RSSI cherchent à simplifier leur pile technologique et à réduire les dépenses liées à ces ressources : 23% des répondants à l'étude ont réalisé un effort de rationalisation technologique au cours des deux dernières années, et 41% sont en train d'en entreprendre un. De même, 18% ont simplifié leur plateforme technologique, et 41% sont en train de le faire.

Ces efforts peuvent permettre d'économiser de l'argent et avoir un impact positif sur les contraintes budgétaires. Les Secure Creators ont des fonctions de cybersécurité plus avancées mais requièrent des budgets plus modestes - 10% de moins en moyenne - et sont moins susceptibles de citer les budgets comme un défi majeur.

IA et automatisation

Les outils d'IA et de ML contribuent à automatiser les processus dans l'ensemble de la fonction de cybersécurité. 

Le déploiement de l'IA dans les priorités de la cybersécurité permet d'améliorer les résultats. En particulier, les RSSI déclarent que ces efforts d'automatisation ont permis de réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) de 28%, en moyenne. En outre, six répondants sur dix soulignent l'importance d'une meilleure visibilité des surfaces d'attaque. 

Utiliser les économies de temps et d'argent pour offrir une plus grande valeur ajoutée

Outre les améliorations directes de l'efficacité de la cybersécurité et les économies réalisées, l'optimisation et l'automatisation permettent de consacrer plus d'argent et de temps à la création de valeur, ce qui permet aux organisations de garder une longueur d'avance sur les menaces émergentes et d'améliorer leur position globale en matière de sécurité.

Les économies combinées - à travers l'automatisation, la simplification et l'externalisation - ont, sans surprise, été utilisées pour renforcer les capacités cybernétiques d'une organisation, 74% déclarant avoir investi pour remédier aux faiblesses des contrôles et 46% utilisant les économies pour augmenter la couverture de la surface d'attaque, ce qui conduit finalement à une défense plus résiliente contre les violations potentielles.

Plus particulièrement, deux tiers (68%) ont utilisé les économies de coûts générées par l'optimisation pour l'innovation et d'autres initiatives d'IA, ce qui indique que les RSSI qui sont en avance sur la courbe de l'IA sont susceptibles de rester en tête.

Le transfert de cet argent "réalisé" vers des initiatives de création de valeur telles que l'IA profite non seulement à l'ensemble de l'organisation, mais montre également que les fonctions de cybersécurité avancées fonctionnent davantage comme des unités commerciales stratégiques que comme des centres de coûts.

Une étude récente d'Ernst & Young LLP a examiné le fossé entre l'importance de la cybersécurité et le manque relatif d'influence des RSSI au sein de la direction, 59% des personnes interrogées déclarant que la fonction de cybersécurité n'est pas consultée lors de la prise de décisions stratégiques.

L'étude américaine a également mis en évidence une corrélation directe entre les atteintes à la cybersécurité et la baisse du cours de l'action d'une entreprise. Dans les jours qui suivent un incident de cybersécurité, le cours des actions baisse - et peut baisser jusqu'à 90 jours après l'incident - par rapport aux entreprises qui n'ont pas connu d'incident de cybersécurité.

La cybersécurité gagne également en importance dans l'activité M&A. L'étude comparative d'EY sur la création de valeur dans le secteur du capital-investissement a révélé que les sociétés de capital-investissement sont 2,3 fois plus susceptibles de se concentrer sur la cybersécurité au cours de leur audit préalable qu'il y a deux ans. Les RSSI devraient être impliqués plus tôt et de manière plus stratégique afin d'améliorer le processus de négociation.

Alors que les entreprises transforment leurs stratégies et leurs opérations autour de l'IA, les RSSI se voient offrir une occasion en or d'être des facilitateurs clés de la confiance, de la vitesse et de la valeur, et de positionner la fonction de cybersécurité comme un département de croissance stratégique. Ce faisant, les RSSI ont plus de chances d'être intégrés plus tôt et de manière plus significative dans les autres initiatives clés de leur organisation.

Voici trois mesures que les RSSI peuvent prendre pour s'assurer que la cybersécurité est un partenaire clé dans l'ensemble de l'entreprise :

1. Recadrer le mode de fonctionnement du RSSI

Une nouvelle vision de la mission de cybersécurité nécessite de recadrer le mode de fonctionnement du RSSI.

Les RSSI doivent cesser d'être des praticiens techniques dans le cadre de leurs fonctions pour devenir des facilitateurs stratégiques - des créateurs de sécurité - dans l'ensemble de l'entreprise. Cette évolution nécessite de développer une connaissance approfondie du secteur et de l'entreprise afin d'aligner la fonction de cybersécurité sur les objectifs de l'organisation. Il demande également aux RSSI de donner la priorité aux financements qui aident la cybersécurité à créer de la valeur pour des initiatives telles que l'adoption de l'IA à l'échelle de l'entreprise, la transformation du front-office, ainsi que les acquisitions et les cessions.

Cela représente un changement de paradigme dans la manière dont la fonction de cybersécurité est perçue et dont elle s'intègre dans l'entreprise, ce qui nécessitera probablement des changements organisationnels plus importants. Le fait d'élever le RSSI à un rôle stratégique peut amener à repenser la manière dont les responsables de la cybersécurité sont sélectionnés et formés, dont les équipes sont constituées et où certaines capacités orientées vers l'entreprise devraient être placées. Certaines capacités, telles que la mesure de la valeur ou la planification de la transformation, peuvent être développées dans le cadre de la cybersécurité ; d'autres peuvent être développées plus efficacement grâce à une intégration plus étroite avec les équipes chargées des finances, de la stratégie ou de la transformation, ou grâce à des services gérés. Dans ce contexte, un cadre de quantification de la valeur n'est pas seulement un outil de planification - il peut servir de plan directeur pour guider des changements plus fondamentaux dans la manière dont la fonction de cybersécurité est structurée, dotée de ressources et connectée au reste de l'entreprise. Selon l'organisation, ce type d'évolution peut être mené par le RSSI ou piloté par la hiérarchie.

2. Réévaluer les besoins et l'affectation de votre budget de cybersécurité

Dans l'environnement budgétaire contraint d'aujourd'hui, chaque responsable fonctionnel doit présenter des arguments solides en faveur de l'investissement - la cybersécurité ne fait pas exception à la règle. Cette étude apporte une nouvelle dimension à ce dossier : Plutôt que de considérer la cybersécurité comme un centre de coûts ou une fonction de réduction des risques, il convient de la positionner comme un multiplicateur de valeur. En reliant la cybersécurité aux initiatives de croissance et de transformation à l'échelle de l'entreprise et en quantifiant sa contribution, on passe d'une approche défensive à une approche stratégique, ce qui permet de débloquer une part plus importante et plus convaincante du programme de création de valeur de l'entreprise.

Les RSSI doivent également réfléchir à l'affectation de leurs budgets. D'une manière générale, ils peuvent choisir d'investir directement dans la sécurité ou dans des initiatives de création de valeur dans l'ensemble de l'organisation. Selon l'American Productivity & Quality Center (APQC), le retour sur investissement en matière de sécurité (ROSI) est de 19% en moyenne^. 1 En revanche, les dépenses de création de valeur génèrent des rendements environ 6,6 fois supérieurs. Ce nouvel accent mis sur la création de valeur peut aider les RSSI à justifier leur budget et à accroître leur influence sur les initiatives clés.

Les RSSI peuvent simultanément rationaliser et optimiser leurs outils de sécurité et s'efforcer de réduire les coûts technologiques associés. Une approche "best-of-suite" ou "platform-first" aidera les RSSI à rationaliser et à transférer leurs outils de sécurité existants vers une plateforme stratégique existante d'un fournisseur de technologie, tout en affectant les économies prévues sur les coûts de licence à l'amélioration des contrôles de sécurité par le biais de projets en cours et planifiés. 

3. Faciliter l'adoption de l'IA pour instaurer la confiance au sein de la direction générale et du conseil d'administration

Selon notre étude, seulement 43% des fonctions de cybersécurité sont impliquées de manière significative dans l'aide à l'adoption de l'IA par d'autres fonctions.

Il s'agit là encore d'une occasion en or pour les RSSI : En se positionnant comme des partenaires stratégiques dans l'exécution de l'IA, ils peuvent gagner une plus grande confiance et un siège à la table pour des initiatives de transformation plus larges. La même logique s'applique aux six autres initiatives clés pour lesquelles la cybersécurité apporte une valeur ajoutée significative :

• Adopter et développer la technologie
• Renforcer la confiance et la réputation de la marque
• Améliorer l'expérience des clients
• Transformer et innover dans toute l'entreprise
• S'étendre à de nouveaux marchés
• Développer de nouveaux produits et services

Pour les PDG, les directeurs financiers et les membres du conseil d'administration, l'implication du RSSI est plus qu'un exercice d'atténuation des risques ; c'est une occasion de débloquer plus de valeur dans chacune des initiatives stratégiques et génératrices de revenus de votre organisation. Une intégration plus précoce et plus significative de la fonction de cybersécurité peut contribuer à accélérer les déploiements, à renforcer la confiance dans le marché et à créer des produits, des services et des expériences qui maintiennent la valeur de l'entreprise.

Une vision étroite de la cybersécurité comme une dépense nécessaire visant uniquement à atténuer les risques conduit les organisations à sous-investir dans une capacité qui pourrait générer une plus grande valeur pour l'entreprise. Cette perspective doit changer. L'appel à l'action est clair : faire passer les décisions budgétaires d'une optique centrée sur les coûts à une optique centrée sur la valeur, en traitant la cybersécurité non pas comme un poste budgétaire défensif, mais comme un catalyseur de croissance, d'innovation et de performance durable.

AnnMarie Pino, directrice associée, Ernst & Young LLP ; Ed Wong, directeur associé, Ernst & Young Group Limited ; Joe Morecroft, directeur associé, EYGS LLP ; et William Reid, associé superviseur, Ernst & Young LLP ont contribué à cet article.