theNet by CLOUDFLARE

Calculer le RSI des investissements dans la sécurité

La sécurité ne doit plus être envisagée comme un coût mais comme une valeur stratégique

Malgré les efforts récents, il reste encore beaucoup à faire pour que la cybersécurité soit placée en tête des priorités de l'entreprise.

Un certain nombre de RSSI rendent compte directement au PDG et sont invités à de discuter des risques et de la conformité avec le conseil d'administration de leur entreprise. Pourtant, plus de la moitié des équipes de sécurité affirment manquer de financements, ce qui les freine dans les investissements cruciaux pour la réduction des risques. À tort ou à raison, de nombreuses entreprises considèrent leur équipe de sécurité avant tout comme un centre de coûts, poste de dépense comme un centre de coûts ; c'est ainsi que les investissements en matière de sécurité ont tendance à se retrouver sur la sellette lorsque les budgets sont restreints ou que les prévisions financières sont incertaines.

Pour faire évoluer cette perception, les responsables de la sécurité doivent consacrer beaucoup de temps aux relations avec leurs pairs et à l'alignement de la stratégie de sécurité sur les priorités plus larges de l'entreprise. Ce faisant, il peut être utile de discuter du retour sur investissement (RSI) des investissements antérieurs en matière de sécurité. Ces mesures peuvent amener les collègues dirigeants à comprendre la valeur apportée par l'équipe de sécurité et, potentiellement, les convaincre de soutenir de tels investissements à l'avenir.

Mettre en adéquation les mesures du RSI avec les priorités commerciales

Avant de déterminer les types de RSI à évaluer et d'examiner les données dans le détail, les responsables de la sécurité doivent d'abord décider du type d'histoire qu'ils essaient de raconter. N'importe quel chiffre ou indicateur, aussi impressionnant soit-il, peut sembler aléatoire s'il n'est pas placé en perspective avec une priorité plus large de l'entreprise.

Voici trois priorités numériques courantes et les différentes mesures du RSI qui peuvent constituer un argument en faveur de leur soutien :

Poursuivez votre lecture pour découvrir les méthodes spécifiques correspondant à chacun de ces types de mesures.

Mesure du RSI n°1: les économies engendrées par la réduction du nombre de pannes des applications web

Il existe de nombreux indicateurs et scores permettant de quantifier le risque et ses réductions. Ces scores peuvent, bien entendu, être utiles pour les équipes de sécurité, mais ils peuvent paraître trop abstraits pour être compris par d'autres membres d'une entreprise.

En revanche, lorsque vous parlez des répercussions liées aux améliorations de la sécurité, que vous les associez à un chiffre, c'est toute l'entreprise qui vous écoute. Dans le contexte de la sécurité des applications web, l'un de ces nombres est le chiffre d'affaires généré par ladite application web. Il est beaucoup plus concret de mesurer la manière dont les améliorations apportées à la sécurité protègent les revenus que d'établir un score de risque isolé.

Pour procéder à cette évaluation, vous avez besoin des données suivantes :

  1. Le temps cumulé d'indisponibilité lié aux attaques subies par votre site web avant et après l'investissement en question. Idéalement mesuré en heures au cours d'une année, car une fenêtre plus courte risque de ne pas rendre compte des périodes de ventes élevées. Il sera probablement judicieux de collecter différentes versions de ce chiffre pour différents types d'attaques (par exemple, DDoS, bots malveillants).

  2. Le coût horaire/quotidien d'une interruption de service de votre site web. Pour les entreprises B2C, votre équipe e-commerce doit être en mesure de vous indiquer le chiffre d'affaires généré par votre site web par heure. Pour les entreprises B2B, votre équipe marketing peut être en mesure de vous indiquer le nombre de prospects ou de formulaires remplis par votre site web par heure/jour, ainsi que la valeur moyenne d'un prospect. Dans les deux cas, une moyenne mensuelle/annuelle constitue un bon point de départ, mais vous pouvez, si vous le préférez, partir de la moyenne correspondant à une période spécifique (par exemple, les achats au moment des fêtes) si c'est là que vos attaques ont tendance à se produire.

Ces chiffres vous permettront d'obtenir une estimation sérieuse du chiffre d'affaires que vous avez protégé en bloquant un plus grand nombre d'attaques d'un type donné. Vous pouvez utiliser cette mesure pour motiver une plus grande adhésion à une expansion du projet d'origine ou simplement pour démontrer que des projets connexes auront une incidence significative.

Mesure du RSI n°2 : réduction du risque de violation des applications web

Certains investissements en matière de sécurité n'influent pas directement sur les revenus ; c'est le cas par exemple de ceux qui sont entièrement consacrés à la prévention d'éventuelles violations à venir. Les responsables de la sécurité doivent alors parvenir à un équilibre délicat lorsqu'ils mesurent le retour sur investissement. D'une part, les indicateurs de risque propriétaires peuvent être difficiles à comprendre. D'autre part, les chiffres moyens du coût d'une violation de données peuvent être assez élevés et paraître alarmants. Enfin, les responsables de la sécurité savent qu'ils ne peuvent tout simplement pas promettre d'empêcher toutes les violations à venir.

Pour présenter la situation de manière plus mesurée, les responsables de la sécurité peuvent utiliser les chiffres suivants :

  • Probabilité de subir une violation au cours d'une période donnée. Selon les données disponibles, il peut être judicieux d'utiliser les données réelles de l'entreprise ou des indicateurs sectoriels.

  • Le coût moyen d'une violation de données. Là encore, les indicateurs sectoriels peuvent apporter de la précision à ce chiffre.

  • Pourcentage de violations qui proviennent de la surface d'attaque/du vecteur en question.

  • Pourcentage de réduction du risque grâce à l'investissement dans la sécurité. Utilisez des indicateurs aussi largement acceptés que possible. Pour les applications web, par exemple, il peut être utile de déterminer combien parmi les vulnérabilités inscrites au Top 10 de l'OWASP sont atténuées ou évitées par les investissements en matière de sécurité.

Ces chiffres permettent aux responsables de la sécurité d'établir une estimation plus circonstanciée des économies liées aux violations et d'aider leurs collègues à appréhender de manière plus concrète des faits finalement incertains.

Mesure du RSI n°3 : les économies de coûts liées au gain de temps pour les équipes

Pour les investissements sans incidence directe sur le profil de risque de l'organisation, les responsables de la sécurité doivent néanmoins essayer de démontrer l'apport sur la productivité et l'efficacité des équipes. Si votre équipe de sécurité gagne du temps (ou est susceptible d'en gagner) en réalisant un investissement particulier, le prix initial peut paraître moins inquiétant pour les collègues dirigeants. Par ailleurs, plus de temps libéré pour les équipes signifie plus le temps consacré à des tâches plus stratégiques.

Pour calculer ce chiffre, il convient de disposer des éléments suivants :

  • Le salaire horaire moyen d'un membre de l'équipe de sécurité. Selon la nature de l'investissement, vous pouvez vous intéresser à des membres de l'équipe qui seraient plus spécifiquement concernés par l'investissement ou extrapoler sur la manière dont il peut affecter l'ensemble de l'équipe.

  • Le nombre d'heures économisées par semaine/mois/année grâce à votre investissement en matière de sécurité. Il peut s'agir d'une estimation du temps moyen nécessaire à l'exécution des tâches dignes d'intérêt, par exemple la réponse aux tickets, la mise à jour des politiques ou l'intégration des utilisateurs. Des périodes plus courtes peuvent en outre être plus utiles à la planification des ressources, tandis que des périodes plus longues apporteront plus d'informations dans un contexte de réduction des coûts globaux.

En plus des avantages susmentionnés, la multiplication des deux chiffres offrira une mesure permettant aux dirigeants de comprendre de manière plus tangible les gains de temps obtenus, en particulier pour ceux qui ne mesurent pas forcément la valeur des professionnels de la sécurité.

Une plateforme de sécurité performante permet d'augmenter le RSI

Il est impossible de mesurer le bénéfice apporté par un service de sécurité si celui-ci ne se concrétise jamais. Et malheureusement, de nombreuses plateformes de sécurité présentent des failles structurelles qui réduisent l'efficacité et la visibilité de leur apport, pour des raisons telles que :

  • Nécessité d'intégration manuelle ou de services supplémentaires d'unification pour que tout fonctionne ensemble

  • Multiplicité des interfaces utilisateur correspondant à différentes collections de services

  • Diversité des services résidant sur différentes infrastructures, ce qui donne lieu à des problèmes de performances et de disponibilité

Le cloud de connectivité de Cloudflare (une plateforme unifiée de services de sécurité et de connectivité cloud-native) fonctionne différemment. Elle a été intégralement conçue dans une optique d'efficacité, de visibilité et de contrôle, grâce aux caractéristiques suivantes :

  • Architecture composable et programmable : chaque service étant capable de s'exécuter sur chaque serveur du réseau et personnalisable à l'aide de fonctions serverless simples.

  • Portée mondiale et omniprésente : notre réseau s'étend sur plus 335 de villes à travers le monde et s'interconnecte avec plus de 13 000 autres réseaux.

  • Des informations transversales sur les menaces pour chaque service : collectées dans le cadre de la diffusion d'environ 20 % de l'ensemble du trafic web.

  • Une interface unifiée et simplifiée : celle-ci permet aux utilisateurs de gérer chaque service de sécurité depuis une interface unique.

Une récente étude de Forrester a conclu qu'une entreprise composite représentative des clients interrogés a protégé près d'un million de dollars de revenus, réduit de 25 % le risque de violation des applications web et réalisé un retour sur investissement de 238 % en trois ans.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Approfondir le sujet

Découvrez le retour sur investissement du cloud de connectivité de Cloudflare (et des mesures spécifiques telles que celle-ci) dans le rapport Forrester Total Economic Impact consacré au cloud de connectivité de Cloudflare.


Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

  • Comment mesurer le RSI des différents types d'initiatives en matière de sécurité

  • Comment les mesures du RSI en matière de sécurité facilitent les investissements futurs

  • Les types de plateformes de sécurité proposant le meilleur retour sur investissement


Ressources associées

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !

S'abonner à theNET

Prise en main

Ressources

Solutions

Communauté

Support

Société

© 2025 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationSignaler des problèmes de sécuritéFiabilité et sécuritéMarque commerciale