De nombreux professionnels de la sécurité et de l’informatique se sont posé une question commune : peut-on réellement donner un prix à la sécurité ? Il s’avère que oui. Le coût moyen mondial d’une violation de données unique est d’environ 4,45 millions de dollars américains, ce qui constitue une base claire pour les discussions sur les risques avec la direction et un point d’ancrage pratique pour votre argumentaire commercial. Et si cela suffit à certains acteurs pour investir dans des défenses renforcées, d’autres nécessitent une impulsion plus forte et plus globale en faveur de la sécurité, surtout lorsqu’il s’agit d’adopter des approches modernes telles que la sécurité Zero Trust.
En tant que professionnel de l’informatique et de la sécurité, vous comprenez sans aucun doute déjà l’importance de l’accès réseau Zero Trust ; cet article porte donc davantage sur « comment parler à vos partenaires » que sur « les avantages du Zero Trust ».
Lisez la suite pour découvrir ce que les actionnaires valorisent dans le paysage actuel, comment les convaincre d’investir dans une meilleure sécurité, ainsi que des exemples concrets qui nourriront vos efforts et vous aideront à établir une référence sur ce à quoi vous attendre.
Ce que la direction achète réellement
Les conseils d’administration et les dirigeants investissent dans des résultats qui font avancer l’entreprise. Présentez le Zero Trust dans ces termes dès la première diapositive. Le risque diminue lorsque les décisions d’accès tiennent compte de l’identité et du contexte de l’appareil au moment de la demande, ce qui limite les mouvements latéraux et réduit le rayon d’impact d’un compte compromis. Cet argument résonne encore plus lorsque vous le reliez aux réalités des violations, révélant comment les identifiants volés dominent de nombreuses intrusions dans des applications web.
Vos dirigeants veulent voir l’efficacité augmenter, ce qui se produit lorsque les solutions ponctuelles, fragmentées, et les passerelles héritées se consolident en une couche d’accès plus simple. Cela permet de gérer moins de licences, de bénéficier de fenêtres de changement plus courtes et de réduire la charge de support. L’élan augmente lorsque les employés, partenaires et sous-traitants reçoivent un accès par application. Le Zero Trust est le modèle opérationnel qui fournit ces trois éléments. Si vous avez besoin d’une définition que votre comité d’audit acceptera, utilisez le langage du National Institute of Standards and Technology et restez concis.
Se concentrer sur ces aspects pour obtenir le « oui »
Traitez la sécurité comme toute autre décision d’investissement. Cela signifie que vous devez quantifier les pertes évitées, les gains opérationnels et la protection des revenus, puis les mettre en balance avec le coût total du programme.
Pertes évitées. Commencez par l’espérance de perte annuelle : l’espérance de perte unique (le coût d’un incident) multipliée par le taux annuel d’occurrence. Utilisez le repère ci-dessus pour une vérification de cohérence et ajustez-le avec vos propres données d’incident. Si vous utilisez des chiffres régionaux, précisez bien la portée.
Gains opérationnels. Moins d’outils et de passerelles se traduit par moins de licences et de transferts. Les changements d’accès cessent de bloquer les projets, car les politiques résident dans la couche applicative et ne sont plus enfouies dans les pare-feux.
Protection des revenus. Des contrôles plus clairs raccourcissent les revues de sécurité des clients et les renouvellements, ce qui protège les revenus. Dans les secteurs réglementés, une preuve d’accès solide réduit également la charge des audits pour les équipes.
Répondre aux priorités des parties prenantes
Lors de la construction de tout argumentaire, il est essentiel de parler à chaque dirigeant dans le langage qui répond à ses priorités et influence ses décisions. Pour le directeur financier, mettez en avant la certitude des flux de trésorerie, les jalons par phases, et précisez où se situent les économies liées à la consolidation des fournisseurs dans l’exercice fiscal.
Pour le directeur des opérations, insistez sur la résilience et le temps de cycle. Expliquez comment l’investissement dans le Zero Trust peut garantir :
Moins de pannes liées à l’accès ;
Une intégration plus rapide pour les magasins et les équipes terrain ;
Des solutions de repli efficaces en cas d’incident.
Pour le DSI et le RSSI, cœur de votre argumentaire Zero Trust, montrez comment l’investissement peut favoriser la simplicité architecturale et des politiques centrées sur l’identité.
Lorsque des questions surgissent sur la mécanique des violations, ayez le rapport Verizon Data Breach Investigations à portée de main. Cette ressource précieuse montre comment les identifiants volés dominent les attaques ciblant les applications web de base. Proposez un plan par étapes que les dirigeants peuvent inspecter et suivre sans jargon. Commencez par les personnes et les appareils pour un petit ensemble d’applications critiques (authentification forte, politiques du moindre privilège, contrôles de posture, journalisation centrale), puis étendez aux applications et aux données, et enfin incluez partenaires et sous-traitants.
Il est également important d’associer des dates, des fourchettes budgétaires et deux ou trois indicateurs clés par phase (comme le délai moyen de détection, le pourcentage d’utilisateurs sous politique du moindre privilège et les passerelles héritées retirées) et de s’engager à un rapport mensuel simple au conseil. Cela maintient la crédibilité du périmètre et la visibilité de l’élan, tout en alignant le déploiement sur les réalités des violations déjà connues des dirigeants.
Mettre en avant les réussites de vos pairs
En B2B, les études de cas sont des preuves indispensables d’authenticité et de fiabilité. Utilisez-les pour gagner la confiance et l’engagement durable des parties prenantes en montrant des résultats concrets, comme des éditeurs consolidant l’accès à distance pour protéger des actifs critiques en toute confiance.
Par exemple, Microsoft a aidé SEB à exécuter un programme Zero Trust piloté par l’identité, centré sur Microsoft Entra ID, Defender for Identity, Windows Hello (sans mot de passe), Defender for Endpoint et Defender for Cloud Apps. Des résultats qui méritent d’être répétés dans les salles de conseil :
Une réduction de 99 % de l’exposition aux identités et un temps d’intégration divisé par deux pour les employés et sous-traitants ;
Jusqu’à 50 % de détection et de réponse plus rapides ;
Un risque documenté de 30 % à 50 % plus faible d’accès non autorisé après segmentation.
Le programme a également renforcé la « qualité de la sécurité » globale de 40 % grâce à une visibilité consolidée et une réponse coordonnée entre les services Microsoft Defender.
Vous pouvez aussi aller plus loin et montrer comment les fournisseurs de cybersécurité adoptent leurs propres plateformes à grande échelle. Cisco déploie Duo Passwordless auprès de plus de 130 000 utilisateurs avec clés d’accès, authentificateurs de plateforme et clés de sécurité, signalant zéro incident lié aux mots de passe et réduisant les étapes d’authentification de 93 %. Cela démontre la maturité du produit, la confiance opérationnelle et de réels gains d’expérience utilisateur, autant d’aspects que chaque partie prenante recherche.
Terminez avec un résumé percutant d’une page, conçu pour obtenir un « oui » immédiat. Commencez par une base décrivant l’état actuel (incidents, exceptions d’accès, nombre d’outils, délais de révision) avant d’énoncer l’objectif en termes simples. Le message doit être centré sur les exigences des parties prenantes et communiquer clairement que cet effort contribuera à réduire les risques et à simplifier l’écosystème de sécurité.
Conclusion
Le Zero Trust est un changement opérationnel qui, au-delà d’améliorer les défenses, redonne du temps et élimine les anciennes technologies. Traitez l’accès comme un produit avec des niveaux de service. Mesurez le délai d’octroi, le délai de révocation, le pourcentage de sessions en moindre privilège et le nombre de comptes partagés supprimés. Le succès se traduit autant par la suppression que par le déploiement.
Reliez le tout à la base des violations et aux gains opérationnels ci-dessus. Construisez un argumentaire qui suit clarté, preuves et régularité, et le Zero Trust obtiendra le « oui ».
