Acteurs du Marché
Par Diane Rambaldini,
fondatrice de Crossing Skills.
Si vous lisez ce guide, c’est parce que la question de la recherche, du comparatif et du choix d’un prestataire en sécurité numérique a de grandes chances de vous intéresser. Et peut-être aussi parce que vous savez que la tâche n’est pas aisée !
Selon des critères objectifs tels que le type de service ou de produit recherché ou encore les règles de votre service Achats, selon que vous soyez soumis ou non au code des marchés publics ou selon la maturité de votre entreprise sur le sujet, les contraintes qui influeront sur votre choix ne seront pas les mêmes.
Néanmoins, la contrainte est une constante. En 2016, à l’occasion d’un sondage que Crossing Skills* a mené dans le cadre de l’Agora de la cybersécurité auprès de 50 utilisateurs finaux, 54,2% considéraient qu’il était « difficile de trouver un prestataire ». Plus de 77% pointaient du doigt « le discours trop commercial empreint de promesses » et 56% s’accordaient sur « le manque de lisibilité des offres » et « un marketing limité » bien devant « le manque de temps pour prospecter ». Si ces chiffres sont marquants c’est parce qu’ils dénotent une certaine forme de frustration vis-à-vis des offreurs.
Par ailleurs l’expérience de l’Agoracyber montre que ce décalage avec les attentes trouve aussi son origine dans les phases d’expression de besoins, de définition de la performance et de vision globale de démarche de cybersécurité peu ou mal appréciées par les utilisateurs finaux.
Trouver le « bon » prestataire
Pour choisir un prestataire, au-delà des critères objectifs que nous avons listés ci-dessus, auxquels nous pourrions ajouter le respect des délais, le rapport coût / qualité, la relation clients, et dont les lois de la concurrence feront leur affaire, trouver un « bon » prestataire, c’est d’abord trouver un prestataire qui réponde à ses besoins.
Or, cette phase cruciale de définition des besoins est souvent peu ou mal définie, même dans des grandes entreprises. La définition formelle de l’expression de besoins par le client et la capacité du prestataire à sa reformulation, associée à la définition des résultats auxquels il s’engage, est déjà une « formalité » rare à obtenir.
Mais c’est surtout sur le fond que le bât blesse, et ce, à trois égards d’ordre méthodologique.
D’abord, les expressions de besoins concernant des mesures de protection reposent rarement sur des analyses de risques. Il est d’ailleurs étonnant, de voir combien le réflexe de la demande d’une prestation d’audit surpasse celle d’une analyse de risques !
Dans les PME, cela est d’autant plus étonnant qu’il y a une carence en matière de politique de sécurité des systèmes d’information. La notion de matière cyber mouvante et du besoin de réagir de façon agile par rapport à des risques est encore peu intégrée.
Liée à cela, et considérablement renforcée par l’ « effet silo », l’absence de latéralisation des projets cristallise souvent des distorsions de compréhension sur les périmètres d’action.
Bon nombre d’entreprises en 2017 ont engagé par exemple de lourds projets en matière de transformation numérique. On note que les expressions de besoins en font peu mention. Les projets majeurs deviennent alors non seulement de nouvelles surfaces de risques, mais ont tendance à gréver la démarche de sécurité engagée.
Les offreurs de cybersécurité font alors peur à des entreprises qui se sentent en mal d’appréhension de leurs données et de leur système d’information. Pourtant, une démarche de cybersécurité ne peut se faire sans confiance, à l’image de la relation qu’entretient un avocat avec son client. C’est pourquoi les utilisateurs finaux ont tout intérêt à faire signer des accords de confidentialité et autres clauses de protection des affaires.
Un dernier point reste celui de la performance. Rares sont les expressions de besoins et/ou cahiers des charges qui imposent des indicateurs de performance. Il faut noter que si la tendance est souvent de se protéger contractuellement en exigeant des obligations de résultats, au demeurant non validée dans le cadre d’une prestation de conseil, il devrait en être de même pour les indicateurs de performance. En effet, à l’heure où la loi des retours sur investissement est légion, le suivi d’un tableau de bord avec indicateurs de performance peut s’avérer un allié de poids face à son comité exécutif.
La non-maîtrise des enjeux de cybersécurité
D’ordre général, la crispation des utilisateurs finaux se niche dans la non maîtrise des enjeux de la cybersécurité et le manque de clarté dans la marche à suivre.
C’est pourquoi le projet de l’Agora de la cybersécurité, qui facilite la rencontre entre les offreurs de cybersécurité et les acheteurs finaux, cartographie en parallèle les risques numériques et les offres, pour en augmenter la lisibilité auprès des RSSI et utilisateurs finaux.
Le marché de la cybersécurité en France est encore jeune, petit, constitué dans sa grande majorité de PME et a besoin encore de se structurer. C’est ce qui explique qu’il ne dispose souvent que d’une communication et d’une couverture marketing opérée par les ingénieurs eux-mêmes. C’est un des points noirs que notait déjà en son temps le fameux « Plan 33 » ou Nouvelle France industrielle en 2015. Qu’on le veuille ou non, la sécurité numérique est par essence un sujet complexe, technique, anxiogène et difficile à rendre sexy, qui exige que son marketing et sa vente soient assurés main dans la main avec des professionnels de ces métiers.
