Mesurer le retour sur investissement des solutions de cybersécurité proactive
Table des matières
Comment mesure-t-on la valeur d'une solution proactive ? Comment évalue-t-on un incident ? ce qui n'a pas eu lieu ? Être invité à le faire peut ressembler à une énigme. La réponse est étonnamment simple : vous mesurez la valeur ou le retour sur investissement d'une solution proactive, comme pour tout autre produit, en comparant le avant et le après.
Comprendre l'avant
De nombreux produits permettent de mesurer leur retour sur investissement plus facilement que les solutions proactives. Une imprimante plus rapide et moins gourmande en papier a un résultat attendu clair, comme 1000 pages de plus par heure, mais avec les solutions proactives, il y a une sensation d'ambiguïté. Pour guérir ce sentiment d'ambiguïté, il est essentiel que vous compreniez et ayez mesuré le “avant”.”
Qu'entendons-nous par “ l'avant ” ?
Le secret pour comprendre le “ avant ” est d'avoir une idée claire de ce qui se passe aujourd'hui. Pour les entreprises, cela signifie comprendre les processus en place aujourd'hui et disposer de mesures pour les entrants, les sortants et les résultats. Ces données créent une référence ou une image “ avant ” sur laquelle vous pouvez comparer les mesures “ après ” ou post-solution. Gardez à l'esprit que les mesures varieront selon les départements et que certains peuvent être subjectifs. La prochaine étape consiste à choisir les mesures qui serviront d'indicateurs clés de performance ou d'indicateurs de performance clés (IPC).
Comment choisir les bons indicateurs et KPI ?
Le choix de la mesure et de l'indicateur de performance clé à suivre peut faire ou défaire l'analyse du retour sur investissement d'une solution proactive. Certains indicateurs peuvent être beaucoup plus simples à suivre que les coûts, comme le nombre d'atteintes à la sécurité ou d'incidents constatés au cours d'une année, ou le taux de variation des primes d'assurance. D'autres, comme les ‘coûts”, peuvent être plus complexes. Lorsque l'on mesure le retour sur investissement, l'indicateur numéro un est généralement le coût, non seulement les paiements effectués pour un système ou un service, mais aussi les coûts actuellement supportés par l'entreprise.
Le coût est un petit mot pour englober tous les éléments qui peuvent y être inclus. Les heures de travail, les coûts de recrutement, la perte d'activité, la diminution de la valeur de la marque, les temps d'arrêt, l'assurance, les frais juridiques, les amendes et la remise en état sont autant de types de coûts courants qui peuvent être mesurés pour identifier les changements entre les phases “ avant et après ”. Dans le domaine de la cybersécurité, trois indicateurs clés de performance (ICP) courants sont : le nombre d'incidents de sécurité par an, les primes d'assurance et les heures de travail. Les changements dans ces ICP peuvent être utilisés pour prédire l'efficacité des solutions proactives, la réduction des risques et l'efficience.
Avoir une image claire de l“”après"
Une grande partie du travail effectué pour comprendre le ‘ avant ” peut être réutilisé pour déterminer comment les choses ont changé dans “ l’après ”. Mais quand est “ l'après ” ? Décider quand mesurer l'effet d'une solution est presque aussi important que de choisir les métriques à utiliser. Mesurez trop tôt et même les solutions les plus efficaces n'auront pas eu le temps de faire effet, mesurez trop tard et les solutions inefficaces restent en place par inertie. Alors, quand est le meilleur moment pour avoir une image plus claire de “ l'après ” ?
Typiquement, il est préférable de mesurer les effets d'une solution proactive un an, deux ans et trois ans après son adoption. Bien que cela puisse sembler long, il est essentiel de se rappeler que certaines solutions s'appuient sur leur propre succès, que l'adoption au sein d'une entreprise peut prendre du temps, et enfin, qu'il existe une courbe d'apprentissage pour presque toutes les solutions. En mesurant les effets d'une solution proactive à plusieurs moments, vous donnez le temps de collecter des données réelles d'utilisation complète, révélant ainsi le succès ou l'échec d'une solution.
Il est temps de mesurer
Une fois que vous avez suffisamment de données pour les images “ avant/après ”, il est temps de faire quelques calculs. Heureusement, la formule est assez simple. Le montant du ROI que votre entreprise perçoit est déterminé par les avantages reçus (rendement) divisé par l'investissement ou le coût d'une solution proactive : 
En théorie, les bénéfices sont les changements positifs observés dans les métriques ou les KPI en dollars. Certaines métriques ne se traduisent pas directement en un montant exact en dollars. C'est pourquoi les trois indicateurs clés de performance que sont le “nombre d'incidents de sécurité en un an”, les primes d'assurance et les heures de travail peuvent être si précieux car ils peuvent être traduits en un montant en dollars. Avec ces informations, un retour sur investissement (ROI) réel et attribuable peut être calculé et prescrit à une solution proactive.
Voyez-le en action
Récemment, CybelAngel a commandé une étude de Total Economic Impact (TEI) par Forrester Consulting afin de déterminer le retour sur investissement pour les clients utilisant la plateforme de protection contre les risques externes de CybelAngel, leader mondial dans ce domaine.
L'étude révèle qu'un client composite de CybelAngel atteint un 359% retour sur investissement plus de trois ans, réduit les primes d'assurance cyber de 10%, et évite deux violations de données majeures par an. Pour lire l'étude TEI complète ou en savoir plus sur CybelAngel, consultez notre section dédiée blog.
À propos de l'auteur
