Le danger de l’opportunisme cyber pour les ESN généralistes

Élément critique de la viabilité des entreprises, la cybersécurité englobe des problématiques larges et variées qui nécessitent chacune des expertises précises qu’un partenaire peut difficilement assumer seul.

Si les constructeurs et éditeurs mettent en avant le time to market de la cybersécurité, on constate également une demande croissante de la part des clients auprès de leurs partenaires pour répondre aux enjeux cyber de l’organisation.

Toutefois, il est préférable de ne pas se précipiter dans une opportunité d’affaire au prétexte que l’on sait déjà vendre un firewall, donc de la cyber. Cette posture est une erreur coûteuse pour l’ESN comme pour le client, car elle revient à proposer un conducteur de train pour piloter un avion. Sachant que, dans ce domaine, l’atterrissage n’est pas facultatif, il serait prudent de reconsidérer l’opportunité à plus d’un titre.

L’ESN doit admettre que la cybersécurité se distingue de la sécurité informatique par le fait qu’elle traite uniquement les flux de l’organisation et non les infrastructures. La cybersécurité consiste à assurer l’intégrité et la conformité d’un paquet de données et pas d’en assurer la disponibilité ou la pérennité. On touche à l’immatériel du système d’information au même titre qu’une cyberattaque ne se ressent qu’à travers un écran noir ou un message apocalyptique dénonçant un SI bloqué.

L’ESN a la chance de connaître son client mieux que personne, et ce privilège est à mettre au service du lien de confiance qui les associe, et pas au profit d’une opération commerciale qui viendra de toutes les façons. En effet, vendre de la cyber c’est avant tout vendre un service transversal à l’organisation qui impacte le SI en premier lieu, mais aussi et surtout le collaborateur dans ses usages et sa posture à l’égard de la donnée.

Car si vendre un XDR est bien une fonction cyber, le faire sans proposer de l’ingénierie sociale, ni sans le respect de la réglementation (une solution conforme au RGPD par exemple) est une faute qui démontre l’incompétence de l’ESN sur ce segment. Comme en médecine, il y a les généralistes et les spécialistes, en cyber c’est pareil. Fort de ce constat, aucune ESN généraliste ne peut prétendre une quelconque expertise sur ce sujet.

L’expertise est la clé

Ce sont des années d’expérience pluridisciplinaire qui permettent d’assurer un conditionnement de la donnée dans un cadre sécurisant. Le mieux à faire est de s’appuyer sur une expertise qui profitera à l’ensemble de l’écosystème.

D’abord, le client se sentira rassuré d’entendre de la part de son partenaire de confiance qu’il connaît l’expertise ad hoc à ce problème et qu’il la pilotera en partageant son savoir, et ainsi apporter une réponse plus juste et précise au besoin du client.

Par ailleurs, le partenaire n’est plus juge et partie de l’infrastructure de son client et cela renforcera la confiance de ce dernier lorsque le partenaire établira les choix technologiques. Il apparaîtra bien comme un expert et pas juste comme un « vendeur ».

Enfin, l’expert va systématiquement accélérer les exigences de conformité de l’infrastructure comme la dette technique (interdit par l’article 32 du RGPD) et ainsi augmenter significativement le revenu de l’ESN chez son client.

Il lui faut cependant acquérir le bon discours en indiquant le surcoût réel de ces opérations même si, désormais, il est possible de sécuriser une TPE de dix personnes pour 19 euros par mois et par utilisateur.

Invoquer la vérification de la police d’assurance du client, et évaluer son risque en proportion de sa dette technique est une action saine et de confiance qui ne fera que renforcer les liens à long terme.