Tendances d'évolution des budgets des entreprises en cybersécurité dans le monde en 2022. Crédit : IDG
Alors que les budgets de sécurité continuent d'augmenter dans les entreprises, où va l'argent ? Des enquêtes récentes donnent un aperçu de la ventilation dépenses pour l'année à venir.
Une étude récemment menée par le magazine CSO sur les priorités des entreprises en matière de cybersécurité révèle que 44% des RSSI tablent sur une hausse de leurs budgets au cours des 12 prochains mois. Ils étaient 41% à faire la même prévision dans le cadre de l'édition 2020 de cette enquête annuelle. 54% des personnes dernièrement interrogées déclarent s'attendre de leur côté à ce que leurs budgets reste inchangés pour l'année qui vient. Ils ne sont que 2% à anticiper une diminution, soit une proportion bien inférieure aux 6% ayant vu leurs dépenses baisser de 2020 à 2021.
D'autres études montrent des tendances similaires
Selon le rapport « Global Digital Trust Insights 2022 » de PwC, « les investissements continuent d'affluer dans la cybersécurité », avec 69 % des entreprises interrogées prédisant une augmentation de leurs dépenses en matière de cybersécurité pour 2022. Elles sont même 26% à s'attendre à un bond de 10% et plus de leurs investissements.
Pour sa part, Gartner estime que les dépenses consacrées à la sécurité de l'information et à la gestion des risques totaliseront 172 Md$ en 2022, contre 155 Md$ en 2021 et 137 Md$ l'année précédente.
En dépit de la hausse attendue des montants mis à leurs disposition, les RSSI ne vont pas déborder de moyens financiers. Eux-mêmes et les conseillers exécutifs affirment que les services de sécurité doivent continuer à montrer qu'ils rentabilisent l'argent investi, à faire mûrir leurs opérations et, en fin de compte, à améliorer l'état de la sécurité informatique de leurs organisations.
« Les entreprises savent que les risques augmentent chaque jour, ce qui explique que les dépenses continuent d'affluer vers la cybersécurité », déclare Joe Nocera, responsable du Cyber & Privacy Innovation Institute de PwC. « Des chefs d'entreprises nous disent qu'ils seraient prêts à dépenser n'importe quoi pour ne pas se retrouver à la une d'un journal pour un hack. Mais, ils ne veulent pas dépenser un centime de plus que nécessaire et exigent de consacrer leur argent aux bons domaines. Cela va demander aux PDG et aux RSSI de travailler main dans la main », poursuit-il.
Selon le représentant de PwC, les investissements en cybersécurité visent moins à disposer des dernière technologies et qu'à comprendre d'abord là où l'entreprise est la plus vulnérable. Vient ensuite la hiérarchisation des investissements, en fonction de la probabilité qu'une attaque se produise et de l'importance de la perte qu'elle risque d'engendrer pour une entreprise.
Les tendances déterminant l'allocation des budgets
Sam Rehman, le RSSI de la société nord-américaine EPAM Systems, déclare que les budgets de cybersécurité pour 2022 reflètent l'intérêt toujours croissant du reste des équipes de direction et des conseils d'administration pour la stratégie de protection des systèmes d'information. Ce que confirme le rapport de PwC : « Les organisations savent que les risques augmentent. Plus de 50% d'entre elles s'attendent à une augmentation des incidents l'année prochaine, soit plus qu'en 2021 ».
Sam Rehman affirme que le volume des attaques n'est que l'un des facteurs qui poussent de nombreuses entreprises à augmenter leurs dépenses en cybersécurité. Les dirigeants constatent également l'impact significatif que les violations de la protection des systèmes informatiques peuvent avoir, et comment la simplicité de monétisation des attaques à l'ère de la crypto-monnaie anonyme entretient la motivation des hackers.
En réaction, les dirigeants veulent maintenant s'assurer qu'ils défendent adéquatement leurs entreprises et qu'ils peuvent répondre de manière appropriée à une attaque. Autrement dit, ils recherchent à la fois de la protection et de la résilience. Preuve qu'ils commencent à comprendre qu'il n'existe pas de protection efficace à 100 %, mais qu'une défense solide peut faire gagner du temps pour détecter, réagir et récupérer avant que des dommages importants (voire aucun) ne soient causés.
« La majorité des organisations augmenteront considérablement leurs budgets de dépenses afin de se protéger et de protéger leurs clients contre les cyberattaques », ajoute Joe Nocera de PwC. Dans le même temps, les responsables de la sécurité indiquent qu'ils ressentent une pression provenant d'entités externes, en plus de celles exercées par les directions et les membres du conseil d'administration, pour l'obtention de résultats. Ils entendent des clients, des partenaires commerciaux et des régulateurs que la sécurité est également une priorité pour eux.
Aux Etats-Unis, par exemple, le décret du président Joe Biden de mai 2021 visant à renforcer la cybersécurité du pays est l'un des facteurs qui a le plus contribué à la hausse des budgets à la disposition des RSSI. Ce type d'actions réglementaires et législatives est importante pour de nombreuses entreprises, puisqu'elles doivent se mettre en conformité avec les textes pour poursuivre leur activité dans de bonnes conditions.
L'enquête du magazine CSO corrobore ce dernier point. Ses résultats montrent qu'en matière de priorités en cybersécurité, 49% des RSSI citent le suivi de best practices comme un facteur déterminant de leurs dépenses. Ils sont autant à citer la conformité et la réglementation comme facteurs déterminants. Viennent ensuite la nécessité de faire face à l'évolution des risques posés par l'évolution de la dynamique de la main-d'oeuvre ou de l'entreprise, notamment le travail hybride et à distance (41 %) ; l'importance de prévenir les risques résultant de la transformation numérique tels que le passage au cloud (38 %) ; le besoin de réagir à un incident de sécurité qui s'est produit dans leur propre organisation (35 %) ; et le devoir de répondre à un incident de sécurité qui s'est produit dans une autre entreprise (25 %).
Les priorités en matière d'investissement
L'enquête menée par CSO montre également que les dépenses en cybersécurité sont réparties différemment entre un certain nombre de domaines : 20 % sont alloués aux infrastructures et aux matériels déployés sur site, 19 % au personnel qualifié et 16 % aux outils et logiciels on-premise. C'est l'addition de ces moyen qui constitue la base de la fourniture d'une protection aux entreprises. Le reste des budgets est orienté vers les solutions de sécurité basées sur le cloud (10 %), les services de conseil (7 %), les services de surveillance de la sécurité basés sur le cloud (7 %), la formation à la sensibilisation à la sécurité (7 %), les services d'évaluation sous contrat (6 %) et les services externes de réponse aux incidents (5 %).
Les dernières prévisions de Gartner concernant les dépenses de sécurité et de gestion des risques précisent davantage où ira l'argent en 2022 : près de 77 Md$ seront affectés aux services de sécurité, ce qui en fait de loin la plus important poste d'investissement ; 30 Md$ seront alloués à la protection des infrastructures ; 19 Md$ aux équipements de sécurité réseau ; et 17 Md$ à la gestion des identités et des accès. Les autres domaines captant de gros budgets incluent la sécurité des applications (6,6 Md$), la gestion intégrée des risques (6,4 Md$), la sécurité des données (4 Md$), les logiciels (2,7 Md$) et la sécurité du cloud (1,4 Md$).
Shawn Eftink, analyste principal pour les technologies et les tendances émergentes chez Gartner, explique que les dépenses du RSSI peuvent être divisées en quatre grands domaines. Le premier concerne la prise en charge de « la sécurité indépendante de l'emplacement », qui crée un programme de cybersécurité qui considère de facto l'identité comme le périmètre à protéger. Le second porte sur l'évolution de l'organisation de la sécurité. Selon Shawn Eftink, les équipes sécurité sont soumises à un examen minutieux et de plus en plus intensif à mesure que les connaissance en matière de cybersécurité progressent parmi les membres des conseils d'administrations ; ces derniers demandent à la fois une efficacité accrue et une maturation démontrable de la fonction de sécurité, la réduction de la complexité des produits de sécurité étant essentielle pour répondre à ces attentes. Le troisième volet est celui des technologies évolutives ; les organisations dépensent davantage pour les technologies de sécurité émergentes et matures, tels que les outils de simulation de violation et d'attaque, ainsi que les technologies nécessaires pour sécuriser leurs environnements cloud en pleine croissance. Le dernier grand domaine de dépenses touche à l'externalisation, soit les investissements qui aident les RSSI à améliorer l'efficacité de leurs opérations de sécurité et à faire face aux problèmes de dotation en personnel interne.
La vision de l'analyste de Gartner est partagée par nombre de responsables de la cybersécurité en entreprise. Ils affirment que les RSSI investissent dans des logiciels de gestion des accès et des identités, des technologies d'authentification telles que le contrôle d'accès basé sur les rôles, l'analyse du comportement des utilisateurs et la micro segmentation pour prendre en charge leur architecture zéro trust en cours de maturation. Les RSSI dépensent aussi en solutions de sécurité cloud. Ils achètent des solutions d'automatisation et d'analyse pour traiter d'importants volumes de données de sécurité de manière plus efficace et efficiente. Enfin, ils engagent des fournisseurs de services de sécurité managés (MSSP) pour appuyer les actions de leurs propres collaborateurs.
Dépenser Intelligemment
Dans le cadre de l'étude de PwC, les dirigeants d'entreprises citent les cybermenaces comme le deuxième risque pour les perspectives commerciales, juste après les pandémies et autres crises sanitaires. Les PDG d'Amérique du Nord et d'Europe occidentale placent le cyber risque au premier rang. Dans le même temps, pourtant, les experts affirment que les dirigeants d'entreprises ne sont pas disposés à faire des chèques en blanc à leurs RSSI.
Pour les experts, ils n'ont pas tort. « Dépenser n'est pas nécessairement synonyme de sécurité », déclare Shawn Eftink. Une vision souvent partagée dans la profession. Pour l'analyste, les RSSI peuvent s'attendre à devoir continuer à gagner en efficacité et à devenir plus efficaces avec des budgets identiques ou en augmentation minimale. Et pour ce faire, ils vont devoir continuer à intégrer dès le départ les problématiques de sécurité dans les processus opérationnels et les outils numériques qui permettent aux entreprises de mener leurs activité, et à intégrer la sécurité dans le tissu même des organisations.
« Le mode de pensée doit changer : la sécurité doit être un élément intégré. Elle ne peut pas être une réflexion après coup. Un changement de paradigme doit se produire », déclare Shawn Eftink. Joe Nocera, le responsable du Cyber & Privacy Innovation Institute de PwC, partage ce point de vue : « A mesure que les entreprises investissent pour résoudre les problèmes de sécurité, elles doivent aussi créer des systèmes intégrés dans toute l'organisation, faisant de la cybersécurité l'affaire de tous, et pas seulement du RSSI ou de l'équipe informatique. » « Finalement, de solides opérations de cybersécurité à l'échelle de l'entreprise peuvent renforcer la confiance au sein des organisations, des parties prenantes et des consommateurs, devenant ainsi un différenciateur concurrentiel. Les coûts auxquels les entreprises font face aujourd'hui pour renforcer leurs systèmes doivent être considérés comme des investissements dans leurs futurs modèles commerciaux », conclue-t-il.
Suivez-nous