Forrester prévoit que les dépenses traditionnelles en matière de fournisseurs de services managés de sécurité (MSSP) vont se déplacer vers de nouvelles offres et de nouveaux fournisseurs qui offrent de meilleurs résultats. Illustration : D.R.
Les dépenses de sécurité devraient plus ou moins se maintenir l'an prochain, car les entreprises cherchent à améliorer leurs défenses dans le cloud et à s'appuyer davantage sur les fournisseurs de services managés de sécurité (MSSP).
L'année prochaine, les dépenses de cybersécurité n'échapperont sans doute pas à la récession, mais elles devraient probablement y résister. En effet, les responsables de la sécurité restent sous pression et à l'affût de technologies qui offrent le meilleur rapport qualité-prix. Le rapport publié par Forrester compte aider les entreprises dans ce sens. « Il est difficile d'évaluer les budgets de 2023, car pour l'instant la plupart des entreprises sont encore en phase de planification, mais dans l'ensemble, on peut dire qu'elles restent prudentes », a déclaré Merritt Maxim, vice-président et directeur de recherche de Forrester. « On peut s'attendre à un relatif maintien de la croissance ou à une stagnation, même si une plus forte récession pourrait se traduire par des réductions ponctuelles. Pour l'instant néanmoins, je ne prévois pas de coupes immédiates dans les budgets en prévision de conditions macroéconomiques défavorables », a ajouté M. Maxim.
Des dépenses insuffisantes pour la sécurité du cloud
Selon le rapport de Forrester, les entreprises ne dépensent pas assez dans la sécurité du cloud. Au cours des deux prochaines années, 58 % des entreprises auront déplacé leurs portefeuilles d'applications vers un cloud public, mais si les équipes de sécurité consacrent un montant considérable à la sécurité du cloud, elles ne dépensent pas assez par rapport au pourcentage de charges de travail qu'elles migrent dans le cloud. « Elles doivent dépenser beaucoup plus », estime Forrester. Par contre, le rapport soutient que les entreprises dépensent peut-être trop dans la sécurité sur site. Il constate que les dépenses sur site, qui incluent les dépenses de maintenance, de licences, de mises à niveau et de nouveaux investissements, représentent dans leur ensemble le poste le plus important dans les budgets de sécurité. Le pourcentage s'élève à 41 % des dépenses pour les entreprises qui consacrent 20 % ou moins de leurs budgets IT à la sécurité et à 38 % pour celles qui y consacrent plus de 20 % de leurs budgets. « Même s'il y a un intérêt à transférer le plus de données possibles dans le cloud, cela peut ne pas convenir à certains types de données », a expliqué Merritt Maxim, l'un des auteurs du rapport. « Certaines technologies sur site n'ont pas forcément d'équivalent dans le cloud, surtout s'il s'agit d'une application personnalisée, et il n'existe donc pas forcément de voie de migration. Cela peut également poser des problèmes en matière de sécurité ».
Davantage de dépenses dans les MSSP
Le rapport estime aussi que la migration vers le cloud n'aura pas d'impact sur les dépenses des entreprises en matière de services. Cependant, Forrester prévoit que les dépenses traditionnelles en matière de fournisseurs de services managés de sécurité (MSSP) vont se déplacer vers de nouvelles offres et de nouveaux fournisseurs qui offrent de meilleurs résultats. « Par rapport à il y a cinq ans, l'écosystème de fournisseurs de services s'est beaucoup développé et il peut prendre en charge n'importe quelles capacités de cybersécurité, », a expliqué M. Maxim. « Les entreprises doivent comprendre les capacités d'un prestataire de services, et voir dans quelle mesure elles répondent aux besoins des entreprises de leur secteur ou de leur taille », a ajouté le vice-président et directeur de recherche de Forrester.
Réduire la sensibilisation à la sécurité ne sera pas payant à long terme
Selon le rapport, pour faire des économies, les responsables du budget sont tentés de réduire le travail de sensibilisation à la sécurité et d'autres types de formation. « Même si, dans un contexte de ralentissement économique, ces coupes sont tentantes, elles ne permettront pas d'économiser beaucoup par rapport à d'autres dépenses », affirme encore le rapport. Elles risquent aussi d'exacerber la pénurie de compétences et de miner la capacité à instaurer la confiance au moment où les entreprises qui ont délocalisé le travail en ont le plus besoin. « Les individus ne sont peut-être pas les premiers coupables, mais ils sont certainement l'un des principaux responsables du succès des attaques », fait remarquer Merritt Maxim. « Tout ce que l'on peut faire pour améliorer la vigilance et la résilience des utilisateurs sera bénéfique. Les entreprises ont pensé, à tort, qu'une vidéo de 30 minutes et qu'une formation à la sécurité, une fois par an, seraient suffisantes. Mais, pour être efficace, le comportement en matière de sécurité doit être distillé en permanence dans la culture de l'entreprise ».
Suivez-nous