Selon une étude internationale indépendante commandée par Thycotic, fournisseur de solutions de gestion des accès à privilèges (PAM, Privileged Access Management)*, les investissements des entreprises dans la cybersécurité résultent le plus souvent d’un incident ou de la crainte d’un défaut de conformité lors d’un audit.
Cette étude examine ce qui motive le plus la direction des entreprises à investir dans la cybersécurité, ainsi que l’incidence sur la prise de décision des RSSI (responsables de la sécurité des systèmes d’information).
L’étude a été réalisée auprès de plus de 900 RSSI ou décideurs informatiques dans le monde (dont 100 en France). Elle révèle que, selon plus de la moitié (56 % en France) des responsables interrogés, leur entreprise prévoit d’augmenter son budget de sécurité au cours des 12 prochains mois.
Il est manifeste que les entreprises accentuent leurs investissements. Plus de trois quarts (63 % en France) de celles interrogées ont bénéficié d’investissements dans de nouveaux projets de sécurité, soit en réponse à un cyber incident (43 %), soit par crainte d’échouer à un audit (20 %). Alors que le montant des pénalités financières infligées en vertu du RGPD totalise aujourd’hui 175 millions d’euros, près d’un tiers des participants à l’enquête (34 %) pensent que la menace d’un défaut de conformité ou d’une amende est le moyen le plus efficace de persuader les entreprises d’investir dans la cybersécurité.
Le COVID accentue les investissements dans la sécurité
Face à la montée des cybermenaces et des risques pendant la crise du COVID, les RSSI indiquent que les entreprises y sont vigilantes et renforcent leur budget de cybersécurité. L’immense majorité d’entre eux (91 % contre 94% en France) jugent que leur direction investit suffisamment dans ce domaine. En France, 55% pensent qu’au cours du prochain exercice, ils disposeront d’un budget plus important en raison du COVID-19.
Les RSSI se heurtent encore à des obstacles
Cependant, les RSSI éprouvent des difficultés pour obtenir le soutien de leur direction. Près de 37 % (38% en France) des investissements proposés par les participants ont été refusés car la menace était perçue comme présentant un faible risque ou parce que la technologie n’avait pas suffisamment démontré son retour sur investissement (33 % en France). Un tiers (33 % au global contre 24 % en France) des responsables interrogés estiment que la direction ne saisit pas l’ampleur de la menace lorsqu’il s’agit de décider des investissements dans la cybersécurité.
Des réflexions stratégiques mais des investissements tactiques
Les propres décisions d’achat des RSSI sont proactives car ceux-ci s’efforcent de suivre les évolutions du secteur ainsi que de leurs homologues. Ils sont une très forte majorité (70 % en France) à se dire prêts à expérimenter des outils innovants. Cependant, dans la pratique, ils restent guidés par leurs pairs : près de la moitié (46 % au global contre 51% en France) alignent leurs décisions d’achat sur celles d’autres entreprises de leur secteur. Cela peut conduire les RSSI à se tourner vers des technologies connues et éprouvées plutôt que d’en essayer de nouvelles.
« Notre étude montre clairement que, pour pouvoir suivre les innovations technologiques, les RSSI doivent d’abord sensibiliser les parties prenantes à l’intérêt de la cybersécurité », commente James Legg, CEO de Thycotic. « Pour obtenir des investissements de leur direction, il leur faut trouver un délicat équilibre entre innovation et conformité. »
Cet équilibre est perceptible dans la façon dont les décideurs décrivent le profil de risque de leur entreprise. Près de la moitié (45 % et 33 % en France) des participants à l’enquête placent celle-ci dans « le gros du peloton » et un tiers d’entre eux seulement (36 % au global – 45 % en France) la considèrent comme « pionnière » dans l’adoption des nouvelles avancées technologiques. A peine 17 % (22 % en France) pensent que leur entreprise est à la pointe du progrès, fixant ses priorités d’investissement en fonction des menaces les plus récentes.
« Si les entreprises augmentent effectivement leur budget de cybersécurité, elles tendent cependant à voir dans tout investissement un coût plutôt qu’une source de valeur ajoutée », souligne Terence Jackson, RSSI de Thycotic. « Il existe certains signes encourageants, en particulier en Asie-Pacifique, indiquant que le ROI est le principal critère des décisions d’investissement dans la sécurité. »
« Toutefois, il reste encore du chemin à parcourir », ajoute Terence Jackson. « Le fait que les entreprises approuvent principalement les investissements après un incident de sécurité ou par crainte de pénalités réglementaires pour non-conformité montre que les décisions d’investissement dans la cybersécurité sont davantage liées à un besoin d’assurance qu’à un désir d’être à la pointe du secteur, ce qui, sur le long terme, limite la capacité des entreprises à suivre la cadence imposée par les cybercriminels. »
Pour lire l’étude dans son intégralité, rendez-vous sur https://thycotic.com/resources/cyber-security-guide-to-technology-purchase-decision-making/
* L’enquête 2020 Global Survey of Cyber Security Leaders pour Thycotic a été réalisée en ligne en août 2020, par Sapio Research, auprès de 908 décideurs de haut niveau dans le domaine de la sécurité informatique, travaillant dans des entreprises de plus de 500 salariés et invités par e-mail à y participer.
MarqVision, développeur de la première plateforme au monde de protection de la propriété intellectuelle alimentée par l’IA, étend sa présence en Europe avec l’ouverture d’un bureau à Paris et annonce la nomination d’Emmanuel Alavoine au poste de Directeur Expansion Europe. La société, qui a connu un développement commercial significatif sur l’année passée, compte capitaliser sur […]
Docaposte acquiert BoomkR, start-up française qui propose une offre de cyber vigilance, sans équivalent en France. Avec ce rachat, Docaposte, filiale numérique du groupe La Poste et référent de la confiance numérique en France, élargit sa gamme de solutions de sécurité numérique et renforce sa position sur le marché des petites et moyennes entreprises.
Insight Enterprises, intégrateur de solutions membre du Fortune 500 aidant ses clients à accélérer leur transformation numérique, annonce la finalisation de l’acquisition de Hanu Software Solutions (« Hanu »). Le prestataire de services managés (MSP) à capitaux privés, expert de Microsoft Azure, est reconnu comme acteur de niche dans l’étude Gartner® 2021 Magic Quadrant™ for Public IT […]