Sécurité : plus de budget en 2022, par nécessité
Plus de budget, sachant aussi que les investissements ne font pas tout. Il reste à inclure la sécurité dans la culture de l’entreprise, note PwC à la veille de 2022.
Budget sécurité en évolution. Selon le rapport 2022 Global Digital Trust Insights de PwC, « les investissements continuent d’affluer dans la cybersécurité ». 69 % des entreprises interrogées prédisent une augmentation de leurs investissements en 2022.
Rien d’étonnant. Plus de 50 % s’attendent à une augmentation des incidents à signaler l’année prochaine ! « Les entreprises savent que les risques augmentent chaque jour. Par conséquent, les investissements continuent d’affluer dans la cybersécurité », déclare Joe Nocera, Cyber & Privacy Innovation Institute Leader, PwC.
26 % des entreprises prévoient de dépasser les 10 %. Une augmentation du budget salutaire qui cache en réalité une trop grande complexité technologique et des environnements d’exploitation, reconnaissent 75 % des répondants.
Le risque d’angles morts
Cette complexité génère de réels problèmes de visibilité. De nombreux dirigeants s’inquiètent des angles morts importants lorsqu’ils enquêtent sur leurs organisations tant en interne qu’en externe. Par exemple, 25 % concèdent qu’ils ont peu ou pas de compréhension des risques posés par les tiers.
C’est un problème que Tanium, partenaire de PwC depuis 2013, ne connaît que trop bien. Sans la visibilité et le contrôle en temps réel que les organisations obtiennent lorsqu’elles abordent la cybersécurité via une plate-forme intégrée, leur expérience est fracturée. Résultat : il faut trop de temps pour identifier les menaces d’activités malveillantes. Plus encore pour y remédier.
Et tout indique que ces problèmes persisteront à l’avenir, devenant plus urgents. Au fur et à mesure que les vulnérabilités d’une organisation augmentent -via des appareils connectés, par exemple, le travail à distance ou de nouveaux partenaires de la chaîne d’approvisionnement- le risque d’angles morts et le risque non atténué augmentent également. Les arguments en faveur de l’intégration deviennent de plus en plus pressants.
Signalement des risques à la C-suite
Autre problème mis en évidence par PwC : la nécessité de combler les déconnexions potentielles entre la fonction cyber et les équipes de direction. Alors que certains des CEO interrogés se considèrent plus engagés, les cadres regrettent de ne les voir impliqués qu’en temps de crise… Cependant, les deux parties voient la mission de la cybersécurité se déplacer vers le développement de la confiance et le soutien à la croissance des entreprises. 54 % considèrent que le défi va au-delà de la cyberdéfense et des contrôles.
Dans l’analyse, il apparait que le volume des attaques n’est que l’un des facteurs qui poussent de nombreuses organisations à augmenter leurs dépenses de sécurité. Les dirigeants voient également l’impact significatif des violations. Et comment la facilité de monétisation des attaques à l’ère de la crypto-monnaie anonyme encourage la motivation des attaquants…
En réponse, les dirigeants d’entreprise veulent désormais savoir qu’ils défendent adéquatement leurs organisations et qu’ils peuvent répondre adéquatement à une attaque. Ils veulent à la fois protection et résilience. Ils commencent à comprendre qu’il n’existe pas de défense à 100 %. En revanche, une défense solide peut faire gagner du temps. En l’occurrence du temps pour détecter, réagir et récupérer avant que des dommages importants ne soient causés.
Les priorités en 2022 impacteront le budget
Selon l’étude, 49 % des personnes interrogées ont cité les meilleures pratiques comme un facteur déterminant de leurs dépenses de sécurité. 49 % ont également cité la conformité, les réglementations ou les mandats comme un facteur déterminant, ce qui a valu à ces deux catégories une égalité pour la première place du classement.
Viennent ensuite la nécessité de faire face à l’évolution des risques posés par l’évolution de la dynamique de la main-d’œuvre ou de l’entreprise, notamment le travail hybride et à distance (41 %); faire face aux risques résultant de la transformation numérique tels que le passage au cloud (38 %); répondre à un incident de sécurité qui s’est produit dans leur propre organisation (35 %) et répondre à un incident de sécurité qui s’est produit dans une autre organisation (25 %).
En 2022, les investissements seront répartis sur un certain nombre de domaines, avec 20 % alloués à l’infrastructure et au matériel sur site, 19 % au personnel qualifié et 16 % aux outils et logiciels sur site, qui constituent tous la base de la livraison services de sécurité à l’entreprise.
Changement de paradigme
Dépenser n’est pas nécessairement synonyme de sécurité. Dans les faits, il sera demandé aux CISO de continuer à gagner en efficacité avec des budgets identiques ou légèrement croissants. Et pour ce faire, ils vont devoir continuer à déplacer la sécurité vers la gauche, à l’intégrer dès le départ dans les processus opérationnels et les produits numériques qui alimentent l’entreprise. A inclure, enfin, la sécurité dans la culture.
« La majorité de ce qui doit se produire est une transition de pensée : la sécurité doit être un élément intégré, elle ne peut pas être une réflexion après coup. Un changement de paradigme doit se produire », conclut Joe Nocera. Le budget n’est pas tout.
