Aux Assises de la Sécurité à Monaco, le groupe de travail d'étude du marché de la sécurité a rendu ses conclusions le 5 octobre 2012. L'heure de la dépense sécuritaire est visiblement passée pour laisser la place à une optimisation. Mais l'enquête est basée cette année sur un nombre de réponses plutôt faible (une cinquantaine parmi les participants de la manifestation). La dépense en sensibilisation chute fortement : -45,54 %. Il faut cependant remarquer que les actions de sensibilisation étaient très fortes les années antérieures. Par contre, le contrôle-audit augmente, sous la pression réglementaire, de 49,71 %.

Globalement, les entreprises commencent à refuser la hausse permanente des budgets. Il y a arbitrage et optimisation mais pas de coupes sombres malgré tout. L'un des critères majeurs d'arbitrages en investissements est le « risque à ne pas faire ». Et le récurrent est mis sous surveillance. Finalement, la sécurité rentre dans le rang de la bonne gestion en perdant son passe-droit.

Un budget difficile à évaluer

Petite surprise : la mesure de la dépense en sécurisation du BYOD est impossible faute d'investissements identifiés. Le BYOD est donc pour l'heure surtout un sujet de conversation, pas encore d'investissements, sauf au sein d'autres investissements (comme le contrôle général d'accès au réseau mis à niveau).

Dans certaines entreprises, il semble que les dépenses de sécurité (investissements ou récurent) se dispersent dans les différents chapitres du système d'information au lieu d'être un chapitre en lui-même. Chaque projet informatique comporte donc une section sécurité mais la sécurité n'est plus en elle-même objet de projets. Malgré tout, le RSSI se doit dans ces cas là de mesurer la totalité du budget consacré à la sécurité, même si ce budget échappe à son contrôle. Cette évolution pourrait expliquer que les fournisseurs continuent de bien vendre alors que les achats de sécurité labellisés comme tels semblent baisser.