Les dépenses des entreprises en matière de cybersécurité devraient rester stables en 2022, car les études montrent que presque tous les RSSI bénéficient d'une augmentation de budget ou d'un niveau de financement pour la nouvelle année - seule une petite fraction des chefs de la sécurité verra son budget diminuer. L'étude de CSO sur les priorités en matière de sécurité pour 2021 a révélé que 44 % des responsables de la sécurité s'attendent à ce que leur budget augmente au cours des 12 prochains mois ; il s'agit d'une légère hausse par rapport aux 41 % qui ont vu leur budget augmenter en 2021 par rapport à 2020. 54 % des répondants disent s'attendre à ce que leur budget reste le même au cours des 12 prochains mois. Seuls 2 % d'entre eux s'attendent à une diminution - un chiffre bien plus faible que les 6 % qui ont vu leurs dépenses baisser de 2020 à 2021.

D'autres recherches ont révélé des tendances similaires pour l'année prochaine. (Crédit : IDG)

Selon le rapport Global Digital Trust Insights 2022 de PwC, « les investissements continuent d'affluer dans la cybersécurité », 69 % des entreprises interrogées prévoyant une augmentation de leurs dépenses informatiques pour 2022. Certaines s'attendent même à une explosion des dépenses, 26 % d'entre elles affirmant qu'elles prévoient une progression de 10 % ou plus de leurs dépenses en matière de cybersécurité pour l'année à venir. Parallèlement, le cabinet d’étude et de conseil Gartner a estimé que les dépenses en matière de sécurité de l'information et de gestion des risques s'élèveront à 172 milliards de dollars en 2022, contre 155 milliards en 2021 et 137 milliards l'année précédente.

« Les investissements continuent d’affluer »

Malgré la stabilité budgétaire, les RSSI ne vont pas être à court d'argent. Ils affirment que les départements de sécurité doivent continuer à montrer qu'ils apportent de la valeur pour les dollars dépensés, qu'ils font mûrir leurs opérations et, en fin de compte, qu'ils améliorent la posture de sécurité de leur organisation. « Les entreprises savent que les risques augmentent chaque jour et, par conséquent, les investissements continuent d'affluer dans la cybersécurité », explique Joe Nocera, responsable du Cyber & Privacy Innovation Institute de PwC.

« Les chefs d'entreprise nous disent qu'ils seraient prêts à dépenser n'importe quoi pour ne pas se retrouver à la une d'un journal pour un piratage, mais ils ne veulent pas dépenser un centime de plus que nécessaire et ils veulent s'assurer qu'ils dépensent leur argent dans les bons domaines. Pour cela, il faut que le PDG et les RSSI travaillent ensemble. Les RSSI doivent savoir quel est le bon niveau de protection ». Joe Nocera ajoute : « Les investissements en cybersécurité ne consistent plus tant à disposer des derniers produits des fournisseurs de technologie qu'à comprendre d'abord où l'entreprise est la plus vulnérable, puis à hiérarchiser les dépenses en fonction de la probabilité d'une attaque et de l'importance de la perte pour l'entreprise ».

Les volumes, l’impact et la monétisation des attaques

Sam Rehman, CISO pour EPAM Systems, affirme que les budgets de cybersécurité pour 2022 reflètent l'intérêt toujours croissant du reste de la direction et du conseil d'administration pour le programme de cybersécurité de l'entreprise. Selon le rapport de PwC, « les organisations savent que les risques augmentent. Plus de 50 % d'entre elles s'attendent à une recrudescence des incidents l'année prochaine par rapport aux niveaux de 2021 ». Selon M. Rehman, le volume des attaques n'est qu'un des facteurs qui poussent de nombreuses sociétés à augmenter leurs dépenses pour se protéger. Il ajoute que les dirigeants voient également l'impact significatif des brèches. Et comment la facilité de monétiser les attaques à l'ère de la crypto-monnaie anonyme maintient la motivation des attaquants. « Ces trois facteurs ont fait monter les enchères », dit-il.

Les facteurs déterminant les dépenses de sécurité. (Crédit : IDG)

En conséquence, les dirigeants d'entreprise veulent désormais savoir s'ils défendent correctement leurs organisations et s'ils peuvent répondre de manière adéquate à une attaque ; ils veulent à la fois la protection et la résilience. Ils commencent à comprendre qu'il n'existe pas de défense à 100 %, mais qu'une défense solide peut permettre de gagner du temps - du temps pour détecter, répondre et se rétablir avant que des dommages importants (voire aucun dommage) ne soient causés. « La majorité des organisations vont augmenter considérablement leurs budgets de dépenses afin de se protéger et de protéger leurs clients contre les cyberattaques », ajoute M. Nocera.

Des budgets influencés par la législation

Dans le même temps, les responsables de la sécurité disent ressentir une pression de la part d'entités externes, en plus de leurs collègues de la C-suite et des membres du conseil d'administration, pour obtenir des résultats. Les clients, les partenaires commerciaux et les autorités de réglementation leur font savoir que la sécurité est également une priorité pour eux. Kyle H. Lai, qui, en tant que président de KLC Consulting, fait office de RSSI partagés pour trois entreprises de taille moyenne, souligne que le décret du président Biden de mai 2021 visant à renforcer la cybersécurité du pays est un facteur qui influence les budgets de sécurité. Il cite également la liste croissante des lois sur la confidentialité des données des consommateurs adoptées par les pays et les États, ainsi que d'autres actions législatives, comme des facteurs influençant le montant des fonds dont les RSSI ont besoin et où ils les dépenseront. « Ces [mesures réglementaires et législatives] sont importantes pour de nombreuses entreprises, car elles vont devoir répondre à ces exigences, en particulier les entreprises qui travaillent avec le gouvernement fédéral ou le ministère de la défense », explique M. Lai.

Les résultats des enquêtes confirment ces observations. Selon l'étude de CSO sur les priorités en matière de sécurité, 49 % des personnes interrogées ont cité les meilleures pratiques comme facteur déterminant de leurs dépenses de sécurité et 49 % ont également cité la conformité, les réglementations comme facteur déterminant - ce qui a valu à ces deux catégories une place ex aequo en tête de liste. Viennent ensuite la nécessité de faire face à l'évolution des risques liés à l'évolution de la main-d'œuvre ou de la dynamique de l'entreprise, notamment le travail hybride et à distance (41 %), la nécessité de faire face aux risques résultant de la transformation numérique, comme le passage au cloud (38 %), la réponse à un incident de sécurité survenu dans leur propre organisation (35 %) et la réponse à un incident de sécurité survenu dans une autre organisation (25 %). Ces facteurs sont en corrélation avec les domaines dans lesquels les RSSI prévoient de dépenser leur argent au cours des prochains mois.

Priorités en matière de dépenses

L'enquête de CSO a montré que les dépenses sont réparties sur un certain nombre de domaines, dont 20 % sont alloués à l'infrastructure et au matériel sur site, 19 % au personnel qualifié et 16 % aux outils et logiciels sur site - tous ces éléments constituant la base de la fourniture de services de sécurité à l'entreprise. Ces priorités sont suivies par les solutions de sécurité basées sur le cloud (10 %), les services de conseil (7 %), les services de surveillance de la sécurité basés sur le cloud (7 %), la formation à la sensibilisation à la sécurité (7 %), les services d'évaluation sous contrat (6 %) et les services de réponse aux incidents externes (5 %).

Les dernières prévisions de Gartner concernant les dépenses en matière de sécurité de l'information et de gestion des risques détaillent davantage la destination des fonds : près de 77 milliards de dollars iront aux services de sécurité en 2022, ce qui en fait de loin la catégorie de dépenses la plus importante ; 30 milliards de dollars iront à la protection des infrastructures ; 19 milliards de dollars aux équipements de sécurité des réseaux ; et 17 milliards de dollars à la gestion des identités et des accès.

Répartition du budget de la sécurité. (Crédit : IDG)

Les autres domaines bénéficiant de budgets importants sont la sécurité des applications (6,6 milliards de dollars), la gestion intégrée des risques (6,4 milliards de dollars), la sécurité des données (4 milliards de dollars), les logiciels (2,7 milliards de dollars) et la sécurité du cloud (1,4 milliard de dollars).

Les dépenses des RSSI regroupées en 4 domaines

Shawn Eftink, directeur principal de l'analyse des technologies et tendances émergentes chez Gartner, indique que les dépenses des RSSI peuvent être regroupées en quatre grands domaines. Le premier soutient la sécurité considérant l'identité comme le périmètre de facto à protéger. Le second soutient l'évolution de l'organisation de la sécurité. Selon M. Eftink, les services de sécurité font l'objet d'un examen de plus en plus minutieux, car les conseils d'administration comptent de plus en plus d'administrateurs ayant une expérience de la cybersécurité ; ces derniers veulent à la fois une efficacité accrue et une maturation démontrable de la fonction de sécurité, la réduction de la complexité des produits de sécurité étant essentielle pour répondre à ces attentes.

La troisième catégorie concerne les technologies en évolution ; les entreprises dépensent davantage pour les technologies de sécurité émergentes, telles que les outils de simulation de brèches et d'attaques, ainsi que les outils nécessaires pour sécuriser leurs environnements cloud en pleine expansion. Enfin, la dernière catégorie concerne l'externalisation, des dépenses qui les aident à améliorer l'efficacité de leurs opérations de sécurité et à faire face aux problèmes de personnel interne.

Des investissements dans la confiance zéro et une augmentation des dépenses pour la protection des données cloud. (Crédit : IDG)

D'autres responsables de la sécurité font des observations similaires. Ils affirment que les RSSI investissent dans des logiciels de gestion des accès et des identités, dans des technologies d'authentification telles que le contrôle d'accès basé sur les rôles (RBAC), dans l'analyse du comportement des utilisateurs (UBA) et dans la micro-segmentation afin de soutenir leur architecture zero trust en cours de déploiement. Les RSSI misent aussi dans des solutions de sécurité cloud. Ils achètent des services d'automatisation et d'analyse afin de traiter plus efficacement l'immense quantité de données de sécurité. Et ils font appel à des fournisseurs de services de sécurité gérés (MSSP) pour renforcer les efforts de leur propre personnel. « La gestion des identités et des accès, la gestion des risques liés aux tiers, l'intelligence en temps réel et la confiance zéro sont autant de domaines d'investissement importants en matière de sécurité », explique M. Nocera.

Des dépenses intelligentes

Selon la 24e enquête mondiale annuelle de PwC auprès des chefs d'entreprise, les cybermenaces constituent le deuxième risque pour les perspectives commerciales, juste après les pandémies et autres crises sanitaires. Les chefs d'entreprise d'Amérique du Nord et d'Europe occidentale ont placé les cybermenaces au premier rang. Dans le même temps, les experts affirment que les PDG ne sont pas prêts à signer des chèques en blanc à leurs responsables de la sécurité informatique. Les budgets des chefs de la sécurité pour 2022 reflètent ce fait. Et ce, pour une bonne raison, selon les experts. « Les dépenses ne sont pas nécessairement synonymes de sécurité », déclare M. Eftink, partageant une idée souvent répétée dans la profession.

En fait, selon lui, les RSSI doivent s'attendre à devoir continuer à améliorer l'efficacité et à devenir plus performants avec des budgets identiques ou en légère augmentation. Pour ce faire, ils devront continuer à intégrer la sécurité dès le départ dans les processus opérationnels et les produits numériques qui alimentent l'entreprise et à tisser la sécurité dans le tissu même de leurs organisations. « La majorité de ce qui doit se produire est une transition de pensée : la sécurité doit être un élément intégré, elle ne peut pas être une réflexion après coup. Un changement de paradigme doit se produire », déclare M. Eftink. Un point sur lequel Joe Nocera s’accorde.

« Si les entreprises allouent des fonds pour résoudre ces problèmes, elles doivent également mettre en place des systèmes intégrés dans l'ensemble de l'entreprise, afin que la cybersécurité soit l'affaire de tous, et pas seulement du RSSI ou de l'équipe informatique », explique-t-il. « En fin de compte, des opérations de cybersécurité solides à l'échelle de l'entreprise peuvent renforcer la confiance au sein des entreprises, des parties prenantes et des consommateurs, et devenir un facteur de différenciation concurrentiel. Les coûts que les entreprises assument aujourd'hui pour renforcer leurs systèmes doivent être considérés comme des investissements dans leurs futurs modèles économiques ».