La pandémie de COVID-19 modifie les priorités en matière de dépenses de sécurité

On dit qu'à quelque chose, malheur est bon, et du point de vue de la cybersécurité, la pandémie de COVID-19 ne fait pas exception. Comme tout le monde, les professionnels de la cybersécurité auraient préféré que la pandémie n'arrive jamais. Cependant, à mesure que les entreprises passaient au télétravail et adoptaient de manière plus dynamique la transformation numérique de leurs activités, certaines améliorations en matière de cybersécurité semblent être apparues.  

Une enquête menée par Microsoft auprès de près de 800 chefs d'entreprise issus d'entreprises comptant plus de 500 employés en Inde, en Allemagne, au Royaume-Uni et aux États-Unis, révèle que 80 % d'entre eux ont augmenté leurs effectifs de cybersécurité, soit en recrutant (40 %), soit en externalisant les tâches à des prestataires de services externes (40 %). 

Dans le même temps, 58 % déclarent avoir augmenté leurs budgets de cybersécurité, 22 % citant des augmentations budgétaires de plus de 25 % par rapport à ce qu'ils dépensaient avant la pandémie. La plupart de ces dépenses ont été consacrées à l'authentification multifacteur (20 %), à la protection des terminaux (17 %), aux outils anti-hameçonnage (16 %), aux réseaux privés virtuels (VPN) (14 %) et à la formation des utilisateurs finaux (12 %).  

Pour le reste de l'année, les principales priorités portent sur la sécurité du cloud (39 %), la sécurité des données et de l'information (29 %), la sécurité des réseaux (27 %) , les outils anti-hameçonnage (26 %) et l'EDR (Endpoint Detection and Response) (22 %). Plus de la moitié (59 %) a déclaré s'orienter désormais vers la mise en œuvre d'architectures Zero Trust dans leurs environnements informatiques (59 %).

L'enquête confirme également un pic d'attaques par hameçonnage, 90 % indiquant que les attaques par phishing ont eu un impact sur leur organisation. Au total, 28 % ont admis que des pirates avaient réussi à hameçonner leurs utilisateurs.

Dans quelle mesure cette augmentation des dépenses en cybersécurité durera, nul ne le sait. 81 % déclarent ressentir une pression pour réduire les coûts globaux liés à la sécurité. À la suite du ralentissement économique provoqué par la pandémie, de nombreuses organisations tentent de déterminer quel niveau de dépenses en cybersécurité est viable. Comme toujours, les responsables de l'informatique et de la cybersécurité se sentiront obligés de faire plus avec moins.

Le côté positif, cependant, c'est que l'informatique en général, et la cybersécurité en particulier, n'ont jamais été aussi reconnues. Le défi consiste à trouver un moyen de faire perdurer cette situation une fois la crise actuelle apaisée. Les dirigeants d'entreprise sont facilement distraits chaque fois qu'une nouvelle crise survient, les responsables de l'informatique et de la cybersécurité doivent donc se concentrer pour maintenir autant que possible leur attention sur la cybersécurité. Cela sera peut-être plus facile maintenant puisqu'il est impossible de revenir à la situation antérieure à la pandémie.

Qu'on le veuille ou non, l'époque où la plupart des employés passaient le plus clair de leur temps au bureau est révolue. Les espaces de travail numériques qui permettent aux employés de travailler de manière cohérente, où qu'ils soient, deviendront la nouvelle norme. Dans certains cas, il se peut même qu'il n'y ait tout simplement plus de bureau où retourner travailler. Certaines organisations ont découvert qu'elles n'en avaient pas vraiment besoin pour fonctionner. L'une des raisons pour lesquelles les architectures Zero Trust suscitent tant d'intérêt est que les responsables informatiques et commerciaux se sont rendu compte qu'il n'y avait tout simplement plus de périmètre derrière lequel se cacher.

Comme toujours, la cybersécurité vit ses meilleurs et ses pires moments. Les professionnels de l'informatique peuvent être impatients de raconter des histoires sur le « mauvais » vieux temps où tout le monde se fichait de la cybersécurité. Il faudra peut-être aussi s'habituer au fait que désormais, bon ou mauvais, tout le monde a soudainement un avis sur la cybersécurité.