Les budgets se resserrent en 2023 : le moment est venu de rationaliser la sécurité

Thèmes:

21 févr. 2023

Aussi importante que soit la cybersécurité pour les entreprises de nos jours, elle ne résiste pas aux menaces macroéconomiques qui se profilent à l'horizon. De nouvelles recherches révèlent que dans de nombreuses entreprises, les budgets stagnent, voire diminuent. C'est une mauvaise nouvelle pour les responsables informatiques et de la sécurité confrontés à un ensemble de situations de plus en plus contraignantes. Malheureusement, la communauté cybercriminelle n'a pas les mêmes contraintes budgétaires. Elle continue de collaborer, d'innover et de rechercher les failles partout où elle peut les trouver.

Pour les responsables informatiques, la meilleure solution pour faire face à cette double pression consiste à repenser les relations avec les fournisseurs. Si les chefs d'entreprise aspirent à l'efficacité, à la productivité et à la maîtrise des coûts, le meilleur moyen d'y parvenir sans compromettre la sécurité pourrait être de se concentrer sur un nombre réduit de produits et de fournisseurs.

Il est temps de resserrer les cordons de la bourse

Les perspectives économiques de la plupart des pays du monde sont plutôt sombres pour l'année à venir. Le FMI a récemment revu à la baisse ses prévisions de croissance à 2,9 % pour cette année, même si elles chutent davantage (à 1,2 %) pour les pays les plus développés. Sur les grands marchés européens comme la France, l'Allemagne, l'Italie et le Royaume-Uni, le PIB ne devrait pas dépasser les 1 % cette année, et certains pays pourraient même entrer en récession. L'inflation et les taux d'intérêt élevés frappent les entreprises là où ça fait mal, tout particulièrement la flambée du coût de l'énergie. Et les mêmes facteurs macroéconomiques pèsent également sur les dépenses des ménages.

Cela importe aux responsables de la sécurité informatique qui s'efforcent déjà de sécuriser une surface d'attaque en expansion et de veiller à ce que les projets de transformation numérique n'exposent pas leur entreprise à des risques démesurés. Une étude récente révèle que seule la moitié (49 %) des entreprises de la région EMEA et des États-Unis pensent disposer d'un budget suffisant pour répondre aux besoins actuels. Pire encore, 11 % d'entre elles affirment qu'elles ne disposent que d'un budget suffisant pour protéger leurs actifs les plus critiques, tandis que 35 % pensent que les budgets resteront inchangés ou régresseront en 2023.

Selon le rapport, ces contraintes budgétaires surviennent alors que la plupart des responsables informatiques interrogés reconnaissent que leur hiérarchie est consciente de la gravité des menaces cybernétiques et que la réduction des budgets risque d'avoir un impact sur la transformation numérique. Cela semble indiquer qu'aucun argument ne les convaincra de débloquer plus de fonds.

Le problème est particulièrement délicat pour les PME. Des recherches distinctes menées fin 2022 ont révélé que plus de la moitié (56 %) des petites entreprises aux États-Unis, au Royaume-Uni et en Australie étaient préoccupées par les restrictions budgétaires.

Les menaces continuent de pleuvoir

Et à juste titre. Même si les budgets étaient maintenus, ils pourraient ne pas suffire à pallier aux difficultés auxquelles beaucoup d'entreprises sont confrontées aujourd'hui. Elles sont principalement de deux ordres :

Une cybercriminalité sophistiquée où il est devenu un jeu d'enfant de se procurer les outils et les services nécessaires pour lancer des menaces assez complexes. Il suffit de considérer la montée en puissance des ransomware-as-a-service, qui touchent plus souvent les PME que les grandes entreprises.
Une surface d'attaque de plus en plus étendue au sein de l'entreprise, accrue par les investissements de l'ère pandémique dans le cloud et la transition vers le travail hybride. Une étude révèle que 43 % des entreprises mondiales craignent que leur surface d'attaque ne devienne « incontrôlable ».

Pour ces raisons, entre autres, des violations potentiellement critiques pour les entreprises continuent de survenir régulièrement. Selon PwC, plus d'un quart (27 %) des directeurs financiers mondiaux ont été victimes d'une importante violation de données au cours des trois dernières années, ce qui a coûté à leur entreprise plus d'un million de dollars. Le coût moyen mondial d'une violation s'élève désormais à près de 4,4 millions de dollars. Parmi les personnes interrogées par PwC au Royaume-Uni, environ un quart pense que les risques vont se multiplier de manière significative cette année. Les ransomwares, les attaques de type « hack and leak », les menaces basées sur le cloud et les Business Email Compromise (BEC) sont les menaces qui les inquiètent le plus.

Faire plus avec moins

Tout cela suggère que les responsables informatiques des PME doivent se pencher sur les moyens d'exploiter au mieux les ressources limitées dont ils disposent. D'une part, cela ne devrait pas constituer un trop grand changement car, même pendant les années de prospérité, les petites entreprises ont dû optimiser leurs ressources contrairement à leurs homologues plus grandes. Toutefois, le contexte économique actuel pourrait exiger une plus grande prudence.

Selon une étude, la majorité des PME comptent moins de cinq personnes travaillant dans le domaine de la cybersécurité. La moitié d'entre elles dépensent moins de 20 000 dollars par an pour assurer cette fonction, et seulement un dixième d'entre elles dépensent plus de 50 000 dollars par an. Alors comment faire plus avec moins ? La consolidation des fournisseurs, le cas échéant, pourrait constituer une solution avantageuse à court terme. Même les PME ont pu constater qu'elles utilisaient une surabondance d'outils achetés pour résoudre des problèmes spécifiques ou acquis lors de fusions et acquisitions au fil des ans.

Pourtant, des solutions ponctuelles susceptibles de se recouper sont problématiques pour plusieurs raisons. Elles peuvent :

Créer des failles dans la couverture de sécurité en raison du cloisonnement des données
Accroître les frais de gestion pour des équipes informatiques très sollicitées, qui doivent apprendre à utiliser chaque outil
Engendrer des coûts supplémentaires, en termes de licences additionnelles qui ne sont peut-être pas nécessaires
Être inadaptée aux environnements cloud modernes et dynamiques

En consolidant davantage leur sécurité auprès de moins de fournisseurs, les responsables de la sécurité informatique pourraient réduire leurs coûts sans compromettre leur protection contre les menaces. Ils pourraient même constater qu'une approche plus axée sur la plateforme améliorerait leur capacité à identifier et à gérer les risques. Associée à des pratiques de cyberhygiène peu coûteuses, cette approche pourrait aider les entreprises à braver la tempête économique et à en réchapper encore plus fortes. Même Gartner en parle.

Phil Muncaster

Phil Muncaster compte plus de 12 ans d'expérience en tant que rédacteur et éditeur dans le domaine de la technologie. Pendant sa carrière, il a contribué à quelques grands titres du secteur, notamment Computing, The Register, V3 et MIT Technology Review. Après une immersion d'un peu plus de deux ans au cœur de la scène technologique asiatique à Hong Kong, il est de retour à Londres, où il s'intéresse désormais de près à la sécurité de l'information.

Suivez Phil sur Twitter et connectez-vous avec lui sur LinkedIn.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE