Selon une étude internationale commandée par Thycotic, spécialisé dans le PAM (Privileged Access Management), les investissements des entreprises dans la cybersécurité résultent le plus souvent d’un incident ou de la crainte d’un défaut de conformité lors d’un audit.
Pas vu, pas pris ! Les entreprises réagisseraient-elles ainsi en matière de protection des données et de leur réseau ? Les directions ne saisiraient-elles pas l’ampleur de la menace lorsqu’il s’agit de décider des investissements dans la cybersécurité ?
C’est ce que laisse à penser cette étude qui a examiné les principales motivations des directions des entreprises à investir dans la cybersécurité.
Réalisée auprès de plus de 900 RSSI ou décideurs informatiques dans le monde (dont 100 en France), cette enquête révèle tout d’abord que plus de la moitié (56 % en France) des responsables interrogés prévoit d’augmenter leur budget de sécurité informatique au cours des 12 prochains mois.
Amendes
La multiplication des attaques, notamment avec des ransomwares, favorise les investissements dans ce domaine. Plus de trois quarts (63 % en France) des organisations interrogées ont bénéficié d’investissements dans de nouveaux projets de sécurité, soit en réponse à un cyber incident (43 %), soit par crainte d’échouer à un audit (20 %).
Les RSSI indiquent que les entreprises y sont vigilantes et renforcent leur budget de cybersécurité. L’immense majorité d’entre eux (91 % contre 94 % en France) jugent que leur direction investit suffisamment dans ce domaine. En France, 55 % pensent qu’au cours du prochain exercice, ils disposeront d’un budget plus important en raison du COVID-19.
Alors que le montant des amendes financières infligées en vertu du RGPD totalise aujourd’hui 175 millions d'euros, près d’un tiers des participants à l’enquête (34 %) pensent que la menace d’un défaut de conformité ou d’une amende est le moyen le plus efficace de persuader les entreprises d’investir dans la cybersécurité.
Cependant, les RSSI éprouvent des difficultés pour obtenir le soutien de leur direction. Près de 37 % (38 % en France) des investissements proposés par les participants ont été refusés car la menace était perçue comme présentant un faible risque ou parce que la technologie n’avait pas suffisamment démontré son retour sur investissement (33 % en France).
Un tiers (33 % au global contre 24 % en France) des responsables interrogés estiment que la direction ne saisit pas l’ampleur de la menace lorsqu’il s’agit de décider des investissements dans la cybersécurité.
Les propres décisions d’achat des RSSI sont proactives car ceux-ci s’efforcent de suivre les évolutions du secteur ainsi que de leurs homologues. Ils sont une très forte majorité (70 % en France) à se dire prêts à expérimenter des outils innovants.
Cependant, dans la pratique, ils restent guidés par leurs pairs : près de la moitié (46 % au global contre 51 % en France) alignent leurs décisions d’achat sur celles d’autres entreprises de leur secteur. Cela peut conduire les RSSI à se tourner vers des technologies connues et éprouvées plutôt que d’en essayer de nouvelles.
« Notre étude montre clairement que, pour pouvoir suivre les innovations technologiques, les RSSI doivent d’abord sensibiliser les parties prenantes à l’intérêt de la cybersécurité », commente James Legg, CEO de Thycotic. « Pour obtenir des investissements de leur direction, il leur faut trouver un délicat équilibre entre innovation et conformité. ».
À peine 17 % (22 % en France) pensent que leur entreprise est à la pointe du progrès, fixant ses priorités d’investissement en fonction des menaces les plus récentes.