Les institutions financières dépensent en moyenne environ 2 300 $ par employé à temps plein en cybersécurité chaque année, révèle un sondage publié le 1er mai dernier par Deloitte et le Financial Services Information Sharing and Analysis Center.
Selon le rapport, les répondants des banques, des assureurs, des sociétés de gestion de placements et d'autres sociétés de services financiers déclarent consacrer de 6 à 14 % de leur budget informatique à la cybersécurité. Ce chiffre se traduit par une fourchette d'environ 0,2 % à 0,9 % du chiffre d'affaires de l'entreprise et, ce qui est encore plus important, entre 1 300 $ et 3 000 $ dans la cybersécurité par employé à temps plein ou équivalent dans l'enquête menée à l'automne 2018.
Les réponses montrent que les grandes entreprises consacrent près d'un cinquième de leur budget de cybersécurité à la gestion des identités et des accès, soit près du double du pourcentage des moyennes et petites entreprises, qui sont plus souvent plus enclines à consacrer leurs ressources à la sécurité des postes de travail et des réseaux.
L’argent n’est pas tout
Bien sûr, « l'argent seul n'est pas la solution, constate le rapport. Des dépenses plus élevées en cybersécurité ne se traduisent pas nécessairement par un niveau de maturité plus élevée ». Alors que tout le monde recherche un ratio d'efficacité pour ses coûts informatiques, « la façon avec laquelle un programme de sécurité est planifié, exécuté et régi est tout aussi importante, sinon plus », souligne le rapport.
Les programmes les plus réussis présentent plusieurs caractéristiques de base, notamment :
1Avoir le soutien du sommet de l’organisation
Le manque de soutien de la direction ou un financement inadéquat ont été cités comme le principal défi du RSSI dans la gestion du cyberespace par les entreprises ayant un faible niveau de maturité en matière de gestion du risque. Les conseils d'administration et les comités de gestion considérés comme les plus performants s'intéressaient davantage à presque tous les domaines de la cybersécurité.
2Sortir la cybersécurité du département informatique pour donner à la fonction une plus grande exposition
Les institutions les plus matures étaient plus susceptibles d'élever le niveau de la fonction de cybersécurité en séparant complètement la cybersécurité de l’IT. Pour assurer l'exécution efficace d'un programme de contrôle des cyber-risques, la direction doit structurer son équipe de cybersécurité afin de favoriser la communication et la mise en œuvre de la sécurité à l'échelle de l'entreprise, et avoir l'autorité et l'expertise pour ce faire.
3Aligner les efforts de cybersécurité sur la stratégie commerciale de l'entreprise
Il ne faut pas sous-estimer l'impact de l'intégration du cyberespace dans la stratégie organisationnelle, la planification et l'exécution des efforts opérationnels ou de performance. « Le cyberespace mérite l'alignement organisationnel, l'établissement des priorités et des structures hiérarchiques », déclare le rapport. « Intégrer des cyberprofessionnels dans les entreprises peut permettre à l’organisation et à ses dirigeants d'être plus stratégiques et de mieux gérer les cyber-risques à l'échelle de l'entreprise ».
Source : Deloitte