Les priorités en matière de cybersécurité ne seraient pas en phase avec les résultats financiers. La faute au manque d’indicateurs pertinents qui mesurent précisement les risques dans le secteur d’activité de l’organisation et à la pénurie de personnel qualifié.

Les entreprises investissent de plus en plus dans la sécurité mais l’augmentation de ce poste budgétaire n’induit pas nécessairement les bénéfices attendus. C’est la conclusion d’une étude sur le lien entre sécurité et résultats financiers de Forrester qui évoque trois défis majeurs à relever: la visibilité sur le cyberisque, la pénurie de profils, le manque de ressources et la difficulté à répondre rapidement et efficacement aux attaques.

« Aujourd'hui, la plupart des investissements en cybersécurité visent à réduire les cyberisques. Cette approche pose problème lorsque les risques en question ne sont pas ceux qui importent pour les objectifs de l'entreprise. En définitive, soit les investissements en cybersécurité sont complètement déconnectés de l'activité de l'entreprise, soit la cybersécurité ne reçoit pas du tout le financement qu'elle mérite » explique Christine Bejerasco, Chief Security Officer chez WithSecure. A cela s’ajoute, la catégorisation précise des types de risques et de leur valeur pour les pirates, une étape clé vers des pratiques de sécurité efficaces.

L’étude indique que 42 % des responsables ont du mal à évaluer l'apport concret de la sécurité en termes de résultats. Il s’agit surtout de la difficulté à comparer le niveau de sécurité actuel et le niveau prévisionnel. Plus d’un tiers, soit 37 %, éprouvent des difficultés à mesurer la valeur ajoutée de la cybersécurité, un chiffre instructif qui montre un niveau de maturité perfectible.

Le mode d’intervention en mode pompier lors des attaques ne permet pas aux organisations d’avoir une bonne visibilité des cyber-risques pour 41% des sondés.

Convaincre les responsables d’investir efficacement avec les bonnes informations

Chiffre significatif, plus d'un tiers des personnes interrogées déclarent que leur dirigeants ne comprennent pas les besoins en matière de cybersécurité. Or, sans pouvoir échanger sérieusement sur les risques, en termes d'impact financier sur l'entreprise, les DSI ont du mal à optimiser la stratégie de cybersécurité, élaborer des analyses de rentabilité pour les investissements sécurité et valider le budget sécurité.

Dans l’enquête de Forrester, la plupart des personnes interrogées, soit 72 %, souhaitent s’adresser à un prestataire qui offre des services de qualité et surtout des résultats tangibles en termes de sécurité.

Les chiffres de l’étude dans chaque secteur d’activité reflètent précisément leurs attentes. Les services financiers et assurances et les services aux entreprises et construction mettent respectivement en tête de leurs préoccupations la pénurie de personnel qualifié (47%) et la rapidité d’une réponse efficace (41%). Quant à l’industrie (37%), la distribution (45%), le secteur des médias et loisirs (50%), les services publics et télécommunications 41%) et la santé (43%), ils évoquent prioritairement le manque de visibilité sur les vrais risques.