Selon le baromètre Opinion Way de janvier 2022, peu d’entreprises en France auraient mis en place des dispositifs de contrôle du Shadow IT, à savoir les usages numériques qui échappent au contrôle des DSI ou RSSI, y compris les services et applications hébergés dans le Cloud. Kaspersky affirme dans sa dernière enquête Economie de la sécurité informatique que les fuites de données internes ont été un des problème de sécurité les plus rencontrés en 2022. Et ce type d'incidents serait quasiment autant le fait des salariés (22 %) que des attaquants externes (23 %). Les communications, le développement de produits et le service client sont les trois activités les plus impactées lors d’intrusions cyber.
Les incidents de sécurité les plus pénalisants en termes de coûts directs et indirects pour les PME ont été, selon Kaspersky, les attaques sur les services cloud, tandis que les grandes entreprises ont plus été ciblés spécifiquement. Face aux menaces, en Europe, les budgets devraient augmenter de 10% durant les 3 trois prochaines années dans les entreprises de toutes tailles. En 2022, les budgets médians dédiés à la cybersécurité dans les grandes entreprises se sont élevés à 2 millions de dollars, contre 150 000 dollars pour les PME. Des chiffres à rapporter aux budgets moyens IT qui s’élèveraient à 375.000 $ pour les PME et à 6,77 Millions $ dans les grandes entreprises.
Le multicloud complexifie la gestion de l’IT avec des ressources dispersées géographiquement, ce qui demande, notamment, une gestion rigoureuse des failles de sécurité. Autre source d’incidents, le développement de l’internet des objets (IoT), capteurs, caméras, services cloud IoT, etc. qui augmente la surface d’attaque. En 2022, les entreprises ont été confrontées à deux incidents, en moyenne dans ce domaine.
Les services managés : une partie de la solution
La sensibilisation du personnel et les bonnes pratiques de sécurité sont un volet important du système de défense des entreprises contre les menaces. L’enjeu est de taille, les attaques ciblées sur les grandes entreprises en 2022, leur auraient couté 104 488 $ selon Kaspersky.Quant aux PME et ETI, le coût moyen d’un incident de sécurité, s’est élevé à 7 694$ en moyenne, alors les couts indirects (remédiation, récupération des données) s’établissent à 7 298 $. Encore faut-il préciser que ce montant ne concerne que les attaques Ddos (déni de service).
La recherche d’économies en faisant appel aux services de sécurité gérés (MSSP) peut s’expliquer par la pénurie de profils qualifiés ou le manque d'effectifs dans le numérique. Mais d’une part, on peut craindre les conséquences de la réduction des dépenses sur le long terme. D’autre part, les MSSP ne dispensent surtout pas d’une réflexion en interne et d’une stratégie qui va de la prévention à la gestion fine des sauvegardes, soutenus par des budgets sécurité adaptés.
