Cybersécurité : ça n’est pas une question d’argent. Et pourtant …
Oui, les programmes de sécurité sont rentables. Du moins, les entreprises confirment leur bon retour sur investissement. C’est là une des conclusions de notre troisième Security Outcomes Report : Acheiving Security Resilience. Fini de râler sur les coûts démentiels des programmes de sécurité. Terminés les achats shelfware, ces solutions achetées pour combler une faiblesse identifiée ou en prévision d’un besoin futur, mais jamais vraiment ni adoptées ni utilisées. Et si le recrutement reste une pierre d’achoppement, les équipes ne sont pas sous-staffées. Une sécurité parfaitement optimisée ? Pas tant que ça …
Les trois principaux défis financiers en matière de sécurité IT
Car même avec un budget alloué à la sécurité, 40 % des entreprises ont du mal à établir des priorités et à faire face aux dépenses imprévues. C’est la conclusion d’un sondage interne mené auprès de nos clients en fin d’année dernière. (Source : Cisco Internal Advocacy Survey, November 2022). Un constat depuis étayé par notre dernier Cybersecurity Readiness Index publié il y a quelques jours. Notre index gradue la maturité des entreprises sur cinq piliers fondamentaux en matière de cybersécurité : identité, devices, réseau, workloads applicatifs et données. Sur chacun de ces éléments, les entreprises empêchées d’atteindre un certain seuil de maturité le sont du fait d’un manque de budget.
Accélérer son tech refresh
Un état de fait difficile à comprendre alors que beaucoup d’entreprises sont encore en proie à leur transformation numérique. Et que les équipements atteignant leur fin de vie ne sont plus forcément adaptés aux infrastructures application-centriques et multi-cloud. Déjà en 2022, seules 58,5 % des organisations faisaient état de solides capacités d’actualisation en matière de Sécurité. Et plus obsolète l’infrastructure, plus faibles les capacités d’actualisation. Un problème qui ne fera que s’aggraver à mesure que les équipements continueront de vieillir et que le niveau de protection continuera de s’affaiblir face à l’évolution des menaces, tant en volume qu’en superficie.
Or migrer vers une nouvelle architecture est plus efficace que de perpétuellement vouloir moderniser l’ancienne. Mais cela n’est pas toujours possible, et la rentabilité doit être démontrée pour les infrastructures « legacy » ou critiques. Le danger serait alors d’attendre. Compte tenu de l’environnement dans lequel évoluent les entreprises, 86 % des organisations prévoient d’augmenter leur budget de cybersécurité de plus de 10 % au cours des 12 prochains mois. Des augmentations budgétaires idéalement livrées le plus tôt possible – une attente supérieure à 12 mois étant jugée beaucoup trop longue pour des RSSI, bien conscients des risques, et désireux d’investir.
Sauf que dans le climat économique actuel, certains chefs d’entreprise peuvent ressentir le besoin de réduire leurs coûts. Et s’ils souhaitent obtenir l’adhésion de la direction pour leurs programmes et leurs effectifs, les RSSI vont devoir pousser plus loin leur alignement aux objectifs globaux de l’entreprise et de leurs directions. Un premier signe de succès serait donc d’accepter ces contraintes budgétaires, tout en démontrant que le risque cyber n’augmente pas. Pari impossible ? Pas forcément.
Nos solutions de paiement permettent de renforcer la posture de cybersécurité de nos clients Cisco Secure :
- En donnant accès aux équipements adaptés à l’environnement de menace actuel,
- en permettant de répartir les coûts dans le temps,
- en limitant ou en se passant d’apport initial.
Les entreprises disposent ainsi d’un autre moyen pour financer la technologie dont elles ont besoin. Elles organisent les paiements en fonction de leurs budgets, sans affecter leurs flux de trésorerie. Notre récent programme Lifecycle Pay for Secure Firewall incite par exemple les entreprises à moderniser leurs pares-feux en offrant un bonus additionnel allant jusqu’à -10% si elles remplacent leur pare-feu actuel – Cisco ou Tiers.
Faire face aux pertes financières découlant des failles de sécurité
Alors que les entreprises cherchent à s’adapter et se préparent à ces investissements, elles doivent garder à l’esprit que rapidité et coordination sont primordiales pour anticiper les risques de sécurité applicative. Les cybercriminels tirant parti de chaque lacune et de chaque retard entre des équipes cyber et applis encore souvent cloisonnées, entraînant des conséquences coûteuses et dommageables.
Notre dernier Security Outcomes Report Vol. 3 confirme que les RSSI placent l’atténuation des pertes financières découlant des incidents de sécurité en deuxième place de leurs objectifs. Pas étonnant lorsque l’on sait que quatre RSSI sur cinq à l’échelle mondiale (82 %) pensent que des incidents de cybersécurité sont susceptibles de perturber leurs activités au cours des 12 à 24 prochains mois. Et les conséquences d’une impréparation n’ont jamais été aussi grandes : près de 60% des répondants déclarent avoir subi un incident de cybersécurité au cours des 12 derniers mois. Ces incidents ont coûté à 71 % des organisations touchées au moins 100 000 dollars, 41 % affirmant que le coût global était de 500 000 dollars ou plus.
Face à cette menace financière post-attaque, les solutions de paiement permettent de trouver une solution en amont : l’amélioration de la trésorerie et la préservation de liquidités pour faire face à l’inattendu et à ces dépenses imprévues. Les entreprises les plus résilientes en matière de sécurité confirmant ainsi les bonnes relations entre DSI et dirigeants exécutifs, et la définition d’une stratégie globale, tenant compte de manière réaliste de l’ensemble des facteurs impactant. D’autant que les politiques publiques, elles aussi, peuvent rapidement alourdir la facture.
Protéger ses données et intégrer les coûts des politiques publiques de sécurité
Les lois sur la protection des données et de la vie privée continuent d’être bien accueillies. Selon notre dernier Data Privacy Benchmark Study 2023, 157 pays ont dorénavant mis en place de telles lois, une progression +8,3% en un an. Bien qu’elles permettent aux gouvernements de tenir les entreprises responsables de la façon dont elles gèrent les données personnelles, ces mêmes entreprises continuent de reconnaître leur impact positif. La France plébiscitant particulièrement ces lois : 88% de nos entreprises déclarant une incidence positive contre une moyenne de 79% sur la zone EMEA et de 78% au niveau mondial. Seuls 6% des entreprises de la zone EMEA déclarent que ces lois ont eu une incidence négative sur leurs activités.
Mais la mise en conformité et la protection by design de notre vie privée impliquent des efforts et entraînent des coûts significatifs : traitement des données en local/régional, cataloguer les données, tenir des registres d’activités et de traitement, répondre aux demandes des utilisateurs etc. Les entreprises reconnaissant, par ailleurs, que les fournisseurs locaux sont plus à même de dégrader la fonctionnalité, la confidentialité et la sécurité des données ; et qu’ils sont aussi plus chers que les fournisseurs mondiaux opérant à grande échelle. Selon notre index, 89 % des organisations classent comme « importants » les coûts d’exploitation liés à la simple localisation des données. C’est donc sans surprise que le soutien des entreprises à ces politiques chute drastiquement de 37 points, passant de 78 % à 41 %, une fois intégré le coût supplémentaire engendré !
Convaincues de devoir en faire davantage, la plupart des entreprises déclarent ainsi ne pas avoir encore déployé de solutions de protection de données, mais seulement avoir planifié des déploiements. Parmi ces solutions, les outils de sauvegarde et de restauration sont les plus populaires, près de la moitié (48 %) des retardataires prévoyant d’en déployer. Le feront-elles à temps ? Rien de moins sûr selon notre Cybersecurity Readiness Index tant la coordination et les délais sont encore trop importants. 57 % des répondants étant susceptibles d’attendre plus de 12 mois avant de commencer leur déploiement à cause d’un manque de budgets. Plus de la moitié (56 %) n’ayant même pas encore convenu d’un financement
Nos solutions de paiement permettent de raccourcir les délais d’acquisition et d’accélérer l’adoption des solutions Cisco Secure afin de vous assurer d’un retour sur investissement solide et rapide, tout en respectant les exigences et rigueurs budgétaires croissantes. Consultez les ressources partagées : elles vous donneront matière à convaincre des bienfaits technologiques de votre projet, mais également à démontrer votre alignement sur les objectifs financiers de votre société. Et pour un décryptage plus poussé, nos équipes Cisco Secure et Cisco Capital sont là.
Tags:- Annual Security Report
- Cybersecurity Readiness Index
- Data Privacy Benchmark
- GDPR
- Security Outcomes Report
- transformation numérique
