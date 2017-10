La sécurité, le parent pauvre du budget informatique ?

Il semblerait que la sécurité en entreprise souffre d’un manque d’attention. Une vérité qui se vérifie, à part si l’activité est sensible. C’est ce que s’accordait à dire une étude de 2015 commandée par le Club des Directeurs de Sécurité des Entreprises (CDSE). Sur un échantillon de 73 entreprises françaises, le budget d’une direction sécurité est inférieur à 1 million d’euros par an dans 55 % des cas. En comparaison, aux États-Unis, le budget des directions de sécurité, selon une étude de l’International Security Management Association (ISMA), oscillerait entre un million de dollars et plus, dans 72 % des entreprises interrogées.

Ainsi, le budget global de la sécurité française est estimé à 10 milliards d’euros, un chiffres 5 fois plus bas que celui des entreprises américaines. Mais qu’est-ce qui justifie cette différence ?

Premièrement, en France à l’exception des banques, hôtels et transports ferroviaires, la reconnaissance des services de sécurité ne se fait que très tardivement alors qu’aux États-Unis la création de la première direction sécurité corporate est apparue au milieu du XXe siècle.

Deuxièmement, la perception des directions générales vis-à-vis de la sécurité n’est pas la même en France qu’aux États-Unis. Aux États-Unis, la sécurité d’entreprise est perçue comme un avantage concurrentiel. IBM avait, par exemple, mis en place des outils de management de la sécurité dès les années 1970.

Dans ce contexte, la direction de la sécurité est souvent mal perçue au sein de nombreuses entreprises françaises et considérée comme une fonction support et même un surcoût. Mais aujourd’hui n’assisterions-nous pas à une inflexion ?

Une demande en sécurité informatique en passe d’augmenter

Selon une étude de Forrester en 2015, 40 % des entreprises pensent qu’elles augmenteront les dépenses consacrées à la sécurité du réseau. Dans certains secteurs, le budget global alloué à la sécurité pourrait même enregistrer une croissance à deux chiffres. Selon Ernst & Young, les plus grandes hausses de dépenses attribuées aux équipes de sécurité seront liées à la technologie mobile, au cloud et à la virtualisation, aux fuites de données et à la gestion des identités et aux contrôle des accès.

En 2015, environ 46% des décideurs du secteur informatique ont déclaré qu’ils investiraient davantage dans le contrôle d’accès, la prévention d’intrusion, la gestion d’identité et la protection contre les virus et les malwares, selon une enquête de Computerworld.

Ces investissements seraient dus à la complexité grandissante des infrastructures et à la variété des menaces de plus en plus étendue : fraudes, cybercriminalité, terrorisme, enlèvements, agressions, etc. En effet, l’omniprésence de la sécurité demande des effectifs et des moyens conséquents.

Comme le précise le cabinet d’analystes 451 Research, les dépenses de sécurité devrait atteindre 50 % des budgets IT d’ici à 2021. Par ailleurs, 82 % des entreprises déclarent que l’acquisition, la mise en œuvre et la gestion des infrastructures consomment aujourd’hui entre 20h et 60h de travail du personnel par semaine, ce qui se traduit par 3 à 5 employés à plein temps.

De plus, le coût moyen pour réparer les dégâts d’un seul incident informatique est estimé à 86 500 dollars pour les PME et à 861 000 dollars pour les grandes entreprises. Pour que la sécurité soit efficace, les entreprises doivent ainsi étudier les budgets alloués en fonction de la complexité de l’infrastructure, des incidents et leurs coûts réels.

Par conséquent, les charges de travail tendent à augmenter et les tâches sont de plus en plus complexes alors qu’en parallèle, les entreprises doivent pouvoir rester agiles.

La SECaas, une réponse à la nouvelle demande de sécurité ?

La demande de sécurité de la part des entreprises est directement liée à leur développement. Plus elles cherchent à se développer à l’international, plus elles ont besoin de protéger leurs actifs, à savoir leurs collaborateurs, leurs biens et leurs actifs immatériels (marques, données stratégiques…).

Or, de nombreuses entreprises françaises sont en quête de nouveaux marchés et cette recherche nécessite une protection plus offensive et des alternatives existent.

En effet, la sécurité as a service (SECaas) tire profit de l’évolution actuelle du marché et se base sur un modèle construit sur des services de sécurité plus performants, adaptés en temps réel, avec des options de paiement flexibles. De quoi abaisser durablement les coûts de la sécurité en entreprise.

En effet, de nombreuses entreprises ont fait le choix d’externaliser leur sécurité informatique et d’autres sont prêtes à le faire. Dans ce choix d’externaliser, la volonté de réduire les coûts entre en compte, sachant que la sécurité représente de 3 % à 10 % du budget informatique d’une entreprise. Mais d’autres tendances influent plus encore, comme la généralisation de l’informatique en ligne : avec le Cloud, tout ou presque s’externalise, y compris des fonctions cœur de métier.

De plus, la balance est clairement déséquilibrée entre les besoins en sécurité informatique et le nombre d’experts disponibles. Par conséquent, l’externalisation de la sécurité est synonyme d’une plus grande capacité d’anticipation, d’adaptation et de réaction, d’une meilleure qualité de service, d’une optimisation des dépenses de fonctionnement et non plus d’investissement.

Ce virage vers la sécurité comme service est important pour une amélioration durable de la sécurité numérique en France, dans les grandes comme dans les petites entreprises. Même si culturellement, il reste à acclimater l’esprit des dirigeants à cette nouvelle forme d’externalisation.

Charles Gengembre, Manager BU Sécurité et Réseaux chez SCC France