Views
1 year ago

Cybersecurity 2020

  • Text
  • Informatique
  • Contre
  • Salle
  • Suisse
  • Ainsi
  • Swiss
  • Attaques
  • Solutions
  • Cyber
  • Entreprises

BUDGET & COÛTS Pour

BUDGET & COÛTS Pour obtenir leurs budgets, les CISO doivent démontrer leur impact Les investissements dans la sécurité IT ne constituent pas une part plus importante du budget IT dans son ensemble, alors que les cyberattaques sont toujours plus fréquentes. Leurs coûts ont en outre des sources multiples, de la com’ aux renforts externes. Yannick Chavanne, Rodolphe Koller Les entreprises investissent toujours davantage pour lutter contre les cyberrisques. Près de trois quarts d’entre elles prévoient ainsi d’augmenter leur budget dédié à la sécurité en 2020¹. Pour la région EMEA, ces dépenses augmenteront de 9,3 % en 2019 et de 8,9 % en 2020². Les investissements consacrés aux logiciels de sécurité, au Big Data et à la formation feront l’objet de la plus forte hausse³, aussi bien au sein des PME que des grandes entreprises. Cette augmentation des investissements en cybersécurité traduit une attitude réactive des entreprises puisqu’elle est le plus souvent consécutive à la survenue d’une attaque 4 . L’annonce d’un incident touchant une autre entreprise, l’adoption de nouvelles technologies ainsi que des changements de régulations motivent également ces investissements accrus. Même si les dépenses en sécurité prennent la pente ascendante, elles ne constituent toutefois pas une part croissante du budget IT dans son ensemble. Les Chiefs Information Security Officers (CISO) ont d’ailleurs bien conscience d’être en compétition avec d’autres fonctions et doivent se battre pour qu’on leur accorde le budget souhaité. Il s’agit là de l’un des princi- COMMENT LES CISO JUSTIFIENT-ILS LEURS BUDGETS ? Des métriques qui mesurent le rendement au fil du temps 43 % Des rapports sur l’impact des atteintes à la cybersécurité 43 % Evaluation des vulnérabilités et des investissements nécessaires pour remédier aux priorités les plus élevées 40 % Evaluation des dommages causés à l’entreprise par les attaques passées 39 % Evaluation de l’impact possible d’attaques majeures 38 % Des métriques qui mesurent les efforts par rapport aux points de repère et aux pratiques exemplaires de l’industrie 36 % Evaluation des dommages causés par les attaques contre des organisations homologues 36 % Règlements obligatoires Test d’intrusion/ Red teaming Réduction des cyberincidents dans votre organisation 19 % 33 % 31 % Source: 451 Research, 2019 6

paux challenges auxquels ils font face, avec la complexité croissante des architectures IT, le besoin de vitesse et la multiplication des cyberattaques. Comment les CISO s’y prennent pour disposer du budget dont ils ont besoin? Pour justifier leur demande de budget, les CISO disposent de plusieurs cordes à leur arc, essentiellement des métriques et des évaluations de l’impact des risques. Les CISO appuient le plus fréquemment leurs demandes de budget avec des métriques mesurant la performance au fil du temps, mais aussi avec des rapports sur l’impact des brèches survenues. Ils ont en outre recours à des audits sur les vulnérabilités de leurs systèmes et leur impact potentiel, de même qu’à des évaluations des dommages causés par les attaques passées. Enfin, les contraintes réglementaires et les tests d’intrusion figurent aussi dans la panoplie d’arguments des responsables de la sécurité IT. A noter que seul un CISO sur cinq justifie ses besoins budgétaires par une baisse avérée des cyberincidents. Les multiples coûts d’une cyberattaque Alors qu’ne part toujours plus importante d’organisations essuient des attaques informatiques, les pertes financières et dépenses extraordinaires varient beaucoup selon le type d’attaque. Selon un rapport de Kaspersky³, un malware infectant les terminaux d’une grande société lui coûte ainsi deux fois plus que la perte physique d’un appareil privé employé professionnellement (BYOD). Le rapport montre aussi que les attaques contre des organisations partenaires comptent parmi les plus onéreuses. Les PME enregistrent notamment des coûts importants lorsque leur infrastructure hébergée subit un incident. Et les grandes entreprises sont particulièrement sensibles à des attaques contre des fournisseurs avec lesquels ils partagent des données. Les incidents informatiques causent une grande variété de dépenses. Selon le rapport de Kaspersky, un tiers des coûts est lié au personnel mobilisé, qu’il s’agisse d’heures supplémentaires, de nouveaux collaborateurs ou du recours à des spécialistes externes. Les coûts de communication Il est par ailleurs notable que les dépenses supplémentaires en relations publiques pèsent pratiquement autant dans la balance que les affaires perdues en raison de l’incident. «Les scandales liés aux atteintes à la protection des données font de plus en plus souvent la une des journaux. Cela peut conduire à un manque de confiance et d’assurance du public envers les entreprises, ce qui les oblige à investir en relations publiques et en gestion de crise pour rétablir la confiance des clients envers leur marque. Notre enquête a révélé que 31 % des PME et 367% des grandes entreprises ont connu des RÉPARTITION DE L’IMPACT FINANCIER D’UNE FUITE DE DONNÉES POUR LES PME 11 % problèmes de relations publiques en 2019 en raison d’atteintes à la protection des données, causant des répercussions financières supplémentaires», expliquent les auteurs du rapport. 10 % 3 % Recrutement de spécialistes externes Dommages à la cote de crédit / Assurance Pertes commerciales Heures supplémentaires du personnel interne Dépenses supplémentaires en relations publiques Compensations Pénalités et amendes Amélioration des logiciels et de l’infrastructure Formation Nouveaux recrutements DPO et SOC pour limiter les coûts Selon l’étude de Kaspersky menée auprès de près de 5000 décideurs IT dans 23 pays, les organisations dotées d’un délégué à la protection des données (DPO) sont enfin moins susceptibles de subir des pertes financières liées à une cyberattaque. Disposer d’un SOC (Security Operation Center) permet également de minimiser ces coûts. Références: 4 % 10 % 11 % 12 % 11 % • 1) Cybersecurity Through the CISO’s Eyes, 451 Research (Kaspersky), 2019 • 2) IT Spending Forecast, 3Q 2019 Update: The Next Generation of Cloud, Gartner • 3) IT security economics in 2019, Kaspersky • 4) 2019 Global Cyber Risk Perception Survey, Marsh (Microsoft) 11 % 11 % source: IT security economics in 2019, Kaspersky BUDGET & COÛTS 7