Les responsables de la sécurité des systèmes d’information des entreprises (RSSI) à travers le monde se retrouvent démunis lorsqu’il s’agit de combattre la cybercriminalité. Ils manquent d’influence auprès de la direction et éprouvent des difficultés à justifier les budgets dont ils ont besoin, ce qui conduit inévitablement à rendre leur entreprise plus vulnérable. C’est l’un des enseignements d’une nouvelle étude de Kaspersky Lab, révélant que 86 % (80% en Europe) des RSSI jugent aujourd’hui les failles de cybersécurité inévitables, les groupes cybercriminels à motivations financières étant leur principale préoccupation.
La montée des cybermenaces, conjuguée à la transformation numérique qu’opèrent actuellement de nombreuses entreprises, rend le rôle du RSSI de plus en plus important dans l’entreprise moderne. L’étude de Kaspersky Lab révèle que les RSSI sont aujourd’hui soumis à une pression sans précédent : 57 % d’entre eux estiment que les infrastructures complexes liées au cloud et à la mobilité représentent un défi majeur et 50 % s’inquiètent de la recrudescence continue des cyberattaques.
Les RSSI pensent que les bandes cybercriminelles à motivations financières (40 %) et les attaques venant de l’intérieur (29 %) constituent les principaux risques pour leur entreprise. Or il s’agit de menaces extrêmement difficiles à prévenir, soit car elles émanent de cybercriminels « professionnels », soit parce qu’elles bénéficient de l’aide d’employés indélicats.
Les difficultés à justifier les budgets mettent les RSSI en concurrence avec les autres départements de l’entreprise
Les budgets affectés à la cybersécurité tendent à croitre. Un peu plus de la moitié (56 %) des RSSI interrogés prévoient une augmentation de leur budget à l’avenir (seuls 49% en Europe), tandis que 38 % (49% en Europe) s’attendent à ce qu’il demeure stable.
Néanmoins, les RSSI se heurtent à des obstacles budgétaires majeurs car il leur est quasi impossible de garantir un retour clair sur investissement (ROI) ou une protection à 100 % contre les cyberattaques.
Par exemple, plus d’un tiers (36 %) des RSSI se disent dans l’incapacité d’obtenir le budget nécessaire en matière de sécurité informatique, faute de pouvoir garantir l’absence de faille. En outre, lorsque le budget de la sécurité s’inscrit dans les dépenses informatiques globales, les RSSI doivent rivaliser avec les autres départements. Le deuxième obstacle le plus fréquent à l’obtention d’un budget est en effet l’intégration de la sécurité dans l’ensemble des dépenses informatiques. En outre, un tiers des RSSI (33 %) indiquent que le budget qu’ils pourraient se voir attribuer va en priorité au numérique, au cloud ou à d’autres projets informatiques susceptibles de démontrer un ROI plus clair.
Les RSSI ont besoin d’une audience au sein de la direction à mesure que la transformation numérique se déroule
Les cyberattaques peuvent avoir des conséquences catastrophiques pour les entreprises : plus d’un quart des participants à l’enquête de Kaspersky Lab citent les atteintes à la réputation (28 %) et les préjudices financiers (25 %) comme effets les plus critiques d’une cyberattaque.
Cependant, en dépit de l’impact négatif d’une cyberattaque, seuls 26 % des responsables de la sécurité informatique sont membres de la direction de leur entreprise. Parmi ceux qui n’en font pas partie, un sur quatre (41% en Europe) pense que ce devrait être le cas.
La majorité des responsables de la sécurité informatique (58 %) s’estiment suffisamment associés aux prises de décisions dans leur entreprise à l’heure actuelle. Cependant, à mesure que la transformation numérique devient essentielle pour l’orientation stratégique des grandes entreprises, il doit en aller de même pour la cybersécurité. Le rôle du RSSI doit évoluer afin de refléter ces changements et de le mettre en capacité d’influer sur ces décisions.
Budget et cybersécurité
Maxim Frolov, Vice-président des ventes mondiales de Kaspersky Lab, commente : « Traditionnellement, les budgets de la cybersécurité étaient perçus comme des dépenses informatiques moins prioritaires mais ce n’est plus tellement le cas. Il est en effet temps d’éduquer les équipes dirigeantes des entreprises de la nécessité d’investir dans la cybersécurité. Il ne s’agit pas de garantir la prévention complète des incidents de sécurité, il s’agit surtout d’augmenter le coût d’une cyberattaque pour un attaquant. L’objectif est de rendre une attaque hors de portée financièrement, et de décourager les attaquants, faute de rentabilité. »
Plus important encore, il s’agit de permettre à l’équipe de sécurité de contrer immédiatement toute tentative de compromission des systèmes et réseaux de l’entreprise. Une faille majeure coûte en moyenne 1,08 millions d’euros à une grande entreprise, mais en prenant les mesures de sécurité nécessaires, ce montant peut décroître, voir disparaître. Ce qui ressemble alors à une décision business pertinente.