Ces conclusions proviennent d’une enquête menée auprès de 700 professionnels de l’informatique et de la sécurité en Europe (y compris la France) et au Moyen-Orient, dont les résultats permettent d’éclairer la question des politiques et des stratégies de sécurité et de conformité des tiers.

Alors que les cyberattaques augmentent, les budgets alloués à la sécurité et l’importance stratégique qui lui est accordée augmentent également.

En réalité, le risque croissant lié à la cybercriminalité, associé à l’accent mis sur le numérique, entraîne une augmentation des budgets alloués à la sécurité. Les entreprises font face à un nombre croissant de cyberattaques et doivent donc renforcer leur "ambition" numérique. Cette étude montre une certaine augmentation des budgets de sécurité, ainsi qu’une vision plus stratégique des problématiques de sécurité, suggérant que de nombreuses entreprises reconnaissent les défis à venir mais manquent de moyens nécessaires pour les affronter. En regardant simplement les chiffres, on constate que la sécurité par conception (security-by-design) - un concept extrêmement important pour prévenir tous types de risques - est pratiquée par un peu plus de la moitié des organisations (53 % ; 47 % pour la France).

En France, 24 % des entreprises réalisent des tests de simulation d’attaques en continu (22 % pour l’ensemble des décideurs interrogés). C’est 9 points de plus que le Benelux, 4 points de plus que l’Allemagne mais moins que l’Espagne (28,5 %) et le Portugal (27 %). Plus d’un quart (26 %) le sont chaque mois et 30 % au moins une fois par trimestre.

Pourtant, la résilience face aux cyberattaques reste la priorité n°1

Il est un fait que la résilience face aux cyberattaques est une priorité ; cependant, les organisations rencontrent des difficultés dans sa mise en œuvre. 55 % des personnes interrogées ont déclaré que la résilience face aux cyberattaques est leur "priorité absolue avec une stratégie définie", ce qui suggère que plus de la moitié des organisations européennes et du Moyen-Orient adoptent une approche mature de la résilience face aux cyberattaques. Cependant, les résultats de l’étude montrent également que malgré l’établissement de priorités, les organisations ont toujours du mal à traiter les risques de sécurité connus, et améliorer ou renforcer leur posture de sécurité au fil du temps reste un défi.

“Ainsi, malgré l’augmentation des budgets de sécurité et une influence stratégique accrue, la plupart des organisations souffrent encore d’une faible efficacité et d’une capacité opérationnelle limitée. Cela s’applique aux entreprises qui travaillent avec des équipes de sécurité internes ainsi qu’à celles qui travaillent avec des fournisseurs de services de sécurité gérés (MSSPs)”, explique Renaud TEMPLIER, VP Devoteam Cybertrust.

Top 5 France des défis auxquels les organisations sont confrontées lorsqu’elles tentent d’améliorer la cybersécurité ou de faire face à des risques de sécurité connus
1. Intégration insuffisante entre les équipes chargées de la sécurité et de l’infrastructure informatique : 32 %
2. (Ex-aequo) Fragmentation ou manque d’intégration du portefeuille de produits de sécurité et Manque de capacité et de largeur de bande au sein de l’équipe interne : 29 %
3. L’équilibre entre les priorités en matière de sécurité et les priorités en matière d’activité et de productivité : 28 %
4. Déterminer les risques à traiter en priorité : 25 %

Une forte corrélation entre maturité et usage des MSSP

Dans le même ordre d’idées, l’étude a également révélé que les entreprises moins matures ont recours de manière plus étendue aux MSSPs (Managed Security Services Providers ou fournisseurs de services de sécurité gérés) afin d’avoir une meilleure capacité de sécurité (à l’exception des services financiers).

Il existe une forte corrélation inverse entre l’utilisation des MSSP par un secteur et sa vision stratégique de la sécurité. Fondamentalement, les industries les plus matures ont moins recours aux MSSP. Cela a du sens, car les secteurs qui possèdent des capacités en matière de sécurité ont moins besoin d’externaliser, optant pour une utilisation sélective des MSSP. En revanche, les industries moins matures ont besoin d’accéder à des ressources de sécurité plus sophistiquées qu’elles ne peuvent obtenir par elles-mêmes et doivent donc externaliser. Elles peuvent également envisager d’externaliser la sécurité car elles ne la considèrent pas comme une compétence stratégique et essentielle qu’elles doivent maintenir en interne.

Le secteur des services financiers est l’évidente exception. Il s’agit d’une industrie particulièrement mature en termes de sécurité. Cela peut sembler étrange, puisque les banques ont généralement des ressources financières pour financer ce type de service, mais selon l’étude, c’est un secteur qui valorise l’entrée des MSSP tiers et est plus susceptible d’utiliser les fonctions et technologies les plus sophistiquées disponibles, les MSSP étant un moyen efficace de les acquérir.

Les nouvelles menaces et la complexité des attaques comme moteur des MSSP

Indépendamment de leur taille, toutes les entreprises suivent le même processus lorsqu’elles envisagent la possibilité d’accélérer l’externalisation de la sécurité. Le principal moteur est une plus grande vulnérabilité face aux nouvelles menaces, ce qui n’est pas surprenant. De manière intéressante, l’augmentation de la complexité est également un accélérateur, ce qui implique que les entreprises voient les MSSP comme une voie de simplification ou, plus probablement, un moyen de faire face à une complexité qu’elles ne peuvent réellement gérer seules.

En ce qui concerne la sélection d’un partenaire en matière de sécurité, l’étude montre que bien qu’il en existe d’autres, les acheteurs considèrent les facteurs suivants comme les plus importants :
– Accès à des outils avancés tels que la réponse aux incidents, l’intelligence des menaces et la détection et réponse étendue (XDR - Extended detection and response) : 36 %
– Surveillance accrue des menaces avec une visibilité en temps réel et une réponse plus rapide : 35 %
– Équipe élargie d’experts en sécurité certifiés et de consultants : 32 %
– Aide à éviter les erreurs de configuration : 28 %

En d’autres termes, la priorité est accordée aux capacités techniques, à la rapidité et à l’efficacité dans le délai de réponse, ainsi qu’à l’expertise spécialisée.

Top 5 France des défis posés par les fournisseur de services de sécurité externe
1. Une offre qui manque de flexibilité : 42 %
2. (Ex-aequo) Des rapports inadéquats et Un rapport qualité-prix insuffisant : 31 %
3. (Ex-aequo) Absence de vision combinée à des solutions anciennes ou dépassées et Communication inefficace sur les incidents, les mises à jour de correctifs, les questions relatives à l’examen des comptes, etc. : 28 %

Top 5 France des critères dans le choix d’un partenaire stratégique
1. Le fait de disposer d’un accord de niveau de service (SLA) robuste : 31 %
2. (Ex-aequo) Le fait de disposer de plusieurs plateformes d’administration (SOCs) dans plusieurs pays et le fait d’être capable de gérer des attaques complexes : 28 %
3. La capacité de surveillance accrue des menaces avec une visibilité en temps réel et une réponse plus rapide : 27 %
4. Le fait de disposer d’une grande équipe d’experts et de conseillers en sécurité certifiés : 25 %

Enfin, mais non moins important, l’étude met en évidence les facteurs clés de succès de la collaboration avec un MSSP : les organisations doivent adopter une vision globale de la relation pour développer un véritable partenariat reposant sur un alignement parfait entre la vision, la culture et les indicateurs respectifs.

“En mettant l’accent sur l’importance actuelle du rôle de la sécurité pour les organisations dans leur parcours numérique, cette étude cherche à comprendre la vision, les motivations, les priorités et les défis des professionnels de l’informatique et de la sécurité dans le choix d’un MSSP (Managed Security Service Provider)", conclut Rui Shantilal, Managing Partner de Devoteam Cyber Trust.