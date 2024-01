Les entreprises dépensent trop en cybersécurité !

janvier 2024 par Vivien Eberhardt, General Manager DACH, France & Southern Europe, Cybersecurity & Risk Services au sein de Wipro

Alors que les entreprises font face à un contexte économique plus qu’incertain et une augmentation de leurs dépenses depuis de nombreux mois, les cybercriminels continuent eux à multiplier les attaques. Ainsi, les organisations publiques ou privées françaises auraient subi un total de 385 000 cyberattaques réussies en 2022, pour un coût total de 2 milliards d’euros selon le cabinet Asterès. Face à un risque croissant de récession économique, les entreprises cherchent à optimiser leurs dépenses, y compris sur les fonctions clés comme la cybersécurité. Face à une demande toujours plus forte de baisse des coûts de fonctionnement, les responsables informatiques doivent faire plus avec moins, mais cela n’implique pas nécessairement d’affaiblir les défenses de l’entreprise. Bien au contraire.

Responsabiliser les organes décisionnels et l’ensemble des collaborateurs

Les responsables de la sécurité informatique sont encore trop peu écoutés par les directions d’entreprise, même si cette situation a quelque peu évolué. Le métier de responsable de la sécurité des systèmes d’information (RSSI) tend à se transformer en une fonction plus stratégique, mais une difficulté demeure dans la traduction de la menace en risque pour l’activité afin d’assurer une bonne compréhension par l’organe décisionnel. Les conséquences économiques et même physiques des cyberattaques, ont même amené certaines autorités à mettre en place de nouvelles réglementations pour assurer une meilleure prise en compte des risques par les décideurs. Ainsi, la Securities and Exchange Commission (SEC) aux Etats-Unis, a proposé il y a à peine un an un texte obligeant les sociétés à communiquer le niveau d’expertise de leurs dirigeants en matière de cybersécurité.

Il est crucial d’interroger la direction sur ses connaissances en cybersécurité et son degré de tolérance au risque, en les sensibilisant sur les conséquences potentielles d’une attaque, notamment en matière de risques financiers et réputationnels. Par exemple, un manque d’investissement dans un programme de sensibilisation des employés aux méthodes d’attaques augmente le niveau d’exposition de l’entreprise à une menace de type rançongiciel. Le résultat étant, dans la plupart de ces attaques, un arrêt total ou partiel des activités pendant des semaines, voire des mois, avec des conséquences financières et d’image désastreuses. Si d’ordinaire, les entreprises sont dans la réaction plutôt que la prévention face aux cyberattaques, la description de scenarios catastrophes peut créer l’électrochoc chez les dirigeants de manière à ce qu’ils comprennent les risques réels que les lacunes en matière de cybersécurité peuvent entraîner.

De fait, le facteur humain est encore à l’origine d’une très grande majorité de cyber-attaques réussies. Une attention toute particulière doit donc être portée à la formation des employés qui, sans la mobilisation de grandes ressources, permet de réduire considérablement le risque. Mais, si les entreprises proposent de plus en plus des formations à leurs collaborateurs, cela n’est bien entendu toujours pas suffisant, puisque seulement 62% des salariés français n’ont jamais reçu de formation en cybersécurité*. Et face à la recrudescence d’attaques toujours plus sophistiquées, les entreprises doivent investir dans des plateformes de sécurité holistiques, capables d’assurer une défense proactive et de manière plus autonome, sans cumuler les solutions technologiques et donc les coûts.

L’optimisation des coûts fait pencher la balance du côté des macro-plateformes et de l’automatisation

L’effet combiné d’une menace accrue et des coupures budgétaires entraîne des différences dans la manière dont les entreprises s’attaquent à la cybercriminalité. De plus en plus d’organisations optent pour des « macro-plateformes », qui intégrèrent une suite d’outils complète, alors que d’autres recherchent des solutions dites "best-in-class" qui répondent à des aspects spécifiques de la cybersécurité. Si celles-ci peuvent être efficaces, elles risquent néanmoins de complexifier l’environnement informatique avec de multiples outils que les organisations doivent acheter, intégrer et évaluer pour construire une défense solide. Une stratégie qui peut donc s’avérer longue et coûteuse.

Les plateformes offrent elles une suite de solutions provenant d’un seul et même éditeur et sont capables de gérer différentes opérations de cyberdéfense. Le plus souvent de type Cloud native, ces suites sont régulièrement mises à jour avec les dernières technologies, proposant une protection efficace tout en respectant les contraintes budgétaires via une optimisation pluriannuelle des coûts.

Enfin, il est recommandé de privilégier des solutions qui s’appuient sur des technologies de machine learning et d’IA, de plus en plus matures. Cette approche permet d’automatiser de multiples tâches répétitives et d’optimiser l’intervention humaine. Cela contribue ainsi à libérer du temps des équipes de cybersécurité pour qu’elles puissent se consacrer aux tâches plus stratégiques et à forte valeur ajoutée, et permet une meilleure rétention des talents dans l’entreprise. Un avantage non négligeable en cette période de coupures budgétaires ou les embauches se font plus rares.

Si comme l’ensemble des métiers, les RSSI sont appelés à faire plus avec moins en cette période d’incertitude économique, ils peuvent maintenir un niveau de sécurité élevé pour leur organisation en opérant un changement d’esprit. Tout d’abord en matière de communication interne, en explicitant clairement les conséquences concrètes sur le business en cas d’attaque, mais aussi en termes d’outils, en préférant les plateformes holistiques aux multiples solutions spécifiques.

*Étude « Phishing, malwares, arnaques : état des lieux de la sensibilisation à la cybersécurité des collaborateurs » a été réalisée par l’Institut Ipsos sur la commande de Terranova Security.