Quand la cybersécurité arrive à maturité
Les entreprises adaptent leurs stratégies de cybersécurité, crise sanitaire oblige. Si celles-ci arrivent à maturité, les budgets ne suivent pas toujours.
Signe évident de maturité. Selon PwC, 96 % des CEO assurent vouloir modifier leur stratégie de cybersécurité en raison de la pandémie. Mieux : 50 % d’entre eux affirment qu’ils sont plus susceptibles de considérer la cybersécurité dans chaque décision commerciale, contre 25 % l’année dernière.
Dernier volet de la série Digital Trust Insights – Global Digital Trust Insights 2021 : la cybersécurité arrive à maturité. L’ étude est issue d’une enquête menée auprès de 3 249 dirigeants d’entreprises et de technologies du monde entier. Les commentaires des répondants au sondage se sont concentrés sur cinq domaines clés : la mise à jour de la stratégie cybernétique, la pérennité des équipes cybernétiques, la maximisation des cyberbudget, l’investissement pour égaliser les chances contre les attaquants et le renforcement de la résilience.
COVID-19, des impacts sans précédents
Au cours de cette étude, 51% des CEO ont déclaré être plus susceptibles d’avoir des interactions fréquentes avec le CISO (Chief Information Security Officer). Au cours des trois premiers mois de la pandémie, ont rapporté les CEO, leurs organisations accéléraient la numérisation à une vitesse surprenante, passant à la deuxième ou troisième année de leurs plans quinquennaux.
«Compte tenu des impacts sans précédent de la COVID-19, de nombreuses organisations ont dû repenser et recadrer leurs stratégies de cybersécurité. L’évolution du rôle d’un CISO et son importance pour l’organisation n’ont jamais été aussi cruciales pour sa survie et sa croissance. Il est important pour les RSSI d’équilibrer les nuances de la technologie et des exigences commerciales, tout en soutenant l’organisation dans leur stratégie cybernétique», commente Sean Joyce, US and Global Cybersecurity and Privacy Leader. Faire les choses plus vite et plus efficacement est la principale ambition numérique de 29 % des cadres. Tandis que 31 % se modernisent avec de nouvelles capacités. Enfin, 35 % déclarent accélérer l’automatisation pour réduire les coûts.
Des cyber-équipes à l’épreuve du futur
Avec 3,5 millions d’emplois en cybersécurité à pourvoir en 2021, le seul problème qui sévit dans le secteur de la cybersécurité est le manque de travailleurs qualifiés. Cinquante et un pour cent des dirigeants de l’enquête ont déclaré qu’ils prévoyaient d’ajouter du personnel de cybersécurité à plein temps au cours de l’année prochaine. Et plus de 22 % ont déclaré qu’ils augmenteraient leur personnel de 5 % ou plus.
Les principaux postes que les dirigeants cherchent à occuper : architectes de solutions cloud 43 %, intelligence de sécurité 40 % et analyse des données 37 %. Une alternative que de nombreuses organisations ont utilisée pour pourvoir les postes vacants est «l’embauche de l’intérieur», offrant une mise à niveau des compétences pour augmenter les compétences des travailleurs existants dans les mêmes domaines pour lesquels ils recrutent. En clair : les compétences numériques, le sens des affaires et les compétences sociales.
Quelques organisations ont commencé à s’appuyer sur des services gérés pour répondre au besoin urgent de talents profonds et de technologies avancées.
Repenser les cyberbudgets
Plus de la moitié des organisations, 55 %, déclarent que leur budget cybernétique augmentera plutôt que diminuera en 2021. Bien qu’un budget plus important pour la cybersécurité soit une bonne nouvelle, le secteur devrait s’attendre à des changements dans la façon dont ils sont gérés, estime PwC. Plus de la moitié des personnes interrogées ne sont pas convaincues que leurs dépenses cybernétiques sont affectées aux risques les plus importants pour l’organisation. 44 % déclarent envisager de modifier leur processus de budgétisation et 37 % sont tout à fait d’accord pour dire que la quantification des cyberrisques peut considérablement améliorer la façon dont ils gèrent les dépenses par rapport aux risques.
Néanmoins, plus d’un tiers sont tout à fait d’accord pour dire que les organisations peuvent renforcer leur cyber posture tout en maîtrisant les coûts -grâce à l’automatisation et à la rationalisation de la technologie.
Égaliser les règles du jeu contre les cyber-attaquants
L’innovation et la technologie changent la façon dont les entreprises égalisent les règles du jeu contre les cyber-attaquants. 43 % des dirigeants déclarent qu’ils ont amélioré l’expérience client et réagissent plus rapidement aux incidents et aux perturbations.
Les principaux résultats souhaités au cours des deux à trois prochaines années sont : une prévention accrue des attaques réussies, des temps de réponse plus courts aux perturbations, une confiance accrue des dirigeants dans la capacité à gérer les menaces et une expérience client améliorée. Et de prôner des pistes comme le Zero Trust, les services gérés, la virtualisation et l’adoption accélérée du cloud. En termes de ressources, il faut aussi que le CISO puisse jouer un rôle de leader transformationnel.
Renforcer la résilience
40 % des dirigeants interrogés ont déclaré qu’ils prévoyaient d’augmenter les tests de résilience pour garantir que les services métier critiques fonctionneront même en cas de cyber-événement perturbateur. «L’organisation de sécurité de nouvelle génération a une triple mission : instaurer la confiance, renforcer la résilience et accélérer l’innovation. Bref, ce sera très différent de la plupart des organisations de sécurité d’aujourd’hui», poursuit Sean Joyce. Il est vrai, aussi, que les perspectives de menaces pour 2021 ont changé. PwC place l’IoT en tête, puis les fournisseurs de services cloud, tandis que les cyberattaques sur les services cloud figurent en tête de la liste des menaces qui auront un impact très négatif…