L’étude a été réalisée auprès de plus de 900 RSSI ou décideurs informatiques dans le monde (dont 100 en France). Elle révèle que, selon plus de la moitié (56 % en France) des responsables interrogés, leur entreprise prévoit d’augmenter son budget de sécurité au cours des 12 prochains mois.

Il est manifeste que les entreprises accentuent leurs investissements. Plus de trois quarts (63 % en France) de celles interrogées ont bénéficié d’investissements dans de nouveaux projets de sécurité, soit en réponse à un cyber incident (43 %), soit par crainte d’échouer à un audit (20 %). Alors que le montant des pénalités financières infligées en vertu du RGPD totalise aujourd’hui 175 millions d'euros, près d’un tiers des participants à l’enquête (34 %) pensent que la menace d’un défaut de conformité ou d’une amende est le moyen le plus efficace de persuader les entreprises d’investir dans la cybersécurité.

Le COVID accentue les investissements dans la sécurité

Face à la montée des cybermenaces et des risques pendant la crise du COVID, les RSSI indiquent que les entreprises y sont vigilantes et renforcent leur budget de cybersécurité. L’immense majorité d’entre eux (91 % contre 94 % en France) jugent que leur direction investit suffisamment dans ce domaine. En France, 58 % pensent qu’au cours du prochain exercice, ils disposeront d’un budget plus important en raison du COVID-19.

Les RSSI se heurtent encore à des obstacles

Cependant, les RSSI éprouvent des difficultés pour obtenir le soutien de leur direction. Près de 37 % (38 % en France) des investissements proposés par les participants ont été refusés car la menace était perçue comme présentant un faible risque ou parce que la technologie n’avait pas suffisamment démontré son retour sur investissement (33 % en France). Un tiers (33 % au global contre 24 % en France) des responsables interrogés estime que la direction ne saisit pas l’ampleur de la menace lorsqu’il s’agit de décider des investissements dans la cybersécurité.

Des réflexions stratégiques mais des investissements tactiques

Les propres décisions d’achat des RSSI sont proactives car ceux-ci s’efforcent de suivre les évolutions du secteur ainsi que de leurs homologues. Ils sont une très forte majorité (70 % en France) à se dire prêts à expérimenter des outils innovants. Cependant, dans la pratique, ils restent guidés par leurs pairs : près de la moitié (46 % au global contre 51 % en France) alignent leurs décisions d’achat sur celles d’autres entreprises de leur secteur. Cela peut conduire les RSSI à se tourner vers des technologies connues et éprouvées plutôt que d’en essayer de nouvelles.

« Notre étude montre clairement que, pour pouvoir suivre les innovations technologiques, les RSSI doivent d’abord sensibiliser les parties prenantes à l’intérêt de la cybersécurité », commente James Legg, CEO de Thycotic. « Pour obtenir des investissements de leur direction, il leur faut trouver un délicat équilibre entre innovation et conformité ».

Cet équilibre est perceptible dans la façon dont les décideurs décrivent le profil de risque de leur entreprise. Près de la moitié (45 % et 33 % en France) des participants à l’enquête placent celle-ci dans « le gros du peloton » et un tiers d’entre eux seulement (36 % au global – 45 % en France) la considèrent comme « pionnière » dans l’adoption des nouvelles avancées technologiques. A peine 17 % (22 % en France) pensent que leur entreprise est à la pointe du progrès, fixant ses priorités d’investissement en fonction des menaces les plus récentes.

« Si les entreprises augmentent effectivement leur budget de cybersécurité, elles tendent cependant à voir dans tout investissement un coût plutôt qu’une source de valeur ajoutée », souligne Terence Jackson, RSSI de Thycotic. « Il existe certains signes encourageants, en particulier en Asie-Pacifique, indiquant que le ROI est le principal critère des décisions d’investissement dans la sécurité ».

« Toutefois, il reste encore du chemin à parcourir », ajoute Terence Jackson. « Le fait que les entreprises approuvent principalement les investissements après un incident de sécurité ou par crainte de pénalités réglementaires pour non-conformité montre que les décisions d’investissement dans la cybersécurité sont davantage liées à un besoin d’assurance qu’à un désir d’être à la pointe du secteur, ce qui, sur le long terme, limite la capacité des entreprises à suivre la cadence imposée par les cybercriminels ».

Méthodologie
L’enquête 2020 Global Survey of Cyber Security Leaders pour Thycotic a été réalisée en ligne en août 2020, par Sapio Research, auprès de 908 décideurs de haut niveau dans le domaine de la sécurité informatique, travaillant dans des entreprises de plus de 500 salariés et invités par e-mail à y participer.