Etude

Comment les entreprises déterminent leur budget sécurité

Le CISO Benchmark Report de Cisco indique que les Chief information security officers font confiance à la direction, collaborent très bien avec leurs collègues mais ne forment pas suffisamment les employés.

(Source: Laurence Dutton / iStock.com)
(Source: Laurence Dutton / iStock.com)

Pour la cinquième fois, Cisco a publié son CISO Benchmark Report. Menée auprès de plus de 3200 responsables en sécurité IT dans 18 pays, l’étude cherche notamment à cerner comment les Chief information security officers (CISO) s’y prennent pour établir leur budget, collaborer avec d’autres fonctions IT et sensibiliser adéquatement les employés de leur entreprise.

Contrôle et évaluation des dépenses

Pour contrôler les dépenses de sécurité, les CISO se basent en priorité sur les objectifs organisationnels. Presque tous accordent leur confiance à la direction quant aux paramètres choisis pour évaluer l'efficacité de leur programme de sécurité.

Pour établir leur budget, une part importante des responsables sécurité (42%) font appel aux budgets des années précédentes. Une approche que les auteurs de l’étude déconseillent, la nature des menaces pouvant passablement évoluer d’une année à l’autre. Pour la même raison, faire correspondre un budget de sécurité à un pourcentage du chiffre d’affaire ne constitue pas une bonne stratégie. En outre, certaines entreprises intègrent la possibilité de s’assurer contre les risques pour établir leur budget. Un point que Cisco promet d'approfondir.

Collaboration et sensibilisation

Dans leur nette majorité (95%), les CISO interrogés estiment très bien collaborer avec les administrateurs réseau. Cette absence de silos est financièrement profitable. Mieux les CISO et les administrateurs réseau collaborent, moins les coûts relatifs à une brèche sont élevés. Une corrélation qui pourrait motiver la mise en place d’équipes DevSecOps, indiquent les auteurs de l’étude.

L’humain est régulièrement identifié comme le maillon faible en matière de sécurité. Pourtant, seul un CISO sur deux s’évalue comme excellent lorsqu'il s'agit de gérer ce facteur humain. Par exemple au niveau des procédure d’onboarding et de gestion des départs. L’étude montre en outre que les responsables sécurité ne proposent pas assez fréquemment des formations au personnel: seulement 39% des répondants organisent des formations suite à un incident. 61% des entreprises organisent tous les six mois des tests d’intrusion et exercices de réponse à une cyberattaque. «Il y a une marge de progression dans ce domaine», analysent les auteurs. Un tiers des CISO sondés ne procèdent à ses tests qu’une fois par année et une faible part encore plus rarement.

Webcode
DPF8_133431