Pour obtenir leurs budgets, les CISO doivent démontrer leur impact
Les investissements dans la sécurité IT augmentent, sans toutefois constituer une part plus importante du budget IT dans son ensemble. Sous pression pour justifier leurs besoins budgétaires, les Chief Information Security Officers (CISO) brandissent le plus souvent des métriques et des rapports d'évaluation. L’argument d’une baisse avérée des cyberincidents est moins fréquent.
Les entreprises investissent toujours davantage pour lutter contre les cyberrisques. Près de trois quart d’entre elles prévoient ainsi d’augmenter leur budget dédié à la sécurité en 2020 (1). Pour la région EMEA, ces dépenses augmenteront de 9,3% en 2019 et de 8,9% en 2020 (2). Les investissements consacrés aux logiciels de sécurité, au Big Data et à la formation feront l’objet de la plus forte hausse (3), aussi bien au sein des PME que des grandes entreprises. Cette augmentation des investissements en cybersécurité traduit une attitude réactive des entreprises puisqu'elle est le plus souvent consécutive à la survenue d'une attaque (4). L’annonce d’un incident touchant une autre entreprise, l’adoption de nouvelles technologies ainsi que des changements de régulations motivent également ces investissements accrus.
Même si les dépenses en sécurité prennent la pente ascendante, elles ne constituent toutefois pas une part croissante du budget IT dans son ensemble. Les Chiefs Information Security Officers (CISO) ont d'ailleurs bien conscience d’être en compétition avec d’autres fonctions et doivent se battre pour qu’on leur accorde le budget souhaité. Il s’agit là de l’un des principaux challenges auxquels ils font face, avec la complexité croissante des architectures IT, le besoin de vitesse et la multiplication des cyberattaques.
Comment les CISO s’y prennent pour disposer du budget dont ils ont besoin?
Pour justifier leur demande de budget, les CISO disposent de plusieurs cordes à leur arc, essentiellement des métriques et des évaluations de l’impact des risques. Les CISO appuient le plus fréquemment leurs demandes de budget avec des métriques mesurant la performance au fil du temps, mais aussi avec des rapports sur l'impact des brèches survenues. Ils ont en outre recours à des audits sur les vulnérabilités de leurs systèmes et leur impact potentiel, de même qu’à des évaluations des dommages causés par les attaques passées. Enfin, les contraintes réglementaires et les tests d'intrusion figurent aussi dans la panoplie d'arguments des responsables de la sécurité IT. A noter que seul un CISO sur cinq justifie ses besoins budgétaires par une baisse avérée des cyberincidents.
Références:
1. Cybersecurity Through the CISO’s Eyes, 451 Research (Kaspersky), 2019
2. IT Spending Forecast, 3Q 2019 Update: The Next Generation of Cloud, Gartner
3. IT security economics in 2019, Kaspersky
4. 2019 Global Cyber Risk Perception Survey, Marsh (Microsoft)
