La pénurie de responsables sécurité pousse les organisations à se réinventer
Un nouveau rapport de Cybersecurity Ventures et Sophos met en lumière un déséquilibre mondial en cybersécurité: environ 35’000 CISOs pour quelque 359 millions d’entreprises. Une situation qui ouvre des opportunités stratégiques pour les prestataires de services managés.
Le «CISO Report 2026» de Cybersecurity Ventures et Sophos met en évidence un déséquilibre marqué dans l’écosystème mondial de la cybersécurité: on compte environ 35’000 CISOs pour quelque 359 millions d’entreprises dans le monde.
«Il s’agit d’une défaillance de marché. L’écosystème de la cybersécurité n’a pas encore trouvé comment combler cette lacune. Nous avons désormais le potentiel de le faire», déclare Joe Levy, CEO de Sophos. Malgré la présence de CISOs dans les entreprises du Fortune 500 et du Global 2000, cette fonction stratégique reste absente dans de nombreuses organisations.
Les PME sont particulièrement concernées, elles qui constituent l’essentiel du tissu économique mondial. Selon le rapport, un CISO expérimenté coûte généralement entre 218’000 et 348’000 euros par an, un niveau difficilement soutenable pour beaucoup d’entre elles. Quatre petites entreprises sur cinq auraient ainsi subi un incident de sécurité l’an dernier, dont une part significative avec des dommages à six chiffres.
En parallèle, la menace continue de s’intensifier. D’après les projections du rapport, le coût global des cyberattaques pourrait dépasser 11 billions d’euros par an d’ici 2031, soit plus du double de 2021. Pour la seule année 2026, les dommages liés aux ransomwares devraient atteindre plusieurs dizaines de milliards d’euros.
Les entreprises dépourvues de fonction de pilotage dédiée sont particulièrement exposées aux interruptions d’activité, aux pertes financières et aux atteintes à la réputation. Des modèles externes, tels que les CISOs virtuels (vCISO), peuvent partiellement pallier ce manque, mais leur capacité de montée en charge reste limitée.
Une fonction sous pression
Même dans les organisations disposant d’un CISO, la fonction montre des signes de tension. Selon des enquêtes citées dans le rapport, 75% des CISOs envisagent de changer de poste et presque tous effectuent régulièrement des heures supplémentaires. La durée moyenne dans la fonction n’est que de 18 à 26 mois, ce qui illustre la difficulté à stabiliser ce rôle.
Les risques juridiques croissants et la pénurie de talents accentuent encore la pression, indique Sophos. Dans ce contexte, les Managed Services Providers (MSP) et Managed Security Service Providers (MSSP) gagnent en importance, tant pour combler les lacunes opérationnelles que pour assumer des responsabilités stratégiques.
Le rapport relève: «De la même manière que la détection et la réponse managées ont montré que les opérations de sécurité se prêtent bien à une approche en tant que service, la fonction de pilotage de la sécurité peut elle aussi être étendue via des partenaires.»
Le CEO de Sophos résume: «Il existe une opportunité de créer, grâce à un modèle hybride combinant humains et technologies, une nouvelle génération de MSP et de MSSP, au service de centaines de millions d’entreprises qui n’y auraient autrement pas accès.»
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
