En 5 ans, les budgets cybersécurité ont plus que triplé
La cybersécurité pèse désormais plus d'un cinquième des budgets IT en moyenne. Mais les entreprises les plus petites décrochent.
PublicitéAu cours des 5 dernières années, le budget dédié à la cybersécurité a plus que triplé. C'est une des conclusions les plus frappantes de l'étude annuelle menée par l'assureur Hiscox. Selon celle-ci, le budget médian de la cybersécurité est passé de 1,4 million de dollars en 2018 à 5,3 millions l'an dernier. Soit un bond de 280% ! En France, la cyber représente en moyenne 22% du budget IT, en progression de deux points par rapport à 2021.
Hiscox note toutefois que les budgets ne progressent pas de façon linéaire en fonction de la taille des organisations. Ainsi, dans les entreprises réalisant plus de 20 M$ de chiffre d'affaires, le budget cyber a en moyenne quintuplé en trois ans. A l'inverse, dans les petites organisations (entre 10 et 49 employés), les dépenses consacrées au sujet ont presque été divisées par deux sur la même période, probablement en raison de la pandémie, « les entreprises ayant moins de moyens à consacrer à l'informatique », écrit l'assureur britannique dans son rapport.
Le cloud, porte d'entrée préférée des pirates
Sans surprise, la part des entreprises reconnaissant avoir subi une cyberattaque progresse : au niveau mondial, elles sont 48% dans ce cas (et même 52% dans l'Hexagone), contre 43% en 2021 et 39% en 2020. Dans sept des huit pays où Hiscox a mené son enquête, les décideurs voient les cyberattaques comme le risque n°1 pesant sur leur activité. Le coût médian d'une cyberattaque est passé à 17 000 dollars en 2022, en hausse de 29% sur un an. Pour l'assureur, cette montée du risque et des conséquences est notamment lié à l'accélération de la mutation vers le cloud qu'entraîne la crise du Covid : en 2022, les serveurs sur le cloud sont devenus la porte d'entrée préférée des cyberassaillants, devant la messagerie professionnelle.
Selon Hiscox, les principales conséquences des cyberattaques dépassent les seules dépenses de remise sur pied des systèmes. Ainsi, 30% des décideurs citent les efforts et coûts de notification des clients concernés parmi les principales conséquences vécues après une attaque. Un item qui s'installe à la première place des impacts, après un bond de 7 points en un an, et devance les atteintes à la réputation de l'entreprise (citées par 27% des personnes interrogées). L'impact grandissant des conséquences issues de la régulation se confirme dans la part des entreprises qui expliquent avoir dû faire face à une amende substantielle après une cyberattaque : elles sont 20% dans ce cas, soit un bond de 9 points par rapport à 2021. Notons encore que 21% des décideurs expliquent que la solvabilité de leur entreprise a été menacée par une cyberattaque, en progression de 4 points sur un an. Cette part atteint même 24% en France.
Près des deux-tiers des entreprises possèdent désormais une cyberassurance, soit via une police dédiée soit dans le cadre d'un contrat plus global couvrant certains risques cyber. Cette proportion a progressé de 6 points en un an. En France, la pratique est un peu moins répandue : 61% des organisations hexagonales possèdent une cyberassurance (+4 points par rapport à 2021).
Article rédigé par
Reynald Fléchaux, Rédacteur en chef CIO
Suivez l'auteur sur Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire