Stratégie

Moins d'une entreprise sur deux augmente son budget cyber après une attaque

Moins d'une entreprise sur deux augmente son budget cyber après une attaque
Selon une étude d’IBM, seulement 49% des entreprises répondent à une cyberattaque par des investissements supplémentaires en sécurité, contre 63% en 2024. (Photo : Christian Dubovan/Unsplash)

Augmenter le budget sécurité après un incident cyber est un réflexe de moins en moins répandu. Les conseils d'administration adaptent leurs stratégies de gestion des risques... ou voient les attaques comme une conséquence inévitable de leur présence sur le marché.

PublicitéUne idée reçue veut que les organisations investissent davantage dans la cybersécurité après une violation de données. La dernière étude annuelle d'IBM sur le coût d'un incident de ce type, fait état d'une baisse significative du nombre d'organisations mondiales déclarant prévoir d'investir dans la sécurité après une attaque : 49% en 2025, contre 63% en 2024.Les experts interrogés sont partagés quant à savoir si cette baisse est inconsidérée ou reflète une prise de conscience de l'inefficacité des dépenses réactives.

« Historiquement, les investissements liés aux violations ont servi de signal d'alarme pour les conseils d'administration, mais les dernières données montrent une certaine lassitude, déclare Amiram Shachar, PDG de l'entreprise de sécurité cloud Upwind. Les dépenses réactives ne sont ni efficaces ni durables. »

« Un coût inévitable associé à l'activité »

Il ajoute que « les programmes de sécurité proactifs déployés en continu et qui évoluent à mesure que les applications migrent dans le cloud, de la protection de la couche de configuration à la protection des applications au niveau de la couche d'exécution, améliorent graduellement la couverture et réduisent le risque de violation. Ils ont un impact bien plus important ». Aaron Perkins, fondateur de Market-Proven AI, affirme que les entreprises se rendent compte qu'une fois un certain seuil atteint, les dépenses supplémentaires en cybersécurité ne se traduisent pas nécessairement par une réduction proportionnelle des risques.

« Les organisations victimes de violations de données passent d'une gestion réactive de leurs dépenses à une gestion calculée des risques, privilégiant l'optimisation des investissements existants plutôt que la simple multiplication des couches de sécurité, explique Aaron Perkins. Cela témoigne d'une maturité organisationnelle qui dépasse la logique de la sécurité à tout prix et privilégie une prise de décision plus élaborée, axée sur le retour sur investissement ». Zach Lewis, DSI et RSSI à l'Université des sciences de la santé et de la pharmacie de Saint-Louis (États-Unis), n'est pas surpris par les chiffres d'IBM, car les violations de données ne suscitent plus le même sentiment d'urgence qu'auparavant. « Trop d'entreprises les considèrent comme un coût inévitable de leur activité et passent à autre chose, explique-t-il. « Le problème, c'est que les attaquants deviennent plus intelligents et plus rapides, et si vous ne mettez pas à jour vos défenses, notamment avec des outils capables de les suivre, vous laissez la porte grande ouverte à la prochaine attaque. » De plus, compte tenu de l'importance accordée à la cybersécurité par les conseils d'administration ces dernières années, le déblocage d'une enveloppe post-violation les met sur la sellette. « Augmenter les dépenses de sécurité après une violation oblige les dirigeants à reconnaître qu'ils ont sous-investi au départ », souligne Jason Rebholz, en charge du conseil aux RSSI chez Expel, fournisseur de solutions managées de détection et de réponse aux incidents.

PublicitéTransfert de risques

De plus en plus de responsables en cybersécurité choisissent de transférer les risques plutôt que de les atténuer grâce à la cyberassurance, une décision métier qui peut modifier les réponses à toute faille de sécurité. « La baisse des dépenses post-intrusion suggère une divergence d'opinions : certaines entreprises s'appuient sur la cyberassurance pour absorber l'impact, tandis que d'autres ont déjà renforcé leur résilience grâce à des cadres comme le CSF [Cyber Security Framework] du NIST [National Institute of Standards and Technology, agence dépendant du ministère du Commerce des États-Unis]. Dans ces cas, les failles de sécurité permettent de tirer des leçons et d'effectuer des ajustements plutôt que de nouveaux investissements », explique Elliott Franklin, RSSI de la société de réassurance Fortitude Re.

Todd Thorsen, RSSI chez CrashPlan, fournisseur de solutions de récupération de données, souligne que certaines victimes de failles de sécurité peuvent conclure qu'elles sont davantage exposées du fait de la complexité de leur environnement informatique qu'en raison d'investissements cyber insuffisants. « La complexité peut être un problème aussi important que le sous-investissement en sécurité : systèmes redondants, intégrations mal gérées, logiciels obsolètes, etc., explique-t-il. Cela peut inciter certaines organisations à simplifier leurs environnements après une faille de sécurité et à se concentrer sur les bons outils, l'optimisation et la consolidation. »

Des processus défaillants

Mark Wojtasiak, vice-président de la recherche et de la stratégie produits chez le fournisseur de solutions de sécurité Vectra AI, affirme que la baisse des intentions d'investissement après une violation suggère un changement de mentalité plus large parmi les professionnels du sujet : « de nombreux responsables de la sécurité considèrent désormais les violations moins comme un signal d'investissement, que comme un indicateur de processus défaillants, de lacunes de gouvernance ou de capacités sous-utilisées. « Par conséquent, plutôt que de rechercher de nouveaux budgets, les organisations se concentrent sur l'amélioration de leur utilisation des technologies et des partenariats existants. »

D'autres experts se montrent beaucoup moins optimistes. AJ Thompson, directeur commercial au sein de la société de conseil IT Northdoor et membre du conseil consultatif mondial de sécurité d'IBM, y voit une évolution inquiétante. « Le fait qu'une organisation ait été victime d'une violation signifie qu'il existe déjà une vulnérabilité exploitable ; ne pas y remédier en renforçant la sécurité est imprudent », estime-t-il.

Pas de ruée vers l'IA

Selon une autre conclusion clé du rapport d'IBM, moins de la moitié des entreprises qui prévoient d'investir après une faille de sécurité se concentreront sur des solutions ou services de sécurité basés sur l'IA. « Ce faible intérêt pour les solutions basées sur l'IA est surprenant, compte tenu de la manière dont l'IA et l'IA générative remodèlent le paysage de la menace, estime Amiram Shachar d'Upwind. Les organisations ont besoin d'outils capables de sécuriser les applications d'IA contre des risques tels que les fuites de données, les manipulations malveillantes et les accès non autorisés aux modèles, des failles que les défenses traditionnelles ne peuvent combler. »

Elliott Franklin, le RSSI de Fortitude Re, ajoute : « l'IA a un rôle à jouer, mais elle ne résoudra pas les défaillances des processus. Le renforcement de la gouvernance et l'automatisation des fondamentaux restent la voie la plus judicieuse. »

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis