Kaspersky a mené une étude pour sonder les professionnels de la sécurité informatique travaillant pour les PME et les grandes entreprises en France et dans le monde, afin de tirer des conclusions sur le poids du facteur humain sur la cybersécurité des entreprises. Au cours des recherches, visant à recueillir des informations sur les différents groupes de personnes contribuant à la cybersécurité, Kaspersky s’est aussi bien intéressé aux réponses du personnel interne qu’à celles des sous-traitants externes, tout en intégrant également les décideurs, ces derniers ayant un impact direct sur la cybersécurité en termes d’allocation budgétaire.

L’insuffisance des budgets alloués à la cybersécurité a conduit 15 % des entreprises françaises à subir des cyberincidents au cours des deux dernières années. Tous les secteurs d’activité ne sont cependant pas logés à la même enseigne. En France, l’industrie manufacturière arrive en tête avec 22 % des entreprises du secteur ayant fait l’objet de cyberattaques en raison du manque de budget, suivie par les entreprises des secteurs des infrastructures critiques, du pétrole, du gaz et de l’énergie (19 %). C’est d’ailleurs ce segment qui est le plus touché au global, avec au total un quart (25 %) des entreprises concernées par le problème. D’autres industries, ont, au contraire, moins souffert de ces déficits budgétaires que la moyenne (15 %), comme le secteur des transports et de la logistique dont seulement 4 % des cyberincidents sont imputés à un manque de budget, ou encore le secteur des télécommunications (7 %) et les sociétés de services financiers (10 %).

Interrogés sur le budget consacré à la cybersécurité, 76 % des répondants français déclarent être équipés pour faire face aux menaces émergentes, voire les devancer. Toutefois, 21 % des entreprises ne sont pas aussi bien loties, avec une entreprise sur cinq (20 %) ne disposant pas de fonds suffisants pour protéger correctement l’infrastructure de l’entreprise. Plus inquiétant encore, 1 % des entreprises en France n’alloueraient aucun budget à la cybersécurité. Le secteur le plus performant en termes de répartition des fonds pour la cybersécurité est celui des services financiers : 96 % des professionnels du secteur affirment que leur organisation est prête à faire face à toutes les nouvelles menaces et à les devancer.

Nombreuses sont les entreprises déterminées à renforcer leur cybersécurité dans un futur proche. Parmi les postes de dépenses les plus envisagés, l’investissement dans des logiciels de détection des menaces (37 %) revient souvent, ainsi que dans la formation, avec 31 % des entreprises françaises prévoyant d’allouer des budgets à des programmes de formation pour les professionnels de la cybersécurité, et 28 % à la formation du personnel en général. Les organisations prévoient également de se pourvoir d’un logiciel de protection des terminaux (30 %), de professionnels de l’informatique supplémentaires (35 %) et d’adopter des logiciels SaaS dans le cloud (24 %).
« Il est aujourd’hui primordial que les entreprises intègrent leurs investissements cyber à leur stratégie commerciale, et considèrent la cybersécurité comme un objectif commercial à part entière. Bien entendu, les investissements doivent être justifiés et alloués de manière efficace, et les professionnels de la sécurité informatique ont pour tâche d’augmenter le retour sur investissement de ces dépenses en cybersécurité pour les faire valoir auprès de la direction générale ou du conseil d’administration. En plus de réduire les délais de mise en œuvre et d’exécution, la cybersécurité a aussi pour mission de minimiser l’impact financier colossal que peut représenter un incident de sécurité. Pour relever ces défis, plusieurs approches sont envisageables : Kaspersky a investi dans le développement de son portefeuille SASE, XDR et MDR en y intégrant l’IA, l’apprentissage automatique, la détection, la réponse et l’enquête automatisées, des intégrations prêtes à l’emploi et bien plus encore. Pour assurer la transparence des processus et prouver la qualité de ses solutions, Kaspersky met régulièrement à dispositions des guides et des rapports exécutifs à destination des RSSI, comprenant des informations sur le nombre d’incidents empêchés, la rapidité avec laquelle ces incidents ont été analysés et l’efficacité des solutions de cybersécurité déployées. Les experts de Kaspersky mettent également l’accent sur les risques sectoriels pouvant affecter la clientèle de l’entreprise, et éditent des rapports sur les tendances propres à ces différents secteurs pour aider chaque entreprise à façonner sa cybersécurité au mieux, en orientant leurs défenses sur les menaces actuelles, et en justifiant les investissements dans la technologie appropriée », commente Ivan Vassunov, VP Corporate Products chez Kaspersky.

Pour tirer le meilleur parti de votre budget, Kaspersky fait les recommandations suivantes :
• Mettez en œuvre des produits de cybersécurité avec un contrôle avancé des anomalies, comme Kaspersky Endpoint Detection and Response Optimum. Cela permet de détecter les activités inhabituelles potentiellement dangereuses initiées par un utilisateur ou par un attaquant ayant déjà pris le contrôle du système.
• Utilisez des solutions faciles à gérer. Kaspersky Endpoint Security Cloud est conçu pour les petites entreprises et les sociétés qui n’ont pas actuellement le budget pour une large gamme de produits de cybersécurité. La console SaaS tout-en-un permet à un seul administrateur de gérer un large éventail de tâches de cybersécurité à partir d’un seul point d’accès, avec un flux de travail simple à maîtriser.
• Investissez dans la formation de tous les membres de l’entreprise. La formation de Kaspersky Automated Security Awareness Platform apprend aux employés à adopter un comportement sûr sur Internet et comprend des exercices de simulation d’attaques de phishing. Parallèlement, la formation Kaspersky Cybersecurity for IT Online aide à mettre en place des bonnes pratiques de sécurité informatique simples mais efficaces et des scénarios de réponse aux incidents élémentaires pour les administrateurs informatiques généralistes, tandis que Kaspersky Expert Training dote votre équipe de sécurité des dernières connaissances et compétences en matière de gestion et de réduction des menaces afin de protéger votre organisation contre les attaques les plus sophistiquées. Enfin, la formation Kaspersky Interactive Protection Simulation a été conçue comme un outil d’aide à la décision pour que les décideurs comprennent mieux l’importance de la cybersécurité et la meilleure façon de répartir les budgets entre les services de sécurité informatique et les autres services de l’entreprise.
• Envisagez de recourir à des experts externes. Par exemple, la gamme de services professionnels Kaspersky Assessments identifie les failles de sécurité dans la configuration de votre système, et le Security Architecture Design aide à créer une infrastructure de sécurité informatique parfaitement adaptée à une entreprise donnée. Chaque étape de la mise en œuvre est fondée sur des besoins réels en matière de sécurité, ce qui donne aux décideurs des arguments convaincants pour allouer des budgets.
• Référez-vous au guide « Cybersecurity on a budget » de Kaspersky pour les petites et moyennes entreprises, avec des conseils sur la façon de dépenser moins en informatique sans compromettre la sécurité.