Le cloud est en plein essor. Preuve en est, 70% des entreprises étudiées dans le cadre de notre Observatoire de la sécurité IT 2019 ont recours au cloud et parmi elles, 36% poursuivent une stratégie “cloud first”. Toutefois, cette évolution a pour conséquence une plus grande ouverture des systèmes d’information, ce qui rend les organisations plus sensibles aux menaces internes et externes.
Quelles sont les stratégies des entreprises françaises ?
Enquête Wallix – Dans ce contexte, la gestion des comptes à privilèges (PAM) arrive au deuxième rang des priorités des entreprises en matière de sécurité IT pour les 2 ans à venir, juste après la protection contre les attaques ciblées. Un résultat qui traduit l’urgence à investir dans ce type de solutions, puisque seul un quart des entreprises s’appuie sur un outil de management des identités et des accès (IAM) pour la gestion et la traçabilité des comptes à privilèges, alors que les administrateurs sont souvent la porte d’entrée des hackers dans le système d’information.
Par ailleurs, beaucoup reste à faire en matière de gouvernance, d’automatisation et de “security by design”. Si, dans le cadre du Règlement général sur la protection des données (RGPD), 83% des entreprises ont nommé un responsable de la protection des données, la gouvernance de la sécurité est loin d’être optimale. Ainsi, seules 39% des entreprises étudiées ont mis en place une politique contre les cyberattaques.
En matière d’automatisation, il existe une forte marge de progression car dans 42% des organisations, elle ne dépasse pas un quart des processus de gestion de la sécurité. Dans les 24 mois à venir, les efforts d’automatisation des entreprises porteront en priorité sur la sécurité réseaux, mais également sur la gestion des identités et des accès, dont celle des comptes à privilèges.
Enfin, les résultats de l’Observatoire montrent, qu’indépendamment du RGPD, seules 54% des organisations poursuivent une approche “security by design” pour l’ensemble de leurs nouveaux projets.
Méthodologie : L’Observatoire de la Sécurité IT 2019 réalisé par IDC repose sur une enquête menée en France, entre novembre et décembre 2018, auprès de 161 entreprises du secteur privé et public, dont l’effectif est au minimum de 500 salariés. Les personnes interrogées sont des responsables dans le domaine de la sécurité des systèmes d’information, que soit en tant que RSSI, CISO, CSO ou DSI. Afin d’assurer la représentativité des résultats, ces derniers ont été redressés conformément aux statistiques de l’Insee sur le dénombrement des entreprises françaises par taille et secteur d’activité.
Une entreprise sur deux va augmenter ses dépenses de sécurité en 2019
Les dépenses consacrées à la sécurité IT (hors salaires) continueront de progresser en 2019. En effet, si 43% des entreprises interrogées cherchent à stabiliser leurs dépenses, pour une organisation sur deux, la tendance est à la hausse.
Ainsi, pour 77% des entreprises, c’est la mise en conformité avec le Règlement général sur la protection des données qui va le plus contribuer à alourdir les dépenses de sécurité dans les 2 ans à venir. D’autant que le RGPD demeure un chantier ouvert dans 83% des entreprises étudiées. Enfin, seules 7%, visent une réduction de leurs dépenses en 2019
La mise en conformité réglementaire est l’élément qui va le plus contribuer à augmenter les dépenses de sécurité IT dans les 2 ans à venir.
Les résultats de l’étude montrent par ailleurs des différences significatives selon la taille des entreprises. Ainsi, 64% des organisations d’au moins 1 000 salariés vont augmenter leurs dépenses de sécurité en 2019, contre seulement 39% des entreprises de 500 à 999 salariés.
Selon IDC, les dépenses consacrées à la sécurité IT atteindront 2,9 milliards d’euros en France en 2019.
Dans ce contexte, IDC estime qu’en France, les dépenses de sécurité IT en matériel, logiciels et services des entreprises progresseront de +9,1% en 2019 pour atteindre 2,9 milliards d’euros. Ce sont les dépenses en services qui enregistreront la plus forte croissance avec +9,9%. Sur le segment des logiciels, en croissance de +8,3%, ce sont les dépenses en logiciels de gestion de la sécurité et des vulnérabilités et les solutions de gestion des identités et des accès qui affichent les plus fortes croissances, avec respectivement +12,3% et +12,1%.
Enfin, IDC table sur une évolution soutenue des dépenses de sécurité dans les années à venir, avec un taux de croissance annuel moyen de +7,7% sur la période 2018 à 2022.
72% des entreprises considèrent la sécurisation des comptes à privilèges comme une priorité
Interrogées sur leurs priorités en matière de sécurité IT pour les 24 mois à venir, 72% des organisations ont cité la sécurisation des comptes à privilèges. Cela en fait la deuxième priorité en matière de sécurité IT, juste après la lutte contre les attaques ciblées, en particulier les menaces persistantes avancées (ATP).
Les résultats de l’Observatoire montrent également que 82% des entreprises interrogées estiment qu’un meilleur contrôle des comptes à privilèges contribue à limiter les risques d’incidents de sécurité.
A ce jour, un quart seulement des entreprises s’appuie sur une solution de management des accès et des identités (IAM) pour la gestion et la traçabilité des comptes à privilèges. Ce résultat traduit l’urgence à investir dans ce type de solutions, alors que les administrateurs sont souvent la porte d’entrée des hackers dans le système d’information. A ce titre, 19% des organisations étudiées prévoient de s’équiper sous 24 mois ou sont en phase de réflexion.
Au final, 81% des organisations utilisant ou envisageant de recourir à une solution d’IAM pour la gestion et la traçabilité des comptes privilégiés considèrent que c’est un élément de mise en conformité.
Beaucoup reste à faire en matière de gouvernance, d’automatisation et de “security by design”
Si, dans le cadre du RGPD, 83% des entreprises ont nommé un responsable de la protection des données (Data Protection Officer), la gouvernance de la sécurité est loin d’être optimale.
Avec une entreprise sur deux déjà concernée, la mise en place d’une politique détaillée de sécurité issue d’une analyse de risques est le domaine où les initiatives sont les plus nombreuses. C’est l’inverse s’agissant de la création d’une direction des risques et de la conformité ou encore de la mise en place d’une politique détaillée pour répondre aux cyberattaques, qui ne concerne que 39% des entreprises étudiées.
Dans l’ensemble, les grandes organisations sont plus avancées. C’est surtout dans l’existence d’une politique de sécurité issue d’une analyse des risques et pour répondre aux cyberattaques, que l’on observe les plus gros écarts selon la taille des entreprises. Ainsi 63% des entreprises d’au moins 1 000 salariés ont mis en place une politique de sécurité issue de l’analyse de risques, contre 40% dans les structures de 500 à 999 salariés. Concernant l’instauration d’une politique pour répondre aux cyberattaques, ces parts sont respectivement de 54% pour les plus grandes entreprises et 27% pour les autres.
Pour 42% des entreprises, l ‘automatisation ne dépasse pas un quart des processus de gestion de la sécurité.
Citée par 23% des organisations, l’automatisation arrive en deuxième position des pistes envisagées pour alléger le budget sécurité. Là encore, il existe une forte marge de progression : dans 42% des entreprises, l’automatisation ne dépasse pas un quart des processus de gestion de la sécurité, et elle est inexistante dans 9% des organisations.
Dans les 24 mois à venir, les efforts d’automatisation se concentreront en premier lieu sur la sécurité réseaux, pour 34% des entreprises, puis sur la gestion des identités et des accès, pour 32% des organisations. Dans deux tiers des cas, l’automatisation de l’IAM concernera également les comptes à privilèges.
Le “security by design “ est loin d’être généralisé à l’ensemble des nouveaux projets.
Le “security by design” est une notion au cœur du règlement encadrant la protection des données (RGPD). Il s’agit d’un concept qui impose aux entreprises d’intégrer la sécurité dès la conception d’un projet, d’un service ou de tout autre outil lié à la manipulation de données personnelles.
Ce concept, qui conduit notamment à limiter les risques de fuite des données, est transposable à l’ensemble des nouveaux projets, y compris ceux ne relevant pas du RGPD.
Dans les faits, les résultats de l’Observatoire montrent qu’indépendamment du RGPD, près d’une entreprise sur deux n’a pas d’approche “security by design” pour ses nouveaux projets. Ce sont surtout les entreprises de taille intermédiaire qui sont concernées puisqu’elles sont 54% dans ce cas, contre 38% pour les entreprises d’au moins 1 000 salariés.
Les commentaires sont fermés.