La cybersécurité n'est désormais plus perçue comme une option pour les entreprises. Les organisations de toutes tailles* savent que la protection de leurs actifs numériques et de leurs opérations nécessite un budget approprié pour l'IT et, par conséquent, pour la cybersécurité.
Alors, comment le budget de cybersécurité devrait-il être défini et géré ? Quelles différentes approches et composantes devraient être considérées pour les petites, moyennes et grandes entreprises ? Le responsable de la Cyberdéfense d'Alter Solutions et directeur pays pour le Canada, Nabil Diab, aide à clarifier ces questions.
Toutes les entreprises devraient-elles avoir un budget pour la cybersécurité ?
Eh bien... oui et non. Idéalement, oui, mais en termes pratiques, la taille et le chiffre d'affaires de l'entreprise détermineront si cela devrait être, en fait, une priorité. Nabil explique : "Les très petites entreprises ne devraient pas nécessairement avoir un budget dédié à la cybersécurité. Elles devraient commencer par réfléchir à l'attribution d'un budget approprié pour l'IT. Pour les petites et moyenne entreprises en général, cela dépendra du chiffre d'affaires. Et pour les grandes entreprises, oui, c'est essentiel".
Quel rôle joue un RSSI dans ce défi ?
Un Responsable de la Sécurité des Systèmes d'Information (RSSI; en anglais, Chief Information Security Officer ou CISO) est la personne responsable de la sécurité globale des actifs d'une entreprise. C'est donc sa responsabilité de rassembler le budget nécessaire pour faire face au risque des cybermenaces.
“Quand une entreprise n'a pas assez de budget pour la cybersécurité, c'est soit parce que le RSSI n'a pas pu démontrer efficacement les risques cyber induit par un budget insuffisant au conseil d'administration, soit parce que la Direction Générale accepte le risque consciament. En général, la vérité se trouve un peu entre les deux", précise Nabil.
Il fait également partie du travail d'un RSSI de revoir régulièrement le budget cyber nécessaire, selon une analyse continue des risques.
Comment les RSSI gèrent leurs budgets
Comme tout autre budget de division, le budget d'un RSSI se divise généralement en trois domaines principaux : les personnes, les technologies et les services. Selon la stratégie du RSSI et le domaine d'activité de l'entreprise, certains investiront davantage dans les personnes, tandis que d'autres dans la technologie ou les services.
Nabil souligne un fait curieux à ce sujet : "Habituellement, les entreprises qui investissent le plus dans la technologie sont celles qui ont le budget le plus faible pour la cybersécurité, car les outils IT sont au final moins chers que l'expertise cyber, et ils peuvent 'cocher les cases' plus facilement pour être conformes". Voici quelques exemples contrastés :
- Administration
Dans le secteur public, les organisations investissent beaucoup plus dans la technologie car elles ne peuvent pas se permettre de payer le bon salaire pour les meilleurs experts. Cela signifie qu'elles investissent plutôt dans des produits IT.
- Banque
Les opérations bancaires, en revanche, sont basées sur le numérique, ce qui signifie que leur exposition au risque est élevée, et par conséquent leur budget de cybersécurité aussi. De plus, ces organisations sont familiarisées avec la gestion des risques. C’est pourquoi elles ont déjà accès aux meilleures expertises et outils, il est donc naturel qu'un RSSI alloue une grande partie du budget aux personnes.
Que devrait couvrir un budget cyber ?
Les petites entreprises devraient prioriser…
...les solutions Cloud et SaaS (Software-as-a-Service), plutôt que d'utiliser des outils sur site, car elles n'auront probablement pas les compétences nécessaires pour les sécuriser. De plus, ajoute Nabil, "les solutions Cloud et SaaS intègrent déjà un niveau minimum de sécurité. La majorité des petites entreprises travaillent aujourd'hui avec Microsoft, par exemple, qui inclut Entra ID", une solution de gestion des identités et des accès qui vient avec un niveau de protection prédéfini.
L'une des fonctionnalités clés d'Entra ID, que toutes les entreprises devraient mettre en place, est l'authentification multifacteur (MFA). "C'est très important, et cela diminue considérablement le risque de cybermenaces", garantit Nabil.
La deuxième priorité pour les petites entreprises est une solution de détection et de réponse des terminaux (EDR), qui est cruciale pour protéger tous les terminaux sur un réseau d'entreprise.
Les grandes entreprises, quant à elles…
...disposent déjà pratiquement de tout l'arsenal d'outils classiques de cybersécurité, mais selon Nabil, celles qui veulent aller plus loin et assurer une protection contre les menaces les plus avancées se concentrent sur deux domaines principaux :
- Les produits innovants
Cela inclut les solutions basées sur l'Intelligence Artificielle (IA). Un exemple est l'analyse du comportement des utilisateurs et des entités (UEBA), qui analyse le comportement des utilisateurs pour détecter les anomalies. - La personnalisation des produits
Les entreprises alloueront un budget pour améliorer la configuration des outils existants, construire des connecteurs personnalisés, développer des ensembles de règles en interne, entre autres mesures.
Investir en interne ou externaliser l'expertise ?
Encore une fois, la taille, le chiffre d'affaires et le budget sont des facteurs clés à considérer. Les petites et certaines moyennes entreprises ne peuvent tout simplement pas rassembler l'expertise nécessaire pour construire et maintenir leur propre Centre des Opérations de Sécurité (SOC – Security Operations Centre), donc le meilleur rapport qualité-prix est toujours dans l'embauche externe de Services de Sécurité Managés.
"En supposant une couverture 24/7, les entreprises ne peuvent tout simplement pas gérer un SOC avec moins d'un million d'euros par an, en Europe. Si vous le faites, cela signifie que vous n'avez pas la bonne expertise et les bonnes personnes. De plus, un SOC n'est qu'une partie de la cybersécurité - vous devez également considérer tous les aspects organisationnels, la gestion des accès, la revue d'architecture, etc.", argumente Nabil.
Lorsque les entreprises atteignent une certaine échelle, elles peuvent alors envisager de changer de stratégie. "Quand vous avez quelques milliers d'employés et le bon budget, vous pouvez commencer à envisager une approche hybride. Cela signifie avoir des personnes en interne capables de gérer les incidents, tout en étant aidées par une entreprise externe qui vous apportera l'expertise manquante que votre équipe n'a pas", explique notre responsable de la Cyberdéfense.
Seules les grandes entreprises multinationales sont généralement capables de gérer leur propre SOC, mais elles doivent garder à l'esprit que c'est un mouvement très coûteux et chronophage, car il implique beaucoup d'expertise, de compétences en gestion et de logistique. "Quand vous avez un fournisseur de cybersécurité, vous pouvez leur demander un SOC et en un mois tout est en place. Si vous le faites vous-même, cela prendra 2, 3 ou 4 ans avant qu'il ne soit opérationnel. Donc, la clé est de penser à long terme et d'expliquer à votre conseil d'administration les différences clés entre avoir une expertise complète en interne, opter pour une approche hybride ou externaliser complètement les Services de Sécurité Managés", affirme Nabil.
La question à un million d'euros : quel pourcentage du budget IT devrait être alloué à la cybersécurité ?
Toutes les entreprises suffisamment grandes pour avoir un budget de cybersécurité (et un RSSI) devraient avoir au moins 10 % du budget IT alloué à cet objectif. "Si c'est moins de 10 %, ce n'est pas assez", assure notre responsable de la Cyberdéfense. "Si, d'autre part, vous pouvez atteindre 25 %, alors vous êtes définitivement un bon RSSI qui a présenté et défendu des arguments solides au conseil d'administration".
À quelle fréquence un budget cyber devrait-il être revu ?
Les RSSI devraient revoir le risque de l'entreprise chaque année et ajuster le budget de cybersécurité en conséquence. "Vous devez le faire chaque année", conseille Nabil, "car le risque n'est pas toujours le même, il y a de nouvelles vulnérabilités, acteurs, et facteurs géopolitiques aussi. Par exemple, le risque d'une entreprise ukrainienne n'est pas le même maintenant qu'il y a 3 ans".
Les entreprises aujourd'hui, en particulier celles avec un RSSI, adoptent de plus en plus cette approche proactive de la cybersécurité. Cependant, un nombre indésirable d'entreprises maintient encore une approche réactive : "Beaucoup d'entreprises investissent encore en réaction aux incidents cyber, donc elles n'augmentent leur budget cyber que lorsque leurs opérations ont été compromises. Ce n'est pas une bonne stratégie, et ça coûte au final toujours plus cher", prévient Nabil.
L'avenir croissant des budgets de cybersécurité
Les budgets IT devraient occuper de plus en plus de place dans les budgets globaux des entreprises. Ainsi, naturellement, les budgets de cybersécurité suivront cette tendance et continueront d'augmenter aussi, car les risques et les menaces continueront d'apparaître.
Pendant ce temps, Nabil prévoit une autre tendance de force opposée. "Nous pourrions voir quelques nouvelles solutions être intégrées aux entreprises, qui sont vraiment intéressantes et pourraient faire baisser un peu le budget. Les solutions d'IA, par exemple, qui pourraient remplacer une partie du personnel".
Un bon exemple de cela est ce qui se passe à l'intérieur des SOC. "Jusqu'à il y a environ 3 ans, nous avions trois niveaux d'analystes SOC : L1, L2 et L3. L1 n'existe plus car nous l'avons remplacé par des outils qui sont définitivement moins chers et plus efficaces. Donc, peut-être que demain le L2 disparaîtra aussi. Ce n'est pas bon pour les ressources humaines, mais c'est une solution qui peut limiter le budget de cybersécurité et augmenter la protection. Je ne dis pas que cela résoudra le problème de l'augmentation des budgets de cybersécurité, mais c'est une opportunité d'utiliser des outils plus avancés qui peuvent nous aider à faire face aux nouvelles menaces sans dépenser plus d'argent", conclut Nabil.
* Pour les besoins de cet article, nous considérons :
- Petites entreprises : Moins de 500 employés.
- Entreprises moyennes : 500 - 10 000 employés.
- Grandes entreprises : Plus de 10 000 employés.
Complétez cette lecture avec cet article précédent écrit par Nabil.