[Baromètre] Quel budget les entreprises doivent-elles consacrer à la cybersécurité ?
Malgré leurs efforts, les sociétés françaises n’investissent pas encore assez dans la cybersécurité. Un changement de culture à tous les étages est nécessaire.
![[Baromètre] Quel budget les entreprises doivent-elles consacrer à la cybersécurité ?](/mediatheque/4/7/4/000831474_896x598_c.jpg)
En 2021, le groupe pharmaceutique Pierre Fabre et le spécialiste des huiles et des protéines Avril ont été victimes de cyberattaques majeures ayant gravement affecté leurs activités. Ces deux fleurons de l’industrie française ne sont en aucun cas les seuls à avoir été ciblés par des hackers. Dans une étude exclusive réalisée par L’Usine Nouvelle en partenariat avec l’éditeur de logiciels Stormshield, plus de la moitié des professionnels interrogés ont déclaré avoir déjà subi une crise similaire, parfois à plusieurs reprises. Devant ce phénomène particulièrement préoccupant, les spécialistes du secteur ne cessent d’inciter les dirigeants à renforcer leur protection.
Même si les entreprises françaises augmentent peu à peu leurs investissements pour tenter de déjouer les plans des pirates, les moyens déployés restent encore insuffisants. L’Agence nationale de la sécurité des systèmes d’information recommande de consacrer au moins 5 % du budget informatique à la cybersécurité mais, selon l’étude de Stormshield, plus de 30 % des sociétés interrogées n’atteignent toujours pas ce palier.
Le président du Club des experts de la sécurité de l’information et du numérique (Cesin), Alain Bouillé, reconnaît qu’il y a « encore beaucoup de chemin à faire » mais tient cependant à nuancer ces données. « Il n’existe pas vraiment de chiffre magique permettant à une entreprise d’affirmer avec certitude que ses dépenses en la matière sont satisfaisantes, car tout dépend de son profil », estime-t-il, en rappelant que le périmètre même de la cybersécurité est aujourd’hui beaucoup plus complexe à définir qu’il y a vingt ans. Matériel informatique, logiciels, cloud, réseaux… La numérisation facilite la vie des employés mais offre aux hackers de multiples portes d’entrée. « Les directeurs des systèmes d’information doivent jongler avec une kyrielle de contrats de sous-traitance, qui comportent souvent leur propre couche de protection », résume Alain Bouillé. Difficile de déterminer avec précision le pourcentage de la facture qui relève de la cybersécurité. De plus, convaincre le PDG de signer un chèque considérable ne mettra pas fin comme par magie au risque cyber. Pour garantir un degré de protection optimal, encore faut-il savoir précisément quelles solutions adopter. Avant d’investir, l’entreprise doit d’abord déterminer dans quoi et fixer des priorités.
Miser sur la sensibilisation
« L’une des grandes difficultés de la cybersécurité, c’est qu’on peut très vite se perdre face à l’offre foisonnante, concède Patrice Valadeau, le directeur des systèmes d’information (DSI) de Suez depuis mai 2019. Si on part d’une base proche de zéro, on peut se sentir comme une poule devant un couteau. » Pour sa part, il s’est attelé à recruter des profils compétents, dans le but de conserver une bonne dose d’agilité et d’en tirer ainsi un avantage compétitif, mais sollicite aussi de nombreux prestataires externes. « Même les grands groupes industriels doivent rester humbles. Vouloir protéger l’ensemble de Suez uniquement avec des ressources internes relève du rêve inaccessible », assure-t-il.
C’est pourtant d’abord bien en interne que Schneider Electric a trouvé un moyen d’améliorer la sécurité de ses 200 sites industriels. «Nous voulions un responsable cyber sur chacun d’entre eux, relate Christophe Blassiau, le responsable de la cybersécurité du groupe. Pour cela, nous n’avons pas embauché 200 nouvelles recrues mais formé certains de nos propres employés. » Une résolution qui demande plus de temps, mais qui représente selon lui « une grande opportunité », surtout dans un contexte de pénurie de talents. « La cybersécurité est un marathon, ajoute-t-il. Multiplier les budgets par cinq sur un an créerait un décalage. Il s’agit plutôt de renforcer notre protection de manière continue afin d’instaurer un véritable changement de culture. » La transformation demeure toutefois difficile car, comme le révèle l’étude de Stormshield, 45 % des répondants considèrent les problématiques de sécurité comme un frein au développement de leurs projets opérationnels. « Une personne qui travaille dans l’ergonomie va rarement dire que la cybersécurité crée des opportunités formidables », admet Alain Bouillé.
Plus de 80 % des cyberattaques étant causées par une erreur humaine, la sensibilisation apparaît ainsi comme l’une des clés indispensables pour compliquer la vie des hackers. « Augmenter vos budgets pour acheter les meilleures solutions techniques ne sert à rien si vos employés continuent à noter leurs mots de passe sur des morceaux de papier collés sur leur PC », souligne Patrice Valadeau. Des actions en ce sens ont heureusement déjà été mises en place dans 62 % des entreprises interrogées. Les dirigeants s’emparent du sujet et cherchent aussi plus souvent à donner l’exemple. « De moins en moins de patrons laissent leur mot de passe à leur secrétaire, ils comprennent mieux les enjeux de la cyber », affirme Alain Bouillé. Une affaire de prudence avant tout.
Vous lisez un article publié dans le numéro 3704 de L'Usine Nouvelle - Mars 2022
SUR LE MÊME SUJET
[Baromètre] Quel budget les entreprises doivent-elles consacrer à la cybersécurité ?
Tous les champs sont obligatoires
0Commentaire
Réagir
